关于WannaCry勒索病毒 你需要知道的8个问题
　　【环球网综合报道】从5月12日起，互联网世界遭遇一种名为WannaCry(想哭)的勒索病毒攻击，这波攻击来势汹汹，席卷了全球150多个国家，数千家企业和机构、超过30万台设备受到影响。美国白宫官员博赛特5月15日表示，黑客目前已非法攫取7万美元赎金，但其身份仍未查明。
　　同时，多名网络安全专家指出，目前病毒事态只是由于多种原因而稍显缓和，但许多网络用户特别是中国用户仍面临风险关口。
　　从图中我们可以看到，受攻击的范围集中在欧洲、美国以及亚太地区，我国也遭受了大量攻击。学校、政府单位和企业成为重灾区，业务瘫痪，大量文件被加密，被要求支付赎金。
　　面对这突如其来的病毒攻击，作为普遍网民的我们该怎么处置，保护个人财产安全?记者就此专访了网易云安全(易盾)实验室相关专家，整理了八大问题，帮助读者简明分析这个蠕虫的前世今生，有效地学习应对措施。
　　问题一：已经感染病毒的如何降低影响?
　　如果你的电脑被勒索病毒感染，或者你的朋友中招，向你求助，那我们该怎么处理将影响降到最低呢?
　　首先，这是一款勒索蠕虫，蠕虫病毒的特点是会通过网络进行自动复制和传播，就像电影《釜山行》中，被僵尸噬咬过的人也会变成僵尸去传染给更多的人。所以第一步需要做的就是断开网络，防止自己的电脑去感染更多的电脑。其次，网易云安全(易盾)建议中招用户将硬盘进行格式化处理，彻底消除硬盘上蠕虫病毒，就像一次彻底的细胞切除手术。然后，再重新安装系统，并安装相应的系统补丁。最后，还需要安装杀毒软件，并把杀毒软件的病毒库更新到最新版本。
　　目前，许多人最常犯的错误就是心存侥幸，将受到感染的电脑继续连接到网络里，做各种尝试操作，亦或是认为支付赎金可以解密。其实该勒索蠕虫会对电脑中的文档进行RSA加密。这种加密方式的特点是，只要加密密钥足够长，普通电脑需要数十万年才能够破解，等于说个人几乎是不可能破解的。所以一旦电脑中毒，基本没有挽回余地。
　　问题二：未中毒者如何排除风险?
　　如果你是幸运儿，并未在此次攻击中受影响，那么也请别做一个普通的吃瓜群众，只要你使用的是Windows系统，很久不曾更新补丁，就仍有很大的中毒风险。网易云安全(易盾)建议通过&三步法&提前排除这个风险：
　　第一步：关网络。该勒索蠕虫需要通过网络传播，关闭网络也就切断了病毒的传播途径。针对普通的台式机，最直接的方式就是拔掉网线;如果家里使用的是笔记本电脑，可以关闭本机的无线网卡;家中如果使用了无线路由器的，也可以关闭无线路由器;最后，还可以通过在已开机的PC中禁用网络的方法进行关闭。个人可以根据自己的实际情况，选择对应的方式来进行断网操作。
　　第二步：关端口。该勒索蠕虫是通过扫描电脑上的TCP 445端口(Server MessageBlock/SMB)进行攻击的，所以关闭445端口也就关闭了勒索蠕虫的攻击大门。该动作分为以下几步：
　　a. 打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙
　　b. 选择启动防火墙，并点击确定
　　c. 点击高级设置
　　d. 点击入站规则，新建规则，以445端口为例
　　e. 选择端口、下一步
　　f. 选择特定本地端口，输入445，下一步
　　g. 选择阻止连接，下一步
　　h. 配置文件，全选，下一步
　　i. 名称，可以任意输入，完成即可
　　第三步：打补丁。前两步属于指标不治本的方式，只是临时阻止了勒索蠕虫的攻击，如果要治本还需要及时利用官方的系统补丁堵上系统漏洞。早在今年3月份，微软就提供了该漏洞的补丁，建议用户开启系统自动更新，并检测更新进行安装。如果自动更新失败，也可以手动从微软的官方网站下载补丁进行安装。补丁下载地址为：/zh-cn/library/security/ms17-010.aspx 。
　　问题三：手机会不会中毒?
　　保证了电脑万无一失，那么我们使用频率更高的手机会不会面临风险呢?
