互联网“生化危机”正在上演

　　“想哭”病毒具备了一款超级病毒应有的特点：神秘、快速以及严重的破坏。终止这场猫鼠游戏是网络安全专家们的共同目标

　　2017年5月的第二个周末，网络上一度“哀鸿遍野”。几乎所有人都被勒索病毒刷屏，上一次整个网络这么恐慌，还是因为一只可爱的熊猫。而这次，是名为“想哭”（WannaCry）病毒的勒索软件再次在全球肆虐。一场互联网领域的“生化危机”正在全球上演，令人不安的情况仍在继续：“想哭”病毒还在扩张自己的领地，这大概是世界上成名最快的一款互联网程序。

　　在“想哭”攻城拔寨的传播过程中，5月13日晚间，一名英国研究员无意间发现的“想哭”隐藏停止开关（Kill Switch），意外遏制了病毒的进一步大规模扩散。但事情远未结束，事实证明停止开关的发现只是一个插曲。勒索病毒并未中止，反而因变异体的出现呈愈演愈烈之势。5月14日，在停止开关被发现18小时后，国家网络与信息安全信息通报中心发布新变种预警：“想哭2.0”即将来临，该变种取消了停止开关，传播速度会更快。

　　新的危险正在步步逼近，而人们目前对“想哭”病毒本身的所知依然有限。

　　电脑病毒和反病毒的世纪大战

　　计算机虽然诞生于20世纪40年代，但在诞生之后的相当长的时间内都是一种大型研究机构或者政府机构的专门配备，直到苹果和IBM根据普通人的需求设计了个人计算机，计算机才从深宅大院走向了寻常百姓家。在电脑成为家庭生活用品之后，互联网也逐渐开始普及。1987年巴基斯坦的两位年轻人做出了世界上第一个成型的计算机病毒：C-BRAIN。至此，病毒成为伴随世界计算机与互联网发展的一个伴生产业。最早的时候，电脑病毒往往只是一些技术极客（geek）的个人爱好之举，而且当时基于计算机的金融业并不发达，这种纯粹破坏别人计算机的行为，往往是为了证明自己的技术能力或者存在感而进行的个人行为。

　　由于计算机特殊的运行机制和互联网超快速的传播方式，计算机病毒能够以几乎零成本的方式进行自我复制，并借助互联网快速传播，甚至可以潜伏在某些计算机内部非常长的时间，直到特殊的时间节点才爆发出来。大名鼎鼎的黑色星期五病毒、米开朗基罗病毒、熊猫烧香病毒都是如此。后来，在计算机行业内出现了一批人，专门对付计算机病毒。1989年著名的杀毒软件麦咖啡诞生，成为世界上第一款杀毒软件。1991年，俄罗斯计算机工程师尤金·卡巴斯基（Eugene Kaspersky）通过长时间的研究，开始转战杀毒软件产业，1997年卡巴斯基杀毒软件诞生。之后杀毒软件可以说是如雨后春笋一般疯狂地涌现出来。

　　此番攻击规模有多大

　　“想哭”病毒大规模入侵全球电脑网络，使得成千上万台电脑瘫痪，势头之猛超过了大多数人的想象。“想哭”病毒的实际传播情况确实没有辜负其制作者精心准备的27种语言，目前，已经有近百个国家遭遇病毒攻击，其中包括英国、美国、中国、俄罗斯、西班牙和意大利。黑客将电脑中的资料文档上锁，并要求支付300美金等价的比特币才能解锁文件。网络罪犯利用它控制了全球几十万台电脑，美国的物流巨头联邦快递（FedEx）、英国国家医疗服务体系（NHS）、中国的大学，甚至俄罗斯联邦内务部都纷纷中招。各大商业银行、金融企业、支付企业严阵以待，提心吊胆。

　　中国石油旗下的多地加油站在5月12日零点左右突然出现断网，无法使用支付宝、微信、银联卡等联网支付方式，只能使用现金支付。值得注意的是，国内多所高校受到了此次网络攻击的影响。近日正值毕业论文季，这种病毒对国内一些高校的教育网、校园网已经造成了影响，致使许多实验室数据和毕业设计被锁。在欧洲，汽车制造商雷诺宣布，其法国总部受到了勒索病毒的攻击，而它在斯洛伐克的一家工厂因为这场突然爆发的“疫情”已经关闭。

