WannaCry的傳播腳步今晨戛然而止
今天一大早，全網的WannaCry蠕蟲病毒攻擊突然減弱消退了！所有這一切功勞來自于英國研究人員@malwaretech，他通過逆向發現WannaCry代碼中有一個特殊域名地址：
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

這就像隨機敲打出來的域名。與此同時，思科研究人員也發現，昨天之前，網絡上完全沒有針對這個域名的訪問流量，僅昨天一天時間，這個域名的訪問量就達到每小時1400多次。

不可思議的是，@malwaretech竟然發現，該域名是個未經注冊域名，出于職業習慣，他打算進行一些sinkhole攻擊，于是他果斷出手，花費了8.29英鎊就把它注冊在自己名下。注冊成功后，他發現這個域名可以接收到世界各國電腦系統的連接請求，這難道是WannaCry的C2域名嗎？隨著各路安全人員的逆向深入，發現該域名像是病毒制作者為防止事態失去控制，而故意留下的一個緊急停止開關，因為逆向代碼中有這樣一段程序邏輯：

意思是這樣的：請求這個域名，如果該域名存在，則退出；如果該域名不存在，則繼續攻擊….，GOD，該域名竟然控制著WannaCry病毒的傳播，它就是WannaCry病毒傳播的“緊急開關”（kill switch ）。@malwaretech的隨手注冊，立了大功！，他在推特中說道，“在注冊這個域名之前，我完全不知道能有此效果，這完全是個意外之舉。”

最終，媒體記者通過其注冊預留的郵箱聯系到了@malwaretech。

其實，在該事件一發生時，身為僵尸網絡研究人員的@malwaretech就及時對WannaCry病毒進行了跟蹤分析，其制作了動態分析趨勢圖被多家安全公司和媒體采用報道。

我國繼續呈高危感染態勢
雖然WannaCry蠕蟲傳播被臨時“制止”了，但這只能阻止其通過網絡繼續感染傳播，并不能防止本機中毒被加密勒索。而且，從當前情況來看，我國還在處于感染傳播嚴重階段，從malwaretech動態圖分析，我國華東多個地區內還繼續有WannaCry感染情況。

專家預測升級版的WannaCry2.0將會繼續發起攻擊
另外，據安全人員表示，這還沒完，攻擊者可能還會發起第二波WannaCry攻擊，新一波的變異WannaCry程序將不會內置“緊急開關”（kill switch）了，到時這種WannaCry升級版的傳播感染態勢將不可預計。希望人們盡快利用這段時間及時修復補丁，采取相關預防措施。
卡巴斯基研究人員Costin Raiu表示：
“我敢肯定，那些沒有緊急開關（kill switch）域名的變異版本已經在傳播了！”
Hacker House專家Matthew Hickey也透露：
“作為攻擊者來說，只需要使用十六進制編輯器簡單更新一下程序，刪除那個所謂的緊急開關或進行其它的功能更新，這就是一個升級版的WannaCry2.0，所以，下一波攻擊將難以避免。在未來幾周或數月內，我們將會看到不同的WannaCry變體傳播。對于我們廣大用戶來說，請盡快升級補丁才是當務之急！”
Hickey還表示：
“WannaCry不僅僅可以當成蠕蟲病毒，它還可以被其它惡意軟件利用，或搭載漏洞利用Payload發起多種形式的攻擊。”
目前，針對不包含”緊急開關”域名的升級版本WannaCry2.0，在安全社區和Twitter中也出現了討論。我們將持續關注。也希望相關機構和個人及時參照相關方法，修復補丁，采取相關安全預防措施。