　　网易云安全(易盾)表示：手机不会受该勒索蠕虫影响。该勒索蠕虫利用的是Windows系统漏洞，受影响的系统是从Windows 2000到Windows10，以及Windows Server 2000到Windows Server 2016的各个版本。而目前手机的操作系统则是iOS、Android、Winphone等，并不属于Windows，所以不受该勒索蠕虫的影响。
　　问题四：为什么此次勒索病毒传播如此迅速?
　　要了解这个原因，我们还得从勒索蠕虫的原理说起。
　　首先，WannaCry蠕虫利用的漏洞非常普遍，绝大部分的个人PC机仍然使用微软的Windows操作系统，而Windows系统默认打开了445端口，并且大量的Windows用户没有定期更新补丁的习惯，这给蠕虫的传播提供了大量宿主。其次，传统的勒索软件需要靠&骗&，也就是说需要哄骗受害者主动点击某个附件、某个网址等等。而此次蠕虫病毒可以进行自我传播和自动复制，也就是可以进行主动的探测和传播。这个从&被动&到&主动&的转化，造成了传播速度上质的差异。
　　其次，WannaCry勒索病毒传播利用了一个特殊的漏洞工具，叫&永恒之蓝&，听起来像是某颗名贵钻石的名字。这个漏洞工具来源于美国国家安全局(NSA)的网络武器库。今年4月14日，一个名为&影子中间人&的黑客组织曾经进入美国国家安全局网络，曝光了该局一批档案文件，同时公开了该局旗下的&方程式黑客组织&使用的部分网络武器。据报道，这批网络武器中就包括可以远程攻破全球约70% 视窗系统(Windows)机器的漏洞利用工具(即&永恒之蓝&)。经紧急验证这些工具真实有效。当时，该事件引起了安全圈子的轰动。尽管微软早就对该漏洞发布了补丁，但是并未给企业和机构敲响警钟，大量的企业和组织并没有安装补丁。
　　&永恒之蓝&工具被公布后，立刻受到追捧，因为它能够搭载任意病毒进行全网蠕虫化自动传播，其中最厉害的就是这次的WannaCry病毒。
　　问题五：WannaCry病毒勒索为何只要比特币?
　　事实上，勒索病毒本身与比特币并无直接关系，而黑客之所以要求以比特币进行赎金支付，恰恰是看中了比特币在支付转账时的全球化、去中心化和匿名性等&优势&。
　　首先，比特币有一定的匿名性，便于黑客隐藏身份;其次它不受地域限制，可以全球范围收款、转账;再次比特币还有&去中心化&的特点，可以让黑客通过程序自动处理受害者赎金。
　　众所周知，正常的跨国汇款需要经过层层外汇管制机构审查，交易记录会被包括银行在内的多方记录在案，甚至交易超过一定额度后，为防止洗钱等违规行为，还需向有关部门上报。但如果用比特币交易就简单多了，只要输入数字地址，点几下鼠标，等待确认交易后，就可以完成交易(目前国内已经暂停提币)。
　　同时，相比于其他数字货币，比特币目前占有最大的市场份额，具有最好的流动性。近期比特币价格大幅上涨，也是其被黑客看中的原因。
　　问题六：为什么学校、医院、政府等公共机构是重灾区?
　　对于这个问题，或许一般的用户也都有这样的直观感觉：学校、医院等公共机构中的电脑设备使用的系统往往是最落后的，甚至速度也是最慢的，加上缺乏专业技术人才，安全意识较低。这类机构的电脑不能做到及时更新补丁，成为被攻击的首要原因。
　　其次，当前大部分学校基本是一个大的内网互通的局域网，不同的业务未划分安全区域。例如：学生管理系统、教务系统等都可以通过任何一台连入的设备访问。同时，实验室、多媒体教室、机器IP分配多为公网IP，如果学校未做相关的权限限制，所有机器直接暴露在外面。各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网，此骨干网出于学术目的，大多没有对445端口做防范处理，这是导致这次高校成为重灾区的原因之一。
　　问题七：病毒得到遏制了么?会不会出现新的变种?
　　从目前的数据分析，该勒索蠕虫已经得到了遏制，新增的受感染系统正在下降。同时，有国外网络安全公司捕获到该病毒的2.0版本，所以不排除新一轮攻击的扩大。&就像地震往往会有余震一样，我们需要警惕病毒的各种变种&，网易云安全(易盾)表示，不过我们只要做好防御准备，打了最新的系统补丁就不用担心。
　　问题八：我们从这次勒索病毒事件中学到了什么?
