《網絡安全法》實施背景下“永恒之藍”事件的啟示

摘要：2017年5月12日，利用“永恒之藍”SMB漏洞入侵的“想哭”蠕蟲病毒在全球范圍內大規模爆發，被感染電腦被要求支付約300美元等值的“比特幣”方可解密文件。該事件正值我國《網絡安全法》將要實施之時，筆者作為系統學習過軟件工程及法律的研究生，從事件一開始便開始關注，事件爆發后筆者第一時間找到該蠕蟲病毒的源代碼并進行分析，得出該病毒破壞原理。并結合該病毒為案例，從預防蠕蟲病毒感染的角度提出幾點建議。

關鍵詞：網絡安全法；永恒之藍；蠕蟲；預防

中圖分類號：D924.3文獻標識碼：A文章編號：2095-4379-（2017）23-0249-01

作者簡介：晏子昂（1993-），男，漢族，湖南益陽人，云南財經大學法學院，法律碩士研究生，研究方向：訴訟法；導師：佴澎。

一、事件背景

2007年，美國秘密啟動“棱鏡”互聯網監控行動。制作了一系列攻擊工具進行監聽，而其中就有“永恒之藍”這一在十年后肆虐全球的蠕蟲工具[1]。今年4月初，美國國家安全局內部泄露出這一系列蠕蟲工具的源代碼。4月16日，我國負責互聯網安全的CNVD機構嗅探到了對我國互聯網安全具有潛在性威脅的這一事件，發布了一系列預防的公告。5月12日，該蠕蟲病毒在全球范圍內大規模爆發。僅僅24小時之內，全世界近一百個國家和地區受到波及，受到蠕蟲病毒感染的計算機文件被加密，并被要求支付約300美元等值的“比特幣”方可解密文件。當晚，山東大學、江蘇大學、太原理工大學、桂林電子科技大學等十幾家高校也遭受攻擊[2]

二、“想哭”病毒的破壞原理

通過對病毒的源代碼進行分析，病毒對被感染的計算機系統內的文件進行高強度加密，文件加密的過錯大致如下，首先通過隨機數設置一個密鑰，并將其REA兩次加密，隨后開始掃描全盤文件，根據后綴名的不同，其一，對于exe、dll等文件不進行加密；其二，對jpg、doc等170種文件進行加密；其三，對于既非exe等不加密后綴也非jpg等加密后綴的文件識別其是否大于200M，若是則加密。最后根據加密文件的目錄，若是桌面（Desktop）、我的文檔（Documents）等關鍵目錄則覆蓋后刪除以防恢復，其他則直接刪除。該過程完成后彈出框向受害者勒索一定金額的比特幣換取解密密鑰。

三、蠕蟲病毒防范策略

（一）首先要加強防火墻的防護能力。防火墻屬于IP數據包過濾器，較為嚴格的防火墻可以設置只允許匹配特定來源或目的的IP地址、TTL值、端口或網段等屬性規則的數據包通過，禁止除白名單外的任何數據進入防火墻，從而達到在網絡入口處篩選數據包的功能，對于過濾不明文件有著極為有效的預防作用。

（二）修復必要的系統漏洞?？梢苑乐购诳褪褂眠h程執行代碼的攻擊，比如本文所著重提到的“想哭”病毒，微軟公司已于2017年3月14日在其TechNet上發布了MS17-010號的信息安全公告，并向用戶推送了安全補丁“KB4013389”封堵此漏洞[3]，但并不是所有的用戶都安裝了該漏洞，騰訊電腦管家在“永恒之藍”事件后對于為何屏蔽該補丁做出了解釋，稱該補丁中包含ci.dll文件，可能導致盜版系統電腦重啟反復藍屏?？梢钥闯鍪褂谜娌僮飨到y并及時更新補丁對于防范病毒也是非常必要的。微軟公司在其最新發布的Win 10系統中強制打開所有用戶的自動更新功能[4]從而使得Win 10系統幾乎不存在被病毒感染的個例。

（三）在不需要使用網絡時將其斷開以減少與網絡不必要的連接，對于存儲有重要文件的計算機盡可能24小時處于脫機狀態，以隔絕本地文件與外界的聯系從而達到保護計算機的目的，就本文所言的“永恒之藍”事件，其大規模的攻擊集中在2017年5月12日20時至次日12時之間，如果用戶謹慎的采取少聯網的措施，便極有可能在某種特定病毒的爆發期內幸免。

除了個人的防范，網絡運營商的防范也尤為關鍵，就本次肆虐全球的“永恒之藍”事件而言，擁有全世界網民數量最多的中國受災人數遠低于美國。正是由于我國三大網絡運營商均關閉了445端口的緣故，避免了一起我國網絡用戶遭受巨大損失的事故。

[參考文獻]

[1][美]Edward Snowden.NSA collecting phone records of millions of Verizon customers daily[N].The Washington Post，2013-06-06.

[2]何利權，李思文，劉蕓.勒索軟件病毒肆虐中國多所高校[EB/OL].http：//www.thepaper.cn/newsDetail_forward_1684721.

[3][美]Security Bulletins.Microsoft Security Bulletin MS17-010[EB/OL].Security TechCenter.https：//technet.microsoft.com/en-us/library/security/ms17-010.aspx.

[4][美]Woody Leonhard.Windows 10 forced updates[EB/OL].http：//www.infoworld.com/article/2949622/microsoft-windows/windows-10-forced-updates-dont-panic.html.endprint