勒索病毒來襲，保護傘如何撐起

勒索病毒來襲，保護傘如何撐起

“利用系統漏洞可以直接傳播、感染”“一旦中毒，電腦文件將被加密鎖定，黑客要求支付比特幣贖金”“涉及中國、英國、西班牙、俄羅斯等百余個國家和地區受影響”……5月12日起，WannaCry勒索病毒席卷而來，引發了一場全球網絡災難。

圖/攝圖網

紅色彈窗鎖住了電腦屏幕，用戶電腦上幾乎所有的重要文件都被加密保存。

前段時間，全球百余個國家和地區發生超過7.5萬起電腦病毒攻擊事件，罪魁禍首是名為WannaCry的電腦病毒。想要被感染病毒的計算機解除鎖定，只能向對方支付所要求的比特幣，否則硬盤將被徹底清空。

WannaCry目前還沒有統一的中文名稱，不過很多人直接按照字面翻譯為“想哭”。它是一種蠕蟲式的勒索病毒軟件，由不法分子利用美國國家安全局（NSA）泄露的危險漏洞“永恒之藍”進行傳播。歐盟刑警組織負責人羅布·溫賴特表示，本次網絡襲擊在全球范圍內達到了“史無前例的級別”。

5月12日晚，WannaCry勒索病毒在全球多個國家蔓延，國內多所高校的網絡遭到勒索病毒攻擊。桂林電子科技大學、賀州學院、桂林航天工業學院、大連海事大學、山東大學、江蘇大學、太原理工大學等高校教學系統癱瘓，大量學生畢業論文等重要資料被勒索病毒加密，只有支付贖金才能恢復。

受到WannaCry勒索病毒影響的不僅僅是校園，還包括部分企事業單位。中國石油在其官網中發布公告稱，5月12日22點30分左右，因WannaCry勒索病毒暴發，公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用。不過，加油及銷售等基本業務運行正常，加油卡賬戶資金安全不受影響。

5月13日，江蘇省鹽城市響水公安局出入境辦事處發布消息稱，因公安網遭到新型病毒的攻擊，暫時停辦出入境

國內多家單位遭病毒攻擊

業務，具體恢復時間等待通知。

據中國聯通鄭州分公司的一名工作人員稱，5月14日，因為受到勒索病毒的影響，單位電腦全部癱瘓。

被WannaCry勒索病毒感染后，電腦中圖片、文檔、壓縮包、音頻、視頻、可執行程序等多種類型的文件會被加密，且文件后綴名改為“.WNCRY”，勒索病毒運用了高強度的加密算法，而暴力破解需極高的運算量，基本不可能成功解密。

黑客要求中毒的電腦用戶必須支付300美元至600美元的比特幣贖金才能解開文件，如拒不支付，則七天后文件永久封鎖。

“蠕蟲+勒索”攻擊方式尚無前例

在中國計算機學會青年科技論壇聯合CCF計算機安全專業委員會舉辦的“勒索病毒：憑什么能綁架我們的系統”研討會上，北京神州綠盟信息安全公司安全研究部總監左磊表示，以往勒索軟件主要利用網絡復制、傳播，傳染途徑多通過電子郵件誘導用戶點擊，但這次直接利用了漏洞快速傳播、感染。

“蠕蟲”與“勒索”第一次“合體”成了全球首例通過系統漏洞實現傳播的“勒索蠕蟲”。“借助‘蠕蟲’的傳播方式升級，讓傳統安全防護手段幾乎淪陷，甚至造成了更嚴重的內網蔓延。”亞信安全技術支持中心總經理蔡昇欽解釋，以往的勒索軟件具有一定的地域性、欺詐性，常常受限于不同國家的文字差異，難以進行國與國之間的傳播，但這次不需要與用戶互動，也不需要誘騙用戶點擊，可以直接利用系統漏洞達到攻擊目的。

WannaCry勒索病毒的大小是3.3MB，所有未及時安裝MS17-010補丁的Windows系統都可能被攻擊。它通過MS17-010漏洞進行快速感染和擴散，使用加密算法對文件進行加密。一旦某臺電腦被感染，同一網絡內存在漏洞的主機都會被它主動攻擊，因此受感染的主機數量飛速增長。