　　安全意识薄弱是很多人中招的最重要原因，这次事件之后，网易云安全(易盾)强烈建议网络用户至少做好以下四项预防工作：
　　1、重要文件一定要随时备份，可以通过网盘、u盘等介质进行备份。如果是企业，也可以搭建集中的文件服务器进行文件的集中管理和备份。
　　2、系统一定保持最高安全等级，及时升级到最新版本，建议打开自动更新功能。同时，系统需要安装杀毒软件，更新病毒库。
　　3、不要轻易打开陌生文件，尤其是陌生邮件和IM通信软件中的文件。
　　4、安装正版操作系统、Office软件，尽量不用来历不明的盗版软件。
　　网易云安全(易盾)属于网易云旗下一站式安全服务产品，业务覆盖内容安全、业务安全和网络安全。网易云安全依托网易20 年的技术积累和对网易数十条业务线的保障经验，拥有海量特征库和成熟的安全机制。结合云计算及人工智能技术，网易云安全推出有针对金融、电商、娱乐等行业的安全解决方案，可帮助企业提升安全保障，降低运营成本。
责编：王楠
版权作品，未经环球网书面授权，严禁转载，违者将被追究法律责任。
环球时报系产品
扫描关注环球网官方微信
扫描关注 这里是美国微信公众号
扫描关注更多环球微信公众号勒索病毒WannaCry永恒之蓝哪来的开发者是谁(4)-今日热点
勒索病毒WannaCry永恒之蓝哪来的开发者是谁(4)
来源： 发布时间： 10:59:46
勒索病毒WannaCry永恒之蓝哪来的开发者是谁(4) ，勒索病毒&WannaCry&（永恒之蓝）在全球范围内的爆发，恐怕是这几天影响力最大的公共安全事件了。从上周五晚上开始，侠客岛岛友群之一的学生群里，勒索病毒爆发
因此，在此次&永恒之蓝&爆发之后，《纽约时报》的报道就称，&如果确认这次事件是由国安局（NSA）泄漏的网络武器而引起的，那政府应该被指责，因为美国政府让很多医院、企业和他国政府都易受感染&。
按照NSA的说法，自己的职责应该是&保护美国公民不受攻击&；他们也曾指责很多国家对美国实施网络攻击。但事实恰恰相反，被他们指责的国家都是此次病毒的受害国，他们自己用来&防御&的网络武器，则成了黑客手中攻击美国公民的武器。
用美国全国公共广播电台（NPR）的话说就是，&这次攻击指出了一个安全领域根本性问题，也就是国安局的监控是在保护人民还是制造了更多不可期的损害，甚至超出了其好处&。
NSA当然应该反思，虽然他们到现在都没有出来表态回应。但更值得反思的是一个本质性话题：网络安全，到底掌握在谁的手里？
就此次而言，美国政府内部的决策流程更值得被诟病。其内部有个简称为VEP（Vulnerability Equity Process）的流程，其用处是，当NSA或美国其他政府部门发现一个软件的漏洞，要走这个流程，决定是不是把漏洞公开。把漏洞公开，微软等厂商很容易就能制造出补丁，漏洞就消失了；不把漏洞公开，这些政府部门就可以自己留着用，用于&执法、情报收集或者其他&攻击性&利用&。虽然这一被奥巴马政府创造的流程既不是法律也不是总统令，但从2008年一直实施至今。
在美国之外的其他国家人民看来，这一流程显然是有问题的：这一近乎可以被称为&黑箱&的流程，整个世界的网络安全风险全由美国的内部机制决定，其他人不明不白地就被暴露在了风险面前。　　这两天，一个叫 “想哭”(WannaCry) ，又叫“永恒之蓝”的病毒很嚣张地横扫全球 Windows 设备，并勒索 。
　　全球超过 100 个国家和地区“中招”、超过 10 万台电脑被勒索；中国国内有上万个机构遭到入侵，覆盖国内几乎所有地区。
　　之所以这么猛，是因为这货可以在网络中自行复制，传播得超快...
