《网络安全法》实施背景下“永恒之蓝”事件的启示

摘要：2017年5月12日，利用“永恒之蓝”SMB漏洞入侵的“想哭”蠕虫病毒在全球范围内大规模爆发，被感染电脑被要求支付约300美元等值的“比特币”方可解密文件。该事件正值我国《网络安全法》将要实施之时，笔者作为系统学习过软件工程及法律的研究生，从事件一开始便开始关注，事件爆发后笔者第一时间找到该蠕虫病毒的源代码并进行分析，得出该病毒破坏原理。并结合该病毒为案例，从预防蠕虫病毒感染的角度提出几点建议。

关键词：网络安全法；永恒之蓝；蠕虫；预防

中图分类号：D924.3文献标识码：A文章编号：2095-4379-（2017）23-0249-01

作者简介：晏子昂（1993-），男，汉族，湖南益阳人，云南财经大学法学院，法律硕士研究生，研究方向：诉讼法；导师：佴澎。

一、事件背景

2007年，美国秘密启动“棱镜”互联网监控行动。制作了一系列攻击工具进行监听，而其中就有“永恒之蓝”这一在十年后肆虐全球的蠕虫工具[1]。今年4月初，美国国家安全局内部泄露出这一系列蠕虫工具的源代码。4月16日，我国负责互联网安全的CNVD机构嗅探到了对我国互联网安全具有潜在性威胁的这一事件，发布了一系列预防的公告。5月12日，该蠕虫病毒在全球范圍内大规模爆发。仅仅24小时之内，全世界近一百个国家和地区受到波及，受到蠕虫病毒感染的计算机文件被加密，并被要求支付约300美元等值的“比特币”方可解密文件。当晚，山东大学、江苏大学、太原理工大学、桂林电子科技大学等十几家高校也遭受攻击[2]

二、“想哭”病毒的破坏原理

通过对病毒的源代码进行分析，病毒对被感染的计算机系统内的文件进行高强度加密，文件加密的过错大致如下，首先通过随机数设置一个密钥，并将其REA两次加密，随后开始扫描全盘文件，根据后缀名的不同，其一，对于exe、dll等文件不进行加密；其二，对jpg、doc等170种文件进行加密；其三，对于既非exe等不加密后缀也非jpg等加密后缀的文件识别其是否大于200M，若是则加密。最后根据加密文件的目录，若是桌面（Desktop）、我的文档（Documents）等关键目录则覆盖后删除以防恢复，其他则直接删除。该过程完成后弹出框向受害者勒索一定金额的比特币换取解密密钥。

三、蠕虫病毒防范策略

（一）首先要加强防火墙的防护能力。防火墙属于IP数据包过滤器，较为严格的防火墙可以设置只允许匹配特定来源或目的的IP地址、TTL值、端口或网段等属性规则的数据包通过，禁止除白名单外的任何数据进入防火墙，从而达到在网络入口处筛选数据包的功能，对于过滤不明文件有着极为有效的预防作用。

（二）修复必要的系统漏洞。可以防止黑客使用远程执行代码的攻击，比如本文所着重提到的“想哭”病毒，微软公司已于2017年3月14日在其TechNet上发布了MS17-010号的信息安全公告，并向用户推送了安全补丁“KB4013389”封堵此漏洞[3]，但并不是所有的用户都安装了该漏洞，腾讯电脑管家在“永恒之蓝”事件后对于为何屏蔽该补丁做出了解释，称该补丁中包含ci.dll文件，可能导致盗版系统电脑重启反复蓝屏。可以看出使用正版操作系统并及时更新补丁对于防范病毒也是非常必要的。微软公司在其最新发布的Win 10系统中强制打开所有用户的自动更新功能[4]从而使得Win 10系统几乎不存在被病毒感染的个例。

（三）在不需要使用网络时将其断开以减少与网络不必要的连接，对于存储有重要文件的计算机尽可能24小时处于脱机状态，以隔绝本地文件与外界的联系从而达到保护计算机的目的，就本文所言的“永恒之蓝”事件，其大规模的攻击集中在2017年5月12日20时至次日12时之间，如果用户谨慎的采取少联网的措施，便极有可能在某种特定病毒的爆发期内幸免。

除了个人的防范，网络运营商的防范也尤为关键，就本次肆虐全球的“永恒之蓝”事件而言，拥有全世界网民数量最多的中国受灾人数远低于美国。正是由于我国三大网络运营商均关闭了445端口的缘故，避免了一起我国网络用户遭受巨大损失的事故。

[参考文献]

[1][美]Edward Snowden.NSA collecting phone records of millions of Verizon customers daily[N].The Washington Post，2013-06-06.

[2]何利权，李思文，刘芸.勒索软件病毒肆虐中国多所高校[EB/OL].http：//www.thepaper.cn/newsDetail_forward_1684721.

[3][美]Security Bulletins.Microsoft Security Bulletin MS17-010[EB/OL].Security TechCenter.https：//technet.microsoft.com/en-us/library/security/ms17-010.aspx.

[4][美]Woody Leonhard.Windows 10 forced updates[EB/OL].http：//www.infoworld.com/article/2949622/microsoft-windows/windows-10-forced-updates-dont-panic.html.endprint