勒索病毒侵袭全球：开始的离奇 结束的诡异

一场互联网领域的“生化危机”正在全球上演。令人不安的情况仍在继续：WannaCry病毒还在扩张自己的领地。这大概是世界上成名最快的一款互联网程序，从5月12日开始，在短短24小时内，由于罕见的传播速度以及严重的破坏性，勒索病毒WannaCry已经成为全球关注的焦点。

2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。目前已经波及99个国家。

在WannaCry攻城拔寨的传播过程中，5月13日晚间，由一名英国研究员于无意间发现的WannaCry隐藏开关（KillSwitch）域名，意外的遏制了病毒的进一步大规模扩散。

获知此消息的云纵首席科学家及研发副总裁郑昀忍不住在微博感叹，“这个事件从头到尾都像是一部电影，开始的离奇，结束的诡异。”

但事情远未结束，现实证明KillSwitch的发现只是一个插曲。

5月14日，在停止开关被发现18小时后，国家网络与信息安全信息通报中心发布新变种预警：WannaCry2.0即将来临；与之前版本的不同是，这个变种取消了KillSwitch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

同时，由于WannaCry大规模爆发于北京时间上周五晚8点，国内还有大量政企机构网络节点尚在关机状态。因此，今日周一开机已经是一场安全考验。

新的危险正在步步逼近，而人们目前对WannaCry病毒本身所知依然有限。

神秘谜团

WannaCry的传播路径是个谜团，互联网安全厂商们仍无法确切还原。

病毒最先在英国大规模爆发，影响范围波及医疗体系，一些手术被迫中止。国内，在病毒感染数据达到被监测机构注意到的阈值之前，首先让外界注意到这一病毒的，是国内社交网络上不少大学生反映学校网络故障的言论。

5月12日，多个高校发布了关于连接校园网的电脑大面积中勒索病毒的消息，一位来自桂林电子科技大学的同学对腾讯科技证实，该校某创新实验基地几百台电脑由于受到勒索病毒的攻击，已经陷入瘫痪。

感染范围很快从校园网蔓延出去，根据统计，国内包括校园网用户、机场、银行、加油站、医院、警察、出入境等事业单位都受到了攻击并且中毒。

腾讯安全团队在溯源中发现，病毒爆发是在校园网用户里，但从哪开始不详。猎豹移动安全专家李铁军(微博)则表示，病毒的来源和传播路径目前没有结论，什么时间潜伏进内网的，都需要更多研究来分析。

好消息一度在病毒大肆传播24小时后传出，12日晚间8点多，有消息称WannaCry被互联网安全人员找到阻止其传播的方法，这一消息随后得到国内多家安全厂商的证实。

被意外发现的KillSwitch同样是个谜团。

没人能回答病毒作者因何为WannaCry设置了停止开关，安全专家们只能给出如下推测：可能是编码错误，也可能是作者没想到；可能源于作者担心病毒无克制传播。总之，没有定论。

KillSwitch是WannaCry众多谜团中的一个，同样让人感到困惑的，还有WannaCry的勒索行为本身。

病毒被传播后，缴纳赎金的人数在持续增长，根据腾讯安全团队提供的数据，截至5月13日晚间，全球共有90人交了赎金，总计13.895比特币，价值超过14万，到了5月14日下午四点半，缴纳赎金的人数增长至116人。

尽管目前安全专家们仍未找到解密病毒感染文件的方法，但互联网安全专家们坚持建议受感染用户不要缴纳赎金。

原因在于，“WannaCry的勒索行为似乎无法构成一个完整的业务回路，”反病毒引擎和解决方案厂商安天实验室创始人、首席技术架构师肖新光介绍，在缴纳赎金解密文件这个问题上，“我们的判断和网上的传闻（缴纳赎金成功解密）有出入，即支付了赎金也无法解密。因为每个用户都是个性化的密钥，意味着受害人需要向攻击者提供标识身份的信息。”