　　从校园网，到银行、加油站，甚至政府机构，全部哭倒在厕所。
　　勒索信写着：中毒的电脑，文档被加密，交 300 美元等价的比特币赎金才能解锁;3天内不掏钱，赎金翻倍，一周内不赎回，文档撕票。
　　谁敢从海盗王杰克船长的手里偷东西
　　一波未平一波又起。今天又发生了一件事刷爆朋友圈。加勒比海盗系列终于回归了，前方德普大叔签名成瘾，卖力宣传，迪士尼却后院失火，样片被盗。
　　据好莱坞时报报道，15日迪士尼CEO 鲍勃&艾格(Bob Iger)透露，黑客攻破了迪士尼内网，盗走了一部尚未上映的新片，目前要求支付巨额比特币赎金，如果迪士尼拒绝支付，新片会泄漏到网上。 虽然艾格没有透露到底是哪部影片被盗，但可靠消息显示，这正是即将在5月26日上映的《加勒比海盗5：死无对证》。
　　据一位在场的人士称，艾格周一在华特迪士尼旗下ABC News部门的员工会议上发表讲话时称，该公司不会支付赎金。该人士还称，艾格表示，黑客指定赎金以比特币方式支付，但艾格没有说明赎金金额。比特币这一虚拟货币已成为网络敲诈者所青睐的支付方式。
　　华特迪士尼定于近期上映的影片只有《加勒比海盗：死无对证》(Pirates of the Caribbean: Dead Men Tell No Tales)和《汽车总动员3》(Cars 3)这两部。但是随后据美国Deadline网站确认，迪士尼被盗全片的影片为《加勒比海盗5：死无对证》。该片将于5月26日在中美同步上映，此前刚刚在中国举办了世界首映礼。
　　据悉迪士尼目前正在和FBI合作展开调查,并不打算支付赎金。 FBI说，很多时候，其实赎金数量对于巨头片方所付出的巨额营销花销来说就是沧海一粟，但对于小公司来说却是致命的。而且如果片方就算财大气粗，真的支付了赎金，以后有可能会让黑客养成这个恶性的“产业链”。
　　此前，黑客盗取了Netflix原定6月9日播出的新一季《女子监狱》( Orange Is the New Black )，同样要求支付巨额赎金，否则将会泄露新剧集内容。跟迪士尼一样，Netflix选择拒绝支付，报警并开展调查。在Netflix拒绝支付赎金之后，往盗版网站上上传了10集的《女子监狱》( Orange Is the New Black )，这10集资源比《女子监狱》第五季的首播时间6月9日整整早了6周，不知道这一波黑客和窃取《加5》的是不是都一个组织的。
　　同时黑客还发布声明称，“我们在经过漫长的配着酒的讨论之后决定把《女子监狱》的前十集放到网上了。我们确实注意到这个剧新一季有十三集。但我们太早了，当我们拿到这些备份的时候，那个工作岗位还没有拿到最后三集的片子呢。或许Netflix会考虑早点播这一季，既然现在这已经不是秘密了。”
　　不过就《女子监狱》的事儿来看，黑客的计划破产了，他们虽然泄露了资源，但成全了Netflix，《女子监狱》资源泄露的新闻成了这部美剧第五季的免费宣传，他们的股票在泄露2天后不减反增。特别是泄露的第10集结尾正好留了个大悬念，比第四季最后一集还要精彩(说得小编非常想追一下)，而第五季的11-13集并没有对公众泄露出来。那些在网上盗版看了前十集的人，现在都想花钱看后面3集了。
　　但对电影来说，资源一旦在上映前暴露，对票房的影响是不言而喻的。举例：2009年的《金刚狼》上映前夕资源泄露，损失惨重(虽然影片质量有待商榷，但盗版依然是为电影行业所不齿的)。
　　如果看过生化危机，那这集剧情你可能眼熟
　　此次比特币勒索病毒与之前著名的黑客组织“影子经纪人（Shadow Brokers）”攻破NSA黑客武器库，导致大量基于Windows系统漏洞的黑客工具流失事件有关。
　　2016年8月影子经纪人（Shadow Brokers）在互联网上初露锋芒，这是一个以怼 NSA (美国国家安全局)为己任的组织。一出手，就攻破了 NSA 防火墙，并且公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。
　　当时影子经纪人明目张胆地在推特上表示，他们将免费提供一些网络攻击和黑客工具的下载，而这些攻击武器均来自另一黑客团队“方程式”。NSA旗下黑客组织“方程式”的入侵工具，主要针对微软的Windows系统和装载SWIFT系统的银行。
　　这些恶意攻击工具中，包括恶意软件、私有的攻击框架及其它攻击工具。根据已知资料，其中至少有设计微软23个系统漏洞的12种攻击工具，而这次完成“变身出击”的永恒之蓝，不过12种的其中之一而已。
　　迄今为止，它开发出的恶意软件和蠕虫病毒，感染过全球超过 30 多个国家的网络。成功攻破包括政府或外交部门、电信、航空航天、核能源、军事、金融、伊斯兰宗教等组织机构的加密技术...
　　如果看过生化危机，那剧情你可能眼熟。抛开技术工具不说，我们来回顾一下这次剧情：神秘的黑客组织“影子经纪人”宣布攻破了据说为NSA开发网络武器的美国黑客组织“方程式”(Equation Group)的系统，并下载了他们的攻击工具对外传播，借以证明NSA组织并实施了大量针对他国的非法黑客攻击。
　　影子经纪人：以怒怼为乐趣，以搞事情为己任
　　赚钱心情强烈的黑客组织影子经纪人盗取了NSA的黑客工具后，把其中的一部分公开到了网络，把另一部分留着拍卖。一个月过去...两个月过去...，最后只收到 2 比特币...
