5月13日，席卷全球的勒索病毒W(wǎng)annaCry（也被稱作WanaCrypt或WCry），在今日晚間被互聯(lián)網(wǎng)安全人員找到阻止其傳播的方法。

據(jù)北京云縱信息技術有限公司首席科學家&研發(fā)副總裁鄭昀透露的信息，5月12日席卷全球的WannaCrypt（永恒之藍）勒索蠕蟲攻擊已經(jīng)停下攻擊的腳步。原因是安全人員分析了其行為，發(fā)現(xiàn)病毒會嘗試對一個iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的域名執(zhí)行HTTPGET操作，如果DNS解析失敗，它會繼續(xù)進行感染操作，然而，如果解析成功（意味著某個人注冊了該域名，按下了戰(zhàn)爭停止按鈕），該程序?qū)Y(jié)束。

“所以一位安全小哥注冊了該域名。這個事件從頭到尾都像是一部電影，開始的離奇，結(jié)束的詭異。”

這一消息得到獵豹移動安全專家李鐵軍的證實，李鐵軍介紹，根據(jù)獵豹研發(fā)人員目前掌握的信息，他們猜測之所以出現(xiàn)這種情況，可能源于病毒作者擔心病毒無何止傳播，因此設定了一個停止條件。該域名注冊的最大意義在于，隨著安全人員注冊了該域名后，局域網(wǎng)管理者對網(wǎng)絡進行主動設置，可以阻止病毒在局域網(wǎng)內(nèi)進行傳播。

據(jù)安天實驗室介紹，這個域名相當于一個停止開關，中招的機器軟件在發(fā)作前如果能訪問到這個域名，會不發(fā)作；但是發(fā)作后的已經(jīng)受到影響，內(nèi)網(wǎng)機器由于訪問不到會繼續(xù)發(fā)作，因為其他原因訪問不到的這個域名的也會繼續(xù)發(fā)作。

但目前病毒作者為何設置了這一停止條件依然未知，另外注冊了域名阻止病毒傳播的安全人員來自國外。

據(jù)騰訊安全反病毒實驗室的分析，此次勒索事件與以往相比最大的特點在于，勒索病毒結(jié)合了蠕蟲的方式進行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報道稱此次攻擊為“永恒之藍”。

MS17-010漏洞指的是，攻擊者利用該漏洞，向用戶機器的445端口發(fā)送精心設計的網(wǎng)絡數(shù)據(jù)包文，實現(xiàn)遠程代碼執(zhí)行。如果用戶電腦開啟防火墻，也會阻止電腦接收445端口的數(shù)據(jù)。但是在中國高校內(nèi)，同學之間為了打局域網(wǎng)游戲，有時需要關閉防火墻，這也是此次事件在中國高校內(nèi)大肆傳播的原因。

對于如何防范的問題，騰訊安全反病毒實驗室介紹，利用Windows系統(tǒng)遠程漏洞進行傳播，是此次勒索軟件的一大特點，也是在高校爆發(fā)的根本原因，所以開啟防火墻是簡單直接的方法。