　　现在各国还是不断有计算机中毒，甚至有消息称不仅是Windows系统，苹果手机的IOS系统和安卓系统同样无法幸免。

　　是谁在开展攻击

　　在很长时间里，网络安全袭击一般有两个模式：一是袭击者自行根据所发现漏洞编订袭击方式，也就是一般意义上的黑客袭击；二是袭击者制造病毒类程序引发范围袭击。这两个模式中，病毒也可以完成先传递、再引发袭击的过程。但病毒制造者传递给袭击实施者的往往是病毒原本，很容易被安全工具扑灭。

　　但这次流传出的袭击工具则不同，引用专业网络安全企业的评价，这次泄露出的黑客工具在漏洞的危险程度、漏洞利用程序的技术水平以及工具工程化水平，都属于世界顶尖水平。

　　这次的感染似乎是通过一个蠕虫病毒来部署的。蠕虫是一种程序，可以在计算机之间自我传播。一旦“想哭”进入了一个组织机构的内部计算机网络，它就会找到一些脆弱的计算机并感染它们，这可能解释了为什么它的影响是如此巨大。

　　一些专家说，这种攻击应该是利用了微软系统的一个漏洞。该漏洞最早是由美国国安局发现的，他们还给漏洞取名为“永恒之蓝”（Eternal Blue）。随后，美国国安局研发的相关工具就被一个名为“影子经纪人”的黑客团体窃取了。黑客们还尝试在网络拍卖中出售它们。但是，黑客们之后又决定免费提供这些工具，并在4月8日发布了加密密码。黑客们表示，他们发布密码，是为了对美国总统唐纳德·特朗普表示“抗议”。

　　“永恒之蓝”将一款很普通的勒索病毒升级，取名为“想哭”，被感染的Windows系统用户必须在7天内缴纳一定的比特币作为赎金，否则电脑数据将会被全部删除并且无法恢复，如果用户没能缴纳比特币，赎金将会自动翻倍。“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装2017年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

　　暴利产业链的形成

　　其实，勒索病毒并不是什么新鲜事。多年来，公司或个人被勒索病毒攻击的事时有发生。而网络罪犯们逐渐发现，用勒索病毒锁定受害者电脑中的重要文件进行敲诈，是短时间内捞钱最快的方式。和偷走数据相比，绑架数据能赚到更多的钱。借助高强的加密技术、难以追踪的电子货币，甚至一些付费后帮忙赎回数据的网站，这些新型工具能轻松锁定受害者的数据。也就是说，这种形式的网络偷窃正变得越来越简单。

　　相对于之前那些零碎的小型攻击，5月中旬的袭击是勒索病毒的一次大爆发。这次攻击本不应该如此让人震惊。随着数据逐渐成为了人们的生命线，网络罪犯的敲诈手段越来越高级，而且赎金也越来越“狮子大开口”。五年前，东欧的黑客锁定受害者的电脑，通常只要求100-400美元的赎金。那时，给罪犯交钱的人并不多，因为技术人员和安全专家一般都能找到解锁办法。2012年，据安全专家估计，只有不超过3%的受害者缴纳了赎金。而如今，缴纳赎金的比例已经上升到50%。而那些拒绝向黑客低头的人，要么是自己有足够的备份，要么是心理抵触，还有些人是付不起巨额赎金。

　　大多数中小型公司会按要求缴纳赎金，因为他们一般没有备份数据，也没有其他选择。大多数情况下，数据是生意的血脉，这些公司要么选择乖乖交钱，要么选择放弃生意。网络罪犯还把目标对准了大学，因为通常大学需要共享大量信息，因此有更多的开放系统。与此同时，他们还发现，医院也是个怕捏的“软柿子”。比如5月勒索病毒攻击英国医院电脑系统，引发了前所未有的紧急状况。黑客封锁了病人的病史记录，这让急救室的医生束手无策，不得不将病人“拒之门外”。位于伦敦的帝国理工学院医疗中心（Imperial College Healthcare）在过去一年中就遭遇过19次勒索病毒攻击。