　　影子经纪人表示，如果他们收到超过100万比特币，他们就会释放他们已经拥有的更多的黑客工具。但那次拍卖最终只获得了价值25美元的比特币。
　　赚钱心情强烈的黑客组织，又在2016年10月开启了众筹活动，宣布当他们收到10000比特币后将提供给每一位参与众筹者黑客工具包。12月，众筹活动又尴尬的失败了。
　　Shadow Brokers 很生气，只好在 ZeroNet (一个网络下载平台)上小批量销售黑客工具。2017 年 1 月，还真的卖出了一批能够绕过杀毒软件的 Windows 黑客工具， 750 比特币。
　　今年的4月份，Shadow Brokers先后两次把剩下的部分黑客工具再次进行了公开。在Shadow Brokers数批公开的黑客工具中，就包括利用445端口、进行SMB漏洞入侵的“永恒之蓝”(ETERNALBLUE)工具。这次爆发的比特币勒索病毒Wannacry，显然是和永恒之蓝一脉相承的。
　　永恒之蓝所针对的是Windows中的SMB网络文件共享协议所存在漏洞。其他针对RDP远程显示协议、Kerberos 服务器认证协议的尊重审查(Esteem Audit)、 爱斯基摩卷(Eskimo Roll)等等，说不定还在暗中蠢蠢欲动。
　　更加令人在意的，是泄露出的攻击工具中另一个主要构成部分，是针对银行、政府系统所使用的SWIFT系统的漏洞攻击工具。影子经纪人说，这些武器的主要目的是NSA用来攻击中东地区银行。而如果这些工具为别有用心的犯罪者掌握，那事件更加不堪设想。
　　等等….如果你看过生化危机的话，后面的剧情可能你都该猜着了。
　　比特币勒索病毒谁要背锅?
　　开启“潘多拉魔盒”的是谁?针对此次黑客用来作恶的名为“永恒之蓝”的网络病毒，俄罗斯网络安全企业卡巴斯基实验室、中国的360卫士安全反病毒小组都认为，勒索木马来源于美国国家安全局的网络武器库，不过，木马传播者尚难定论。
　　微软总裁、首席法务官布拉德&史密斯在上周日的一篇博客中写道，本次病毒袭击正好说明了为什么政府私藏大量漏洞会是一个大问题。
　　史密斯表示，我们看到维基解密曝光了CIA私藏的漏洞，而导致此次事故的漏洞来自于NSA，影响了全球用户。历史已多次表明，政府部门掌握的漏洞信息在流向公众之后造成广泛的破坏。
　　史密斯还在博客中为微软辩护称，今年早些时候微软已经为漏洞制作了补丁，但是有些公司并没有为他们的电脑下载补丁修复漏洞。他还表示，微软正在帮助那些受病毒感染的用户尽快修复系统。
　　史密斯还警告，如果政府不尽快停止私藏这些漏洞信息，类似的病毒袭击还会发生。美国政府应该从这次事件中敲响警钟。
　　作为使用最广泛的虚拟货币，比特币是众多网络勒索案的支付手段：黑客曾要求苹果公司拿出价值15万美元的比特币来换取6亿被非法绑架的iCloud 账户凭证，否则这些账号将被直接抹除;旧金山城铁系统、南非银行、列支敦士登富帝银行、美国多所医院等均遭受过类似的比特币病毒勒索。与勒索病毒并无直接关系的比特币之所以躺枪，与比特币在支付转账时的全球化、去中心化和匿名性等优势直接相关――这些特点让全球勒索变得更加低成本和低风险，犯罪分子可以大致避开通过银行卡交易记录追踪每笔钱来龙去脉的可能。
　　目前，各国监管当局对比特币的监管都遵循“不禁止、限范围、限影响、防犯罪”的原则，对于比特币接入传统金融体系实行程度不一的限制。然而，在防止比特币成为洗钱通道或被恐怖主义组织利用成为全球勒索手段方面，还有很多工作要做。
　　中国网络安全概念股却涨疯了
　　网络安全板块指数分时图
　　“WannaCrypt”病毒的冲击，让多只网络安全概念股在5月15日开板后便直冲涨停，5月16日板块指数继续走高，网络安全概念表现分化。
　　东兴证券认为，此次事件将给信息安全板块带来主题性的投资机会，但相比较公共部门而言，此前就十分重视安全的金融、电信等行业的信息安全需求并不会就此抬升。
　　东兴证券认为，“我们认为此次事件最大作用是提升各单位对于信息安全的重视程度，促进原本忽视信息安全问题的教育、能源等部门内网加强防范，但对于早已长期重视安全问题并在此次事件中没有受到影响的金融、电信等行业不会带来更多的增量需求。”“要看相关上市公司的客户名单，如果是政府部门、公共组织等居多，那么对其业绩带来利好是有可能的，如果仅是对C端或者传统信息安全强势行业的，则空间有限。”前述计算机分析师表示，“甚至不排除一些电子信息类公司的涨停，完全是情绪、炒作成分导致的。”
　　黑客既成“刀俎”，个人如何避免成为“鱼肉”?
