誰殺死了Wannacry勒索病毒？原來“同門師兄”才是天敵

距離wannacry（想哭）勒索病毒的爆發已經過去一周，一切都歸複平靜，似乎幾位扮演救世主的安全專家不經意關閉了病毒作者暗藏的幾個“開關域名”後，這場本可導緻世界陷入混亂的計算機病毒災難變成了一場“雷聲大雨點小”的全球性網絡安全意識宣傳周活動。

頗具諷刺意味的是，這場“疫情”的真兇是微軟，而救星卻是一個更加貪婪的礦機木馬。

wannacry攻擊收益不到10萬美元，“同門師兄”被忽視

除了全球網絡安全公司的股票暴漲外（當然也有安全公司被打臉，例如sophos），wannacry勒索病毒作者的收益其實非常有限，截止上周五，即使已經過了“撕票”期限，依然隻有極少數的受害者支付贖金，累計不到9.4萬美元。

本可以大殺四方的wannacry勒索病毒為何如此虎頭蛇尾，甚至紐約時報等媒體開始質疑這不過是黑客搞的一次“安全恐吓”，而不是正規的網絡欺詐犯罪。

wannacry勒索病毒“雷聲大雨點小”，半途而廢的真正原因，也許出乎所有人的意料。

根據proofpoint的報道，在wannacry勒索病毒爆發一周後，安全專家們發現了另外一個同樣利用nsa武器庫漏洞eternalblue和doublestar的蠕蟲病毒——adylkuzz，但與wannacry不同的是，adylkuzz不是勒索軟體，而是密碼貨币礦機木馬。這意味着adylkuzz比wannacry要“溫和”得多，它不會加密任何“宿主”計算機上的檔案，隻是會偷偷“借用”計算力來挖掘一種類似比特币的密碼貨币——moneros。與比特币相比，moneros的匿名性更強，因為被alphabay等地下網絡黑市接受作為結算貨币而名聲大噪。

殺死wannacry病毒的居然是“同根生”的礦機木馬

安全專家對adylkuzz的研究發現一個驚人的秘密，成功遏制wannacry勒索病毒傳播的不是安全公司的馬後炮，也不是企業it安全經理們的連夜奮戰，而是adylkuzz礦機木馬的功勞！

原來adylkuzz礦機木馬利用的是與wannacry勒索病毒同樣的計算機漏洞（微軟ms17-010），掃描着同樣的端口—tcp 445，但是adylkuzz為了讓宿主計算機“專心緻志、安安穩穩”地挖礦，會在主控端器中植入double pulsar後門下載下傳挖礦程式，一旦挖礦程式啟動，adylkuzz會首先關閉宿主計算機的smb通訊，以此來阻斷其他病毒的入侵，然後才開始接受挖礦指令，長期工作。（下圖）

很顯然，adylkuzz的目的是經營一個由大量受感染計算機組成的僵屍挖礦網絡，通過持續挖掘密碼貨币獲利，屬于“訂閱模式”，而不是wannacry這樣導緻宿主計算機癱瘓開展的一次性勒索模式。兩者的“商業模式”存在根本性的分歧，從技術上來看，adylkuzz與wannacry也是“一山不容二虎”的排斥關系，更準确地說，adylkuzz就是wannacry的天敵。

安全專家的多次測試表明，adylkuzz的傳染性更強，多台存在“永恒之藍”漏洞的計算機聯網後第一時間（不到20分鐘）被感染的不是wannacry，而是adylkuzz。

此外，adylkuzz不但傳染性更強，而且啟動時間更早，從4月24日就開始傳播，目前安全專家發現有超過20個adylkuzz攻擊主機依然在掃描傳播木馬，活躍的指令控制伺服器也多達十幾台，真實的規模可能更大。那麼問題來了，那些最初存在永恒之藍漏洞卻又躲過wannacry攻擊的電腦，有多少已經感染adylkuzz變成僵屍礦機了呢？此外，對于adylkuzz這樣不導緻資料丢失，僅僅“費電”的礦機僵屍木馬，企業也萬萬不可掉以輕心，因為那些比wannacry更兇險、比adylkuzz規模更大的“永恒之藍”病毒，很快将發起下一波攻擊，唯一的應對之策就是盡快更新更新檔。

本文轉自d1net（轉載）