今年4月，黑客組織“影子經紀人”對外公布了從NSA盜取的Windows攻擊工具“永恒之藍”。“永恒之藍”是一個武器級別的產品，可以直接遠程遙控計算機。不法分子通過改造“永恒之藍”攻擊程序發起了這次網絡攻擊事件，無需用戶進行任何操作，只要開機聯網，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等一系列惡意程序。“過去，‘蠕蟲’需要依附郵件，在網絡上‘爬’得很慢，但是有了這個武器之后，就相當于開著汽車來傳播了。”亞信網絡安全產業技術研究院副院長童寧說。

▲被WannaCry勒索病毒所感染的電腦界面（圖/中新網）

英國小伙意外阻攔病毒傳播

鑒于WannaCry勒索病毒的肆虐，微軟決定為已不再提供更新支持的XP、WindowsServer2003發布補丁，還發布了《勒索病毒Ransom：Win32/WannaCrypt防范及修復指南》。

WannaCry勒索病毒也并非沒有弱點，一名來自英國的網絡工程師無意中阻斷了病毒的蔓延。該名年僅22歲的工程師5月12日晚注意到，這一勒索病毒正不斷嘗試進入一個極其特殊、尚不存在的網址，于是他順手花8.5英鎊注冊了這個域名，試圖借此網址獲取勒索病毒的相關數據。

令人不可思議的是，此后勒索病毒在全球的進一步蔓延竟然得到了阻攔。

這名工程師和同事分析，這個奇怪的網址很可能是勒索病毒開發者為避免被網絡安全人員捕獲所設定的“檢查站”，而注冊網址的行為無意間觸發了程序自帶的“自殺開關”。

也就是說，勒索病毒在每次發作前都要訪問這個不存在的網址，如果網址繼續不存在，說明勒索病毒尚未引起安全人員注意，可以繼續在網絡上暢行無阻。而一旦網址存在，意味著病毒有被攔截并分析的可能。

在這種情況下，為避免被網絡安全人員獲得更多數據甚至反過來加以控制，勒索病毒會停止傳播。

不過，這名工程師和一些網絡安全專家都表示，這種方法只是暫時阻止了勒索病毒的進一步發作和傳播，但幫不了那些病毒已經發作的用戶，也并非徹底破解了這種勒索病毒。

病毒目前仍在進行變種

英國年輕網絡工程師的推測很快變成了現實。

騰訊安全反病毒實驗室5月16日表示，WannaCry勒索病毒在暴發之前已經存在于互聯網中，并且病毒目前仍然在進行變種。在監控到的樣本中，發現疑似黑客的開發路徑，有的樣本名稱已變為WannaSister.exe，從WannaCry“想哭”變成了WannaSister“想妹妹”。

在分析過程中，騰訊反病毒實驗室發現，WannaCry勒索病毒在演化中為躲避殺毒軟件的查殺，有的樣本在原有病毒的基礎上進行了加殼處理；有的樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片鏈接，并且把WannaCry勒索病毒加密后，放在了自己的資源文件下，誤導病毒分析人員。

此外，有的樣本中發現病毒作者開始對病毒文件添加數字簽名證書，用簽名證書的方式來逃避殺毒軟件的查殺。病毒作者在一些更新的樣本中，也增加了反調試手法，例如通過人為制造SEH異常改變程序的執行流程，注冊窗口Class結構體將函數執行流程隱藏在函數回調中等。

針對目前的WannaCry勒索病毒變種，國內官方以及多家安全企業最新消息顯示，已找到有效的防御方法，用戶只要掌握正確的方法就可以避免被感染。

網絡安全不能一隔了之

本次事件也讓國內安全行業來了一次集體反思。360企業安全集團總裁吳云坤表示，多年來我國的企業安全總在強調內外網隔離的思想，認為網絡隔離是解決網絡安全問題最有效的方式，有些單位的信息安全工作人員仍簡單地以為只要隔離就能安全解決問題。但隨著互聯網時代的日益興盛，網絡邊界越來越模糊，業務應用場景越來越復雜，也有更多的技術手段可以輕易突破網絡邊界。