　　在成为“老司机”之前，一些老生常谈的做法虽然效果有限但毕竟聊胜于无：及时备份、安装补丁，并安装靠谱的杀毒软件，常体检、常杀木马，以及使用安全评价较高的浏览器、不要打开陌生邮件及其链接、不要浏览色情网站和图片、分辨清楚信件附加档案的属性等。同时，重要的档案和数据，比如毕业论文，养成平时备份在其他储存装置的习惯。还有，对于每次开机的升级更新建议，分辨清楚后，点击“Yes”就“ok”了。实践证明，用户养成良好的上网习惯，就可以显著降低中毒的几率。
　　当然，从长远来看，这些“锯箭补锅”式的临时措施是远远不够的。随着网络空间作为社会基础平台的作用日益加深，网络安全风险日益突现、安全形势异常严峻，形式多样的网络犯罪、恐怖主义甚至网络战滋长蔓延、日益猖獗，都对网络空间国际治理形成倒逼机制，提出了新的挑战：通过加强网络空间治理合作，在相互信任和尊重的基础上通过建设性的国际合作，寻求网络空间集体安全，已是大势所趋!金钱鳘又称黄唇鱼，目前已经接近濒危灭绝的状态。
赴日游客越来越多，国内游客成为黑心商家的肥肉。
声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
想哭！上周末，一个被称为“WannaCry”（也有称WannaCrypt）的勒索病毒在全球范围内肆虐。这个传说中属于“网络战武器”的病毒，到底是怎么回事？这篇文章会为你梳理事情的全貌。
　　什么是WannaCrypt勒索病毒？
北京时间日晚上22点30分左右，全英国上下16家医院遭到大范围网络攻击，医院的内网被攻陷，导致这16家机构基本中断了与外界联系，内部医疗系统几乎停止运转，很快又有更多医院的电脑遭到攻击，这场网络攻击迅速席卷全球。
这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒。
勒索病毒本身并不是什么新概念，勒索软件Ransomware最早出现在1989年，是由Joseph Popp编写的叫&AIDS Trojan&（艾滋病特洛伊木马）的恶意软件。在1996年，哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件，明确概述了勒索软件Ransomware的概念：利用恶意代码干扰中毒者的正常使用，只有交钱才能恢复正常。
最初的勒索软件和现在看到的一样，都采用加密文件、收费解密的形式，只是所用的加密方法不同。后来除了加密外，也出现通过其他手段勒索的，比如强制显示色情图片、威胁散布浏览记录、使用虚假信息要挟等形式，向受害者索取金额的勒索软件，这类勒索病毒在近几年来一直不断出现。
被WannaCrypt勒索病毒侵入的电脑都会显示上图要求赎金的信息
本次肆虐的WannaCry也是同样的勒索方式，病毒通过邮件、网页甚至手机侵入，将电脑上的文件加密，受害者只有按要求支付等额价值300美元的比特币才能解密，如果7天内不支付，病毒声称电脑中的数据信息将会永远无法恢复。
　　勒索病毒是怎么加密的？
在提到加密原理之前，首先要来科普一个概念：RSA加密算法，RSA公钥加密是一种非对称加密算法，包含3个算法：KeyGen（密钥生成算法），Encrypt（加密算法）以及Decrypt（解密算法）。
其算法过程需要一对密钥（即一个密钥对），分别是公钥（公开密钥）和私钥（私有密钥），公钥对内容进行加密，私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是，虽然加密用的是公钥，但拿着公钥却无法解密。
这次WannaCrypt勒索病毒使用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密，然后将对应的AES密钥通过RSA-2048加密，再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里。（感谢评论里的朋友指正）简单来说，就是用一个非常非常复杂的钥匙，把你的文件锁上了。能解开的钥匙掌握在黑客手里，你没有；而以现在的计算能力，也基本没有办法强行破解。
　　图片来源：腾讯安全联合实验室（/news/tech/1575.html）
　　勒索病毒是怎么全球范围大规模爆发的？
按理说，勒索病毒只是一个“锁”，其本身并没有大规模传播的能力。这次病毒的泄露与爆发，跟美国国家安全局（NSA）有关。
NSA是美国政府机构中最大的情报部门，隶属于美国国防部，专门负责收集和分析外国及本国通讯资料，而为了研究入侵各类电脑网络系统，NSA或多或少会跟各种黑客组织有合作，这些黑客中肯定有人能够入侵各种电脑。
