侠客岛解局勒索病毒内幕

    关于病毒的爆发原理，相信大家这几天也看了不少文章。简言之，这一蠕虫勒索病毒，通过针对Windows中的一个漏洞攻击用户，对计算机内的文档、图片等实施高强度加密，并向用户索取以比特币支付的赎金，否则七天后“撕票”，即使支付赎金亦无法恢复数据。其加密方式非常复杂，且每台计算机都有不同加密序列号，以目前的技术手段，解密几乎“束手无策”。

　　在全球网络互联互通的今天，受害者当然不仅限于中国。

　　据360威胁情报中心统计，从12日爆发之后，全球近百个国家的超过10万家组织和机构被攻陷，其中包括1600家美国组织，11200家俄罗斯组织，中国则有29000多个IP被感染。在西班牙，电信巨头Telefonica，电力公司Iberdrola，能源供应商Gas Natural在内的众多公司网络系统瘫痪；葡萄牙电信、美国运输巨头FedEx、瑞典某地方政府、俄罗斯第二大移动通信运营商Megafon都已曝出遭受攻击。而根据欧洲刑警组织的说法，本次攻击已经影响到150个国家和地区。随着病毒版本的更新迭代，具体数字可能还会增加。

　　那么，问题来了：这是谁干的？！

　　黑手

　　没有答案。

　　用360核心安全团队负责人郑文彬的话说，勒索病毒的溯源一直是比较困难的问题。曾经FBI悬赏300万美元找勒索病毒的作者，但没有结果，目前全球都没有发现勒索病毒的作者来自哪个国家。但从勒索的方式看，电脑感染病毒之后会出现包括中文在内十五种语言的勒索提示，且整个支付通过比特币和匿名网络这样极难追踪的方式进行，很有可能是黑色产业链下的组织行为。

　　勒索病毒是2013年才开始出现的一种新型病毒模式。2016年起，这种病毒进入爆发期，到现在，已经有超过100种勒索病毒通过这一行为模式获利。比如去年，CryptoWall病毒家族一个变种就收到23亿赎金，近几年苹果电脑、安卓和iPhone手机也出现过不同类型的勒索病毒。

　　虽然下黑手者目前还找不到，但其所用的工具，却明确无误地指向了一个机构——NSA(National Security Agency)，美国国家安全局。这一机构又称国家保密局，隶属于美国国防部，是美国政府机构中最大的情报部门，专门负责收集和分析外国及本国通讯资料。黑客所使用的“永恒之蓝”，就是NSA针对微软MS17-010漏洞所开发的网络武器。

　　事情是这样的：NSA本身手里握有大量开发好的网络武器，但在2013年6月，“永恒之蓝”等十几个武器被黑客组织“影子经纪人”(ShadowBreakers)窃取。

　　今年3月，微软已经放出针对这一漏洞的补丁，但是一是由于一些用户没有及时打补丁的习惯，二是全球仍然有许多用户在使用已经停止更新服务的WindowsXP等较低版本，无法获取补丁，因此在全球造成大范围传播。加上“蠕虫”不断扫描的特点，很容易便在国际互联网和校园、企业、政府机构的内网不间断进行重复感染。

　　又一个问题来了：NSA为什么会知道微软的漏洞，并且制作了专门的网络武器，然后这些武器中的一部分还落到了黑客的手里？

　　NSA

　　实事求是地说，作为操作系统之一，Windows的构成动辄几亿行代码，之间的逻辑关系不可能一个人说了算，因此出现漏洞是很难消除的。而Windows又是世界上使用最普遍的操作系统，因此被黑客看中而研究漏洞并攻击获利，是很“正常”的事情。

　　但作为美国国家安全局，盯着这个系统的漏洞也就罢了，还专门搞武器，这是什么道理？

　　事实上，在黑客组织曝光这一漏洞之前，微软自己也不知道漏洞存在。也就是说，只有NSA知道漏洞存在，至于知道了多久，也只有他们自己知道。在侠客岛上的网络安全专家看来，很可能的情况是，NSA早就知道这个漏洞、并且利用这一漏洞很久了，只不过这次被犯罪团队使用了，才造成如此大的危害。从这一点我们可以看出，美国的技术确实很强，在网络安全领域独步全球；同时，“漏洞”已经成为兵家必争的宝贵战略资源。

　　换言之，通过网络对现实发起攻击，已经不是科幻电影的场景专利，而是已经发生的现实。不信的话，给大家讲一个真实的故事——

　　斯诺登，披露美国政府对全球实施监控的“棱镜计划”的那位，就是NSA的前雇员。他证实的一则消息是，2009年，奥巴马政府曾下令使用网络攻击武器——代号“震网”的病毒，攻击了伊朗的核设施。其中原因复杂，简单说就是以色列设法通过马来西亚的软件公司，让伊朗购入了夹带着一病毒的离心机控制软件；2010年，病毒爆发，控制并破坏伊朗核设施的离心机如那件，最终造成1000余台离心机永久性物理损坏，不得不暂停浓缩铀的进程。

　　从这个意义上说，习近平多次讲“没有网络安全就没有国家安全”，绝对是有的放矢的。试想，这次病毒还是在可控范围内的，下一次如果网络攻击的规模更大、目标更明确呢？

　　从中国的角度看，在大多数人印象中，上一次如此规模的病毒爆发，大概还要追溯到十几年前的“熊猫烧香”。而像此次的病毒这样，一旦中招几乎无解、面临自身重要资料被“绑架”的严重情况，也属罕见。

　　而从各地的反应看，对于网络安全的重视程度显然也不一样。国家网信部门，以及上海、北京等省市，几乎在13日就发布了应急通告；15日上午发生的感染，中西部省份则偏多。也有业界专家指出，像政府、企事业单位、校园等机构，很多领导对网络安全的概念还停留在“电脑中毒了就找人杀杀毒”的地步，很多也觉得“有了内网的物理隔绝就没事儿”，观念和防护措施都相当滞后。

　　事情还未收场，引起的课题和震撼就已经足够多。这就像是一场公共卫生事件，是平时对安全的重视和组织程度，决定了瘟疫能在多大程度上扩散。