我们找到了勒索病毒原代码中最关键的部分 还查到了拯救世界的英雄照片和名字……

WannaCry 1.0的勒索病毒被一个小伙子给无意中解救了.......现在勒索病毒二代强势来袭，相关部门也已经联合发出通知和处置方法。鸟叔就给不知情的人讲一下这位小伙如何一不小心拯救世界的过程。

刚爆发不久的病毒肆虐网络时，一位二十二岁的国外安全研究人员Marcus Hutchins在病毒样本中发现了一串看上去很长，像是滚键盘随意打出来的域名：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

英雄Marcus Hutchins的照片

此时他还不知道这是什么，但当他发现这个域名没有被注册启用，出于好奇，就花了十几美金注册这个域名。

然后他震惊了（UC部报道）—— 该域名出现了成千上万的访问量，而且访问者来自全世界的各个PC端口……

域名访问请求数据

随着对病毒代码的分析，越来越多的安全研究机构注意到这域名，他们发现这似乎是黑客设计的紧急制止开关。（这也解释了为什么访问量这么大）

根据威胁情报平台微步在线提供的线索中来看到，勒索样本启动后会首先请求如下域名：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

请求失败后，才会执行加密；否则放弃加密直接退出，他们将该域名称之为“开关域名”。 感染的机器如果能够成功连通秘密开关域名，这样就不会被加密 ！

原代码最关键部分

有媒体向专家求证，可能黑客他希望自己的病毒最后能够得以控制，而不是一放出就任其传播，最后无法收场。这相当于一个停止开关，注册这个域名来实现控制，就能控制病毒的传播。

但是勒索病毒的开发者始料未及，这个域名被安全人员发现，并抢先注册了。如今打开这个域名，会出现这样一段比较闷骚的话“你再厉害我比你更厉害”（英文单词有限，但是语境一定是这样）：

事后，这位小哥在自己的社交媒体上表示：在我注册这个域名之前，完全不知道他能停止这次病毒的传播......这完全是一场美丽的意外...此时他的事迹已经被所有人知道，人们把他称之为“意外英雄”（美国英雄主义，让坏人更加恨英雄，鸟叔无话可说）。而他也自述道：“以后我的简历里面可以加一条：一不小心就阻止了一场全球网络攻击”。Fidus的联合创始人Andrew Mabbitt在Twitter上表示，哈钦斯是我认识的最聪明和有才华的人之一。

虽然只是碰巧制止，但是的确缓和一段时间，争取了让各大杀毒软件公司发布防护补丁。

在最新统计数据显示，勒索病毒自5月12日首次爆发至今，全球已经有超过20万PC收到感染，而如今事情正在变得更糟。

研究人员在刚刚过去的这个周末已经发现，黑客偷偷对勒索病毒的代码进行修改，许多病毒样本的“自毁开关”被设计成ping到与已知域名不同的新域名，或干脆取消“自毁开关”设置。（有网友猜测可能是因为研究人员发现旧域名阻止病毒传播导致黑客觉得颜面无存过激做了这个改动）

安全人员表示，黑客的这种做法非常危险，恐怕打开电脑时就会发现自己也中招。

而与此同时早在14日时，北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》，有关部门也监测发现，WannaCry勒索蠕虫出现变种：WannaCry 2.0，确定该变种的传播速度可能会更快...

以下为《通知》全文：

各有关单位：

有关部门监测发现，WannaCry勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

一、请立即组织内网检测，查找所有开放445SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址点击阅读原文可快速进入（https://technet.microsoft.com/zh-cn/library/security/MS17-010）；对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

三、一旦发现中毒机器，立即断网。

四、启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口，关闭网络文件共享。

五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

六、尽快备份自己电脑中的重要文件资料到存储设备上。

七、及时更新操作系统和应用程序到最新的版本。

八、加强电子邮件安全，有效的阻拦掉钓鱼邮件，可以消除很多隐患。

九、安装正版操作系统、Office软件等。

北京市委网信办

北京市公安局

北京市经信委

2017年5月14日

鸟叔只想说，一不小心拯救了世界是什么感觉......要是一不小心又加速了毁灭的状况怎么办……让人好难抉择

精彩文章回顾：

勒索比特币病毒制造者现身！！！

大事情！全球突发大规模网络攻击：国内多所高校被劫持 黑客勒索比特币

突发！全球爆发勒索病毒 这四招能救你的电脑

小编语录：这小伙子以后的路好走了......