事情起源于2016 年 8 月，一个叫 “The Shadow Brokers” （TSB）的黑客组织号称入侵了疑似是NSA下属的黑客方程式组织（Equation Group），从中窃取了大量机密文件，还下载了他们开发的攻击工具，并将部分文件公开到网上（GitHub）。
这些被窃取的工具包括了大量恶意软件和入侵工具，其中就有可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝（Eternal Blue）。“永恒之蓝”是疑似NSA针对CVE-2017-（）这几个漏洞开发的漏洞利用工具，通过利用Windows SMB协议的漏洞来远程执行代码，并提升自身至系统权限。
日和16日，“The Shadow Brokers”分别在网上公布了解压缩密码和保留的部分文件，也就是说，无论是谁，都可以下载并远程攻击利用，各种没有打补丁的Windows电脑都处在危险状态。
勒索病毒与永恒之蓝搭配的效果就是，只要有一个人点击了含有勒索病毒的邮件或网络，他的电脑就会被勒索病毒感染，进而使用永恒之蓝工具进行漏洞利用，入侵并感染与它联网的所有电脑。
图片来源：腾讯安全反病毒实验室攻击流程演示
简单地说，可以把永恒之蓝（传播的部分）当成武器，而WannaCrypt勒索病毒（加密文件并利用传播工具来传播自身）是利用武器的人。一旦机器连接在互联网上，它就会随机确定IP地址扫描445端口的开放情况，如果是开放的状态则尝试利用漏洞进行感染；如果机器在某个局域网里，它会直接扫描相应网段来尝试感染。
很多人会奇怪，攻击工具明明是上个月泄露的，但是怎么时隔一个月才集中爆发？一些安全专家发现，这些电脑其实早已被感染，也就是说，在一个月前永恒之蓝早已像定时炸弹一样被安在各个系统中，只是5月12日那天才被启动。
5月16日上午，杀毒软件公司卡巴斯基（Kaspersky Lab）的研究室安全人员表示，他们在研究了早期蠕虫病毒版本与2015年2月的病毒样本发现，其中部分相似的代码来自于卡巴斯基之前关注的朝鲜黑客团队“拉撒路组”，代码的相似度远超正常程度。
因此，卡巴斯基认为这次WannaCrypt勒索病毒与之前的冲击波病毒出自同一黑客团队，同时，信息安全领域的解决方案提供商赛门铁克（Symantec）也发现了同样的证据，安全专家Matt Suiche上午在推特（@msuiche）上公布证据，表示遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”的猜测。
Twitter：https://t.co/qSnkyug8XH
　　为什么要用比特币支付？
比特币（Bitcoin）是一种网络虚拟货币，在2009年被匿名的程序员创造之后作为开放资源发布，除了通过采矿获得，比特币还可以兑换成其它货币。
其最大的特点是分散在整个网络上，完全匿名且不受各种金融限制，几乎很难从一个比特币账户追查到另一个。由此可知，比特币自然成为黑客索要赎金的不二选择。
在中了勒索病毒的情况下，移除勒索病毒、使用防毒软件都无法打开加密文件，一些被侵入的企业会为了保护重要的文件而选择在规定时间内支付比特币赎金，截止到5月16日13时，跟这次病毒爆发相关的账户一共有36个比特币的收益。
36个比特币虽然看上去不值一提，但是从病毒爆发到现在，比特币兑换的汇率一路猛涨，截止到5月16日13时，1比特币相当于1700美元左右，约合人民币11700元。
自2016年6月至今的比特币汇率变化图
尽管如此，有几个已经中招的用户在网上向黑客求情，竟然真的被免费解锁了……
5月14日下午，一个台湾的受害者在社交软件上向黑客求情：“我每月收入仅 400 美元，你真的要这样对我吗？”，结果没想到，收到了黑客的回复并被免费解锁了！
　　哪些地方的系统成为病毒重灾区？
因为NSA的永恒之蓝漏洞太强大了，除了更新了的Windows 10系统（版本1703）之外的其它Windows系统都可能受到漏洞影响。
目前已知的受影响的系统有： Windows Vista、Windows 7、Windows 8.1、Windows Server 2008（含R2）、Windows 2012（含R2）、Windows2016、已脱离服务周期的Windows XP、Windows Server 2003、Windows 8以及关闭自动更新的win10用户。
英国医院成为病毒入侵重灾区的一个重要原因，就在于系统的落后，英国医院的IT系统一直没有及时更新，仍然在使用Windows XP系统，而Windows XP系统在2014年4月之后就没有发布更新的安全补丁了。
