WannaCry并未走远，Kill Switch域名仍有数十万IP请求

据外媒BleepingComputer 报道 ，尽管距离WannaCry勒索软件首次爆发已经过去了18个月的时间，但它仍然被发现继续潜伏在数千台受感染的计算机上。

当WannaCry勒索软件首次出现时，来自网络安全公司Kryptos Logic的安全研究员Marcus Hutchins注册了一个域名来充当WannaCry组件的死亡开关（kill switch）——如果WannaCry连接到这个死亡开关域，那么它的组件就不会被激活。但是，WannaCry仍然会继续在后台静默地运行，同时定期向该死亡开关域发起连接请求，以检查该域名是否仍然存在。

在上周五，Kryptos Logic公司的安全和威胁情报研究主管Jamie Hankins通过一条推文公布了仍在继续向该死亡开关域发起连接请求的唯一IP地址统计数据。根据Hankins的说法，WannaCry死亡开关域在一周内就收到了1700多万个连接请求。这些请求来自超过63万个不同的IP地址，分属于194个不同的国家/地区。

下图展示了仍然受WannaCry勒索软件影响的国家，其中排名前三的分别是中国、印度尼西亚和越南。Hankins告诉BleepingComputer，来自英国的请求约占美国的0.15％，占一天总数的1.23%。不过，这些数据可能会因较长时间内的DHCP流失而出现偏差。

此外，Hankins公布的另一个图表展示了每周的连接请求数量。正如预期的那样，与正常工作日相比，周末的数量要少得多。这是因为，在工作日使用计算机的人会更多。

无论如何，目前仍然存在这样一个事实，那就是许多计算机仍然受WannaCry勒索软件的影响。对于感染了该勒索软件的普通用户而言，我们所需要做的就是中断网络连接，让它无法连接到这个死亡开关域。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。