而实际上受害者在缴纳赎金的过程中无法提供标识身份的信息，因此，这意味着即使受害者交了赎金，依然无法获得解密。

对于这种情况，肖新光分析原因可能在于“我们的分析过程中不够缜密”。但腾讯安全团队得出了同样的结论：经验证，交钱的过程，作者并没有核实受害者的逻辑，只是收了钱，并没有帮忙解密。这显然并非巧合。

肖新光给出另外两种可能的推测：“或者可能是作者根本就没有想解密；还有一种可能是，这是事件本身不是以勒索为目的，而是以勒索者的表现达到其他目的。”

一个谜团接着另一个谜团，解开它们是战胜WannaCry的关键。

互联网“生化危机”

戏剧般的场景正在由0和1组成的二进制世界中发生，离奇程度堪比电影。

WannaCry来势汹汹，可能会成为有史以来危害最大的蠕虫病毒。腾讯安全团队将WannaCry的传播方式和影响力与此前声名大噪的“冲击波”、“Conficker”对等。

冲击波病毒（W32.Blaster.Worm）是利用在2003年7月21日公布的RPC漏洞进行传播的，该病毒于当年8月爆发，由于冲击波病毒肆虐全球，部分运营商在主干网络上封禁了445端口。五年后，Conficker蠕虫病毒于2008年“袭”卷全球的，当时有近200个国家的至少900万台电脑被感染。

Conficker爆发后近十年的平静随着WannaCry的发作被打破，腾讯安全团队介绍，WannaCry与“冲击波”、“Conficker”不同的地方在于，其危害程度远超当时的病毒，因为该病毒会加密用户机器上的所有文档，损失相当惨重。

几乎所有互联网安全团队们都在通宵加班，病毒传播速度非常快，安全专家们必须争取时间。

WannaCry的作者看上去野心勃勃，据了解，其设置了27国语言，这并不常见。

肖新光介绍，最早的勒索者就用英文版，后来逐渐的扩散到不同的国家，为了获得更大的收益，从语言包的数量上对勒索软件来说是比较多的，是一个渐进的过程。

但27种语言仍旧是不同寻常的。李铁军对腾讯科技介绍，很长时间以来，勒索病毒都支持多国语言，但一般的勒索病毒支持的语言为6、7种，大部分在10种以内，“这个版本支持的语言真多。”

中文版本中，WannaCry以流畅的表述威胁着中毒用户：“对半年以上没钱付款的穷人，会有活动免费恢复，能否轮到你，就要看您的运气怎么样了。”对于中文解析流畅是否意味着病毒作者可能来自中国的猜测，安全专家们分析WannaCry有可能是团队作案，团队成员可能遍布不同国家。据腾讯安全团队介绍，目前来看受WannaCry危害最大的应是俄罗斯。

WannaCry的实际传播情况确实没有辜负其精心准备的27种语言，目前，已经有近百个国家遭遇病毒攻击。

蠕虫病毒的特性是WannaCry得以迅速传播的重要原因，与其他病毒相比，蠕虫病毒的传播速度要快太多，因为病毒自身可以寻找传播下一个可攻击的目标。

WannaCry得以获得如此快速传播的另一个重要原因在于，采用了前不久美国国家安全局NSA被泄漏出来的MS17-010漏洞。

在肖新光看来，WannaCry得以产生如此传播效果的主要原因在于“使用了一个较新的对多个Windows版本有通吃能力的远程溢出漏洞，这一漏洞本来是情报机构高度隐秘网络军火，但因失窃流失导致被多方利用。”

因此，肖新光对WannaCry事件的定义是“军火级的漏洞被以非受控的方式使用。”

美国国家情报机关的涉入让WannaCry变得更加复杂，国家权力机关的涉入已经引发外界对网络安全的担忧，逃亡至俄罗斯的NSA前雇员爱德华·斯诺登5月13日发布推特建议国会质询NSA，“鉴于今日的攻击，[email protected]，[email protected]