除了英国，意大利、德国、俄罗斯、西班牙等国家都大范围爆发勒索病毒。
意大利的大学机房被攻击
5月12日仅一夜之间，全世界就有超过99个国家遭到攻击，共计七万多起。
我们国家的内网受损害也很严重，尤其是高校的校园网，很多单位都在内网和外网之间部署了防火墙进行网络控制，但内网的安全反而多多少少有些被忽视，因为内网机器相互访问的需求，再加上网络管理人员忽略了内网本身的安全控制，在不少企业的内网里，绝大多数端口甚至是完全开放的状态。这种情况下，电脑间的网络连接毫无限制，也就给了蠕虫病毒以传播机会。
内网的网络控制是靠内网网管来进行部署的，国内的大多数网络运营商都直接对445端口进行了封锁，哪怕漏洞存在，因为端口无法访问，病毒也自然就不能继续传播了。
　　如何应对WannaCrypt勒索病毒？
从病毒爆发到现在，已经有各路专业人士发布过解决方法，简单总结一下：
　　1、划重点，电脑上的文件一定要备份，并且勤备份。注意不要备份在本机和网络硬盘上，备份盘也不要一直插在电脑上；
　　2、安装反勒索防护工具，不要访问可疑网站、不要打开可疑的电子邮件和文件，如果发现被感染，也不要支付赎金；
　　3、关闭电脑包括TCP和UDP协议135和445端口，尤其是Windows7系统，不要使用校园网；
　　4、安装微软发布的修复“永恒之蓝”攻击的系统漏洞的补丁MS17-010，尽快升级安装Windows操作系统相关补丁。
除了上面的措施，幕后的网络安全人员也在通宵奋战。病毒爆发的第二天，一个英国安全人员分析了病毒的代码，发现在代码的开头有一个域名地址，从病毒开始侵入之后访问量激增。
于是他花钱把这个域名注册了下来，结果发现这个域名接到了几乎全世界的电脑上！随后，安全人员进一步分析发现，这是病毒作者留给自己的紧急停止开关。
在代码中提到，每一个被感染的电脑在发作前都会访问这个域名，而如果这个域名不存在，就会一直继续传播下去，一旦被注册就会停止传播。
因为一次意外，安全人员还绘制出了攻击地图...
地图上的每一个蓝点都代表着被攻击的电脑，并且有可能继续攻击同一网络中的其它电脑。
在安全人员昼夜不停地努力之下，有效阻止了进一步大范围爆发的可能，人们的安全意识也普遍提高了。
编辑：姜Zn
排版：晓岚
题图来源：123RF
滑动阅读信息来源：
　　https://en.wikipedia.org/wiki/Ransomware
　　https://en.wikipedia.org/wiki/Bitcoin
　　/news/technology-
　　/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
　　/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
　　/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
　　/charts/market-price
　　/price/
　　https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95
　　.au/yourlanguage/cantonese/zh-hant/article//hei-ke-mian-fei-wei-tai-wan-qiong-yong-hu-jie-suo
　　//wemedia.shtml
　　/msuiche/status/641985
　　/question//answer/
　　科学人问答
　　欢迎个人转发到朋友圈
　　本文来自果壳网
　　转载请联系授权:
　　投稿请联系
　　喵喵~我的赞呢
　　【拓展阅读】为什么说比特币是一场泡沫？
欢迎举报抄袭、转载、暴力色情及含有欺诈和虚假信息的不良文章。
请先登录再操作
请先登录再操作
微信扫一扫分享至朋友圈
搜狐公众平台官方账号
生活时尚&搭配博主 /生活时尚自媒体 /时尚类书籍作者
搜狐网教育频道官方账号
全球最大华文占星网站-专业研究星座命理及测算服务机构
主演：黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
主演：陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
主演：陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓
主演：尚格?云顿/乔?弗拉尼甘/Bianca Bree
主演：艾斯?库珀/ 查宁?塔图姆/ 乔纳?希尔
baby14岁写真曝光
李