谷歌研究人员发现恶意攻击和朝鲜有关联

现在代码中有了线索。

谷歌安全研究员尼尔·梅塔（Neel Mehta）发现证据表明，周末在150个国家感染了30万台机器的WannaCry勒索软件与朝鲜的一个国家支持的黑客组织有关，该组织以对韩国组织的网络攻击而闻名。

发生了什么事？什么是WannaCry？

这是WannaCry勒索软件攻击浮出水面以来的第五天，该攻击利用了一个关键的Windows SMB漏洞，仍然使用新发布的没有任何“杀死开关”功能的变体感染世界各地的计算机。

如果你第一次登上WannaCry story，不知道发生了什么，建议你也阅读以下简单、总结但详细的解释。

WannaCry：到目前为止发生了什么；如何保护你的电脑

WannaCry：第一民族国家提供的勒索软件？

Neel发现WannaCry恶意软件中的代码；第一次出现在2月，与2015年初版本的中使用的代码相同坎托皮，一个由Lazarus集团开发的恶意后门，据信是一个国家资助的黑客组织，与朝鲜政府有关联。

来自卡巴斯基实验室、Intezer、Symantec和Comae Technologies的安全研究人员立即跟进了Neel的提示，并确认WannaCry与其他恶意软件家族之间存在密切联系，包括Lazarus、Joanap和Brambul，这表明WannaCry是由同一作者编写或修改的。

Lazarus黑客集团至少自2011年开始运营，据信，该集团对2013年的暗箱操作、2014年毁灭性的索尼影业黑客攻击以及2016年孟加拉国8100万美元的银行盗窃案负有责任。

然而，这一发现还不足以将Lazarus集团与WannaCry联系起来，因为WannaCry的作者可能故意从Lazarus的后门程序复制代码，试图在调查过程中误导研究人员和执法人员。

“我们相信有足够的联系需要进一步调查。随着研究的展开，我们将继续分享我们研究的进一步细节，”近年来追踪拉扎勒斯的安全公司赛门铁克说。

Comaeio的Matt Suiche也同意这一点，他说：“从拉扎勒斯集团的说法来看，将其归为拉扎勒斯集团是有道理的。过去，他们的说法主要是为了偷钱而渗透金融机构。如果得到验证，这意味着WannaCry的最新版本实际上将是第一个由国家驱动的勒索软件”。

恶意攻击结束了吗？

绝对不是，这只是开始。

安全研究人员发现了这种勒索软件的一些新变种，它们无法被kill开关阻止，因此建议您确保已应用SMB漏洞修补程序并禁用SMBv1协议，以确保Windows计算机免受WannaCry和其他类似攻击。

WannaCry攻击者要求支付300至600美元的赎金，以释放被劫持的数据。与#WannaCry勒索软件相关的三个比特币钱包已收到勒索软件受害者支付的225笔款项，共计35.98003282 BTC（约合6万美元）。