勒索病毒肆虐全球 网络安全警钟再敲

杨光

“拔网线”成了很多办公一族5月15日上班后要做的第一件事。这都是WannaCry勒索病毒惹的祸。

攻击凶猛“史无前例”

5月12日晚，WannaCry勒索病毒（中文名“想哭”）在全球多个国家蔓延。“想哭”主要利用了微软Windows操作系统存在漏洞的电脑。电脑感染后会显示一个信息，称用户电脑系统内的档案已被加密，须向黑客支付价值约300美元甚至更多的电子货币比特币来赎回。同时黑客还警告，金额会在3天后翻倍，若7天内还是没收到，就会把所有文件删除。据英国金融时报报道，该病毒的发行者利用去年被盗的美国国家安全局自主设计的 Windows系统黑客工具 Eternal Blue，把今年2月的一款勒索病毒进行升级后就成了WannaCry。

至欧洲时间5月14日早上，多达150个国家的20万台电脑遭该勒索病毒的侵害。受到该病毒影响的不仅仅是校园网，还包括部分企事业单位。中国官方媒体报道称，中国有近 4 万家公共和私人机构受到了攻击。中国国家互联网信息办公室称，受害者包括政府机构和私营企业，涉及教育、银行和信息技术等领域。欧洲的警方协调机构估计，至少有 20 万个个人终端成为本次攻击的受害者。

“想哭”病毒致使医院瘫痪，扰乱了运输网络，还使企业无法运转。欧洲刑警组织表示，尽管勒索软件的出现并非新鲜事，但是“想哭”病毒的攻击规模“史无前例”。

由于本次攻击是勒索病毒借助了蠕虫的传播方式，病毒通过系统漏洞进行入侵，无需用户点击下载，恶意程序就能远程植入系统。同时，病毒能启动扫描功能进行二次传播，这就有能力进行大规模传播，局域网在这次事件中受冲击最大。

在英国，英格兰和苏格兰医疗系统的部份电脑系统受病毒感染，运作大受影响。除了英国，遭受“想哭”袭击的有一长串名单：德国铁路（Deutsche Bahn）、美国物流集团联邦快递（FedEx）、法国汽车制造商雷诺（Renault）、西班牙电信（Telefónica）、西班牙电力公司（Iberdrola）、葡萄牙电信（Portugal Telecom）等都受到影响。俄罗斯和印度的情况最严重，这两个国家仍广泛使用“最容易中招”的微软视窗XP系统。

据360安全专家介绍，这次的“永恒之蓝”勒索蠕虫，是NSA网络军火民用化的全球第一例。一個月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

据追踪比特币非法使用情况的伦敦公司 Elliptic Enterprises 称，截至当地时间周一，用户只向黑客支付了总计约人民币 34 万元赎金。不过，这些赎金只占此次网络攻击所产生实际损失的一小部分。据《华尔街日报》报道，硅谷网络风险建模公司 Cyence 的首席技术官 George Ng 称，在考虑了电脑系统平均备份比例以及遭攻击公司的业务范围后，估计此次网络攻击造成的全球电脑死机直接成本总计约 80 亿美元。

转机源于“无心插柳”

电脑专家指出，大部份的病毒依靠引诱使用者点击一些由黑客撰写的电邮附件传播；但“想哭”有所不同——它可以自动在内网散播，让病毒在短时间感染许多系统，导致“想哭”病毒大面积传播爆发。

“想哭”病毒，是一种勒索病毒。所谓勒索病毒，是以敲诈勒索为目的的新型网络病毒。它的特点是，不仅具备传染性，而且以敲诈勒索赎金为目的。另外就是这个病毒很顽固，每台机器的加密方式不同，被它恶意加密的文件，除了病毒制造者外，目前无人能解。

安全专家提到：“目前的互联网环境中，我们个人会做很多防护措施，比如安装杀毒软件。但这次病毒影响最大的不是个人所使用的互联网，而是政府和企业内部的网络，这些网络在过去的管理当中，由于没有打补丁，导致了漏洞的存在，病毒就得以在这些系统中快速传播，从而对政府或企业的业务系统，比如说交费、学生的毕业论文、加油等等产生极大影响。勒索病毒不单单是影响一台电脑，还直接影响到了人们的工作和生活。”