　　据美国政府统计，仅2016年，美国国内“勒索软件”攻击发生的频率就激增了300%，而黑客收到的赎金高达10亿美元，几乎每天都有4000件此类勒索案件发生。

　　为什么是比特币

　　比起信用卡、汇款，比特币更难被追踪，这种方式既简单又匿名，所以网络罪犯都以比特币的形式收取赎金。由于比特币的存在，让勒索病毒相比盗刷信用卡之类的犯罪，变得更加低成本和低风险。比特币投资者普遍认为，比特币被用于勒索，是因为比特币不仅相对于其他传统支付工具有优势，同时在其他虚拟货币中也是最佳选择。首先，比特币有一定的匿名性，便于黑客隐藏身份；其次它不受地域限制，可以全球范围收款；同时比特币还有“去中心化”的特点，可以让黑客通过程序自动处理受害者赎金。而相比于其他数字货币，比特币目前占有最大的市场份额，具有最好的流动性。

　　正是利用了比特币的匿名性特征，犯罪分子“完美”地避开了监管通过银行卡交易记录追踪每笔钱来龙去脉的可能。多位比特币投资者表示，这次勒索病毒袭击的原因与比特币本身并无直接关系。

　　如何免遭勒索病毒之害

　　1.备份自己的文件。保护自己免遭这些敲诈软件攻击的最好方法就是将设备中的各种信息和文件备份到一个单独的系统之中。理想的存储地方就是外接移动硬盘，这样的硬盘还不能与互联网连接。这就意味着，如果用户遭到敲诈软件的袭击，他也不会将任何信息泄露给黑客。企业通常将他们的数据保存到外部服务器之中，因此，即使它们的主要网络受到攻击，他们的外部服务器也不会受到影响。

　　2.对电子邮件、网站和应用保持警惕。要想让敲诈软件发挥作用，黑客需要把恶意软件下载到受害者的电脑之中。然后再利用这些恶意软件发动攻击，进而解密获取的文件。将软件安装到受害者设备上的最通常方法就是借助网站上的钓鱼式电子邮件、恶意广告，以及各种有问题的应用和程序等进行。因此，用户在打开一些不知名的电子邮件或浏览不熟悉的网站时，应当保持警惕。用户不要随意下载那些未经官方商店认证的应用，在安装某个程序前应当仔细阅读相关评论。

　　3.使用防病毒程序。防病毒程序能够阻止敲诈软件被安装到电脑中，而且还能够在这些敲诈软件发动黑客攻击时帮助用户及早发现这些攻击。诸多防病毒程序能够扫描电脑中的各种文件，以查看这些文件是否感染敲诈病毒。另外，防病毒程序还能够在用户浏览网页时阻止恶意广告秘密安装到电脑之中，并发现那些可能已经安装到用户电脑或设备上的恶意软件。

　　4.不断更新软件补丁。企业经常发布更新的软件补丁，以修补软件中的漏洞，从而避免这些漏洞被黑客用来安装敲诈软件。因此，建议用户坚持下载安装软件的最新补丁。

　　5.永不支付赎金。建议那些遭遇敲诈软件攻击的受害者，永远不要向黑客支付赎金，否则就会助长黑客的嚣张气焰。而且，即便支付了赎金，那些受感染的文件也不一定能够恢复正常。

　　“想哭”病毒的影响较大，应该说给所有人上了一课。勒索病毒的大爆发，暴露了世界范围内的用户薄弱的网络安全意识。网民几乎已经忘了电脑病毒这个东西，以为自熊猫烧香后，病毒已经不见了。其实，病毒一直都在，只是网民看不见而已。此次病毒事件会让网民重新警觉起来，一定会对中国的网络安全产生正面影响。

　　2017年6月1日起，《中华人民共和国网络安全法》将正式实施。主管部门可以此为契机，进行一次全国的摸底调查，让各个部门、企事业单位等如实上报在这次攻击中是否遭遇安全事故，进行一次全方位的“体检”，查出不足、防堵漏洞。信息安全的防范比我们想象中重要得多。

　　（作者为广东现代移动互联网研究院研究员）

　　□于雪