首先，大家稱之為比特幣病毒”的勒索蠕蟲，英文大名叫做WannaCry，另外還有倆比較常見(jiàn)的小名，分別是WanaCrypt0r和WCry。

根據(jù)科技網(wǎng)站W(wǎng)ired的解釋，它是2017年3月底就已經(jīng)出現(xiàn)過(guò)的一種勒索程序的最新變種，而追根溯源的話是來(lái)自于微軟操作系統(tǒng)一個(gè)叫做永恒之藍(lán)”（Eternal Blue）的漏洞。美國(guó)國(guó)家安全局（NSA）曾經(jīng)根據(jù)它開發(fā)了一種網(wǎng)絡(luò)武器，2017年2月剛剛由于微軟發(fā)布了新補(bǔ)丁而被拋棄”。三月底那次勒索程序就叫WannaCry，所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的說(shuō)法，所指也是本次爆發(fā)的勒索程序。

后來(lái)有個(gè)英國(guó)小哥阻止了WannaCry的進(jìn)一步全球肆虐，他在自己的博客上寫下了全過(guò)程，甚至英國(guó)情報(bào)機(jī)關(guān)GCHQ都在官網(wǎng)轉(zhuǎn)po了這篇博文。

事情經(jīng)過(guò)是這樣的：MalwareTech本來(lái)應(yīng)該在度假中，不過(guò)他還是迅速反應(yīng)，找到了一份WannaCry軟件的樣本。閱讀代碼時(shí)，他發(fā)現(xiàn)了一個(gè)沒(méi)有被注冊(cè)過(guò)的域名，下面的代碼意思就是WannaCry在黑點(diǎn)電腦前的運(yùn)行中會(huì)先試圖訪問(wèn)該域名，如果訪問(wèn)失敗就黑掉系統(tǒng)，如果成功則自動(dòng)退出。

于是MalwareTech就把這個(gè)域名給注冊(cè)了。

在后來(lái)一些中文媒體的報(bào)道中，小哥的這一舉動(dòng)被強(qiáng)調(diào)成是突發(fā)奇想”或者下意識(shí)”之舉。正是因?yàn)闊o(wú)效域名被注冊(cè)，后來(lái)被WannaCry感染的電腦都在訪問(wèn)該域名時(shí)得到了肯定的返回值，于是沒(méi)有再鎖定信息、展開敲詐。

不過(guò)MalwareTech自己解釋卻不是這樣的。他在博客中寫道，注冊(cè)這個(gè)域名是他作為網(wǎng)絡(luò)安全工作人員的標(biāo)準(zhǔn)做法”（standard practice）。過(guò)去一年里，遇到所有這樣短時(shí)間訪問(wèn)量激增的無(wú)效域名，他都會(huì)將其注冊(cè)后扔進(jìn)前面圖里提到的天坑”（sinkhole）里，而這個(gè)天坑”的作用就是捕獲惡意流量”。

然而MalwareTech職業(yè)靈敏度，讓他開始考慮WannaCry是否會(huì)定期或在特請(qǐng)情況下修改程序中的無(wú)效域名，因?yàn)槿绻沁@樣的話，僅僅注冊(cè)他所發(fā)現(xiàn)的這個(gè)域名就無(wú)法阻止未來(lái)襲擊。

即使軟件里沒(méi)有這樣的部分，開發(fā)者依然能夠手動(dòng)升級(jí)WannaCry后再度把它傳播開來(lái)，所需要做的也就僅僅是替換一個(gè)新的無(wú)效域名而已。

還有一種更糟糕的情況：如果WannaCry程序中還有另一層自我保護(hù)機(jī)制，那么無(wú)效域名的注冊(cè)很有可能導(dǎo)致目前所有被感染電腦自動(dòng)為所有信息加密，無(wú)法復(fù)原。

為了排除后一種情況，MalwareTech干脆修改了自己一臺(tái)電腦的主機(jī)文件，讓它無(wú)法連接那個(gè)已經(jīng)被注冊(cè)了的前無(wú)效域名。

電腦成功藍(lán)屏了。

MalwareTech寫道：你可能無(wú)法想象一個(gè)成年男人在屋里興奮得跳來(lái)跳去，原因竟然是自己電腦被勒索軟件搞失靈了。但我當(dāng)時(shí)確實(shí)就那樣了?！睖y(cè)試結(jié)果表明，他的標(biāo)準(zhǔn)做法”確實(shí)阻止了WannaCry的進(jìn)一步傳播。