5月14日下午，国家网络与信息安全信息通报中心紧急通报，监测发现在全球范围内爆发的勒索病毒出现了变种WannaCry 2.0，与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

关于勒索病毒的变种，专家解释，病毒变种，危害程度和第一版的病毒其实是一样的，只是加速了病毒的传播速度。过去病毒为了对抗杀毒软件、安全软件，做了一些机制来保护自己，现在的变种就是打开了这样的一些保护机制，更加肆无忌惮地在网上传播，传播速度更快。

对于变种病毒的防范方法，专家说：“变种之前和变种之后的防护方法其实大同小异，最重要的是针对用户的电脑打补丁，把漏洞修补。政府和企业用户，不仅仅要解决单台电脑的问题，还要通过网络策略的配置，来解决病毒的快速传播问题。一旦一台电脑中毒，要把病毒控制在一台电脑当中做隔离，这时候就需要通过网络的手段来控制病毒的快速传播。”

WannaCry勒索病毒第一波虽然来势凶猛，但发展速度很快就减缓下来。原来是一位英国网络安全人员无意中阻止了第一波的发展势头。

他发现在代码的一开始，有一个特殊的域名地址（ www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com），完全不像一个正常的域名。与此同时，地球另一端思科的网络安全人员也发现了这个域名。他们发现，在之前网络上完全没有针对这个域名的访问，而从勒索病毒爆发开始，这个域名的访问量激增，峰值达到了每小时1400多次。

发现这个域名之后，这位英国网络安全人员照例进行了搜索，发现那个域名地址并没有被注册，出于职业习惯，他花了一点小钱就对这个域名进行了注册。他发现这个域名几乎连接到了世界各个国家的电脑。当时，他自己不知道发生了什么事，只知道这个域名不简单。

事后才发现，他当时随意的注册，简直立了大功！随着对病毒代码的进一步分析，安全人员发现，这个域名看起来像是病毒作者给自己留的一个紧急停止开关（ 防止事情失去他自己的控制）。也就是说，每一个感染了病毒的机器，在发作之前都会事先访问一下这个域名，如果这个域名依旧不存在，那就继续传播，如果已经被人注册了，无论是被病毒作者本人还是被其他人，那就停止传播。

就是这个简单的域名，经英国那位网络安全人员不经意间的注册，就触发了病毒作者留给自己的紧急停止的开关……

未雨绸缪胜于亡羊补牢

勒索病毒在给社会经济造成损失的同时，也再次拉响了网络安全的警报，包括公安教育医疗能源等防护失当，引人深思。面对此次勒索病毒，360、亚信、安天、安恒、绿盟、可信联盟等迅速行动。

亚信网络安全产业技术研究院副院长童宁认为，此次勒索蠕虫病毒虽然造成不小的损失，但是从另一个方面来说，不失为一堂生动的网络安全教育课，提示社会各方面在享受互联网带来的便利的同时，还要时刻绷紧网络安全这根弦。随着网络日益渗透到生活的方方面面，网络安全的威胁也将从虚拟走进现实。“随着物联网设备走进生活，网络安全威胁可能更加普遍，假如被‘劫持的不是电脑，而是无人机或无人驾驶汽车，给人们带来的危险将是直接而现实的。”

公安部信息安全等级保护评估中心张振峰认为：“我们人类解决问题分为两个层次，低层次是停留在出现问题解决问题层面，而高层次是着眼于如何防止问题发生。不要总是在事后才亡羊补牢，才去重视，倘若平时能够合规一点，哪怕只落实一部分，也会降低事件发生的可能，减小事件造成的损失。”

中国工程院院士倪光南谈到“勒索病毒”时指出，“自主可控”是实现网络安全的前提。目前我国的网络系统相当于是在别人的地基上建房子，在CPU等关键技术领域，发达国家处于领先地位，因此，只有构建属于中国自主技术、平台的网络生态系统，才能真正避免受制于人，也才能有效解决类似于此次“勒索病毒”的问题。