“此次事件中招的大部分是企業和機構內網以及物理隔離網，事實證明隔離不是萬能的，不能一隔了之、萬事大吉。內網是隔離的，本來應是安全島，但內網如果沒有任何安全措施，一旦被突破就會瞬間全部淪陷，所以在隔離網里要采取更加有效的安全措施。”吳云坤如此表示。

▲比特幣是一種虛擬貨幣，目前已有一些國家敞開國門，允許民眾持有使用（新華社姚琪琳攝）

有批評聲音指出，在WannaCry勒索病毒暴發之前，國內沒有一家安全企業提早發出預警，之后則齊刷刷爭相出爐解決方案，表現讓人失望。哈爾濱安天科技股份有限公司發言人回應說：“2014年起公司就開始不斷地發布關于勒索軟件的消息，今年三四月份還針對這個漏洞發過漏洞預警，直接指出有可能在一年內暴發大規模感染，可惜都如同石沉大海。作為安全企業，我們也挺心酸的。”

吳云坤也表示，雖然網絡安全已經上升到國家戰略層面和法制層面，但國內某些機構和企業整體安全意識還不強。此次事件發生前一個月，相關補丁和預警就已經發布，此次被感染的大多數客戶都是因為沒有及時打補丁所致。

與勒索蠕蟲的戰斗不會結束

如果把這次事件看成互聯網領域的一場災難，在啟明星辰信息技術有限公司首席戰略官潘柱廷看來，對于事件的處置做得“相當不錯”。比如國家網信、公安等部門迅速作出部署，各大安全廠商迅速發布應對方案指南。

“未來還可能出現類似情況，甚至比這個影響更大。”潘柱廷說，安全是一個持續動態檢測和防護的過程，NSA方程式工具可造成類似“永恒之藍”嚴重影響的漏洞或不止一個。

“現在不是整個事件的結束，恰恰是一個開始。”亞信安全通用安全產品中心總監劉政平認為，這類蠕蟲和勒索軟件相融合的模式帶有示范效應，后面很多黑客會進行復制，可以采用不同的漏洞、相同的手法進行傳播和攻擊，之后還可能演變成跨平臺、跨系統，造成的威脅可能越來越大。

特別需要注意的是，物聯網時代的操作系統更為復雜。家庭安全攝像頭、嬰兒監視器、胰島素泵、心臟起搏器、健身追蹤器、智能手表等智能設備給人們帶來便捷的同時，也增添了許多安全隱患。“一旦物聯網遇上勒索行為，人們的‘云上生活’將受到很大影響。”在蔡昇欽等業界人士看來，人們與勒索蠕蟲的戰斗不會結束，下次受到攻擊的很可能是手機、物聯網基礎設施等，由此可見防范于未然的重要性。

對此，北京奇虎360科技有限公司董事長周鴻祎呼吁相關部門、安全企業和各級單位共建網絡命運共同體。他認為，在網絡攻擊面前，單靠一家公司或一兩個單位解決不了問題，只有各級單位協同作戰，及時交換、共同分析數據信息，才能有助于將更多的網絡攻擊扼殺于萌芽狀態。（本刊綜合）※

比特幣是什么

簡單來說，比特幣就是一種虛擬貨幣。它不依靠任何貨幣機構發行，而是依靠特定的算法、通過大量計算產生的。比特幣的數量不是無限的，設計者設定的最大數量是2100萬個。現在1600萬以上的比特幣已經被個人占有，剩下將近五百萬個比特幣需要大量的數據計算去挖掘。

比特幣的概念最早由“中本聰”在2009年提出，這個“發明人”2010年之后就從互聯網上銷聲匿跡了，他是個真實存在的人，還是一個虛擬名字或者一個團隊，沒人說得清楚。直到2016年5月，澳大利亞企業家克雷格·賴特公開證實，自己就是比特幣的創始人“中本聰”。

比特幣近年的價格走勢驚人，剛被提出時一美元可以兌換1300個比特幣。到了2011年，一美元可以兌換一枚比特幣。而最新數據顯示，6月1日上午，一枚比特幣等于2058美元。這是什么概念？如果2009年你花1美元買了1300個比特幣，那么今年你已經是一個坐擁260多萬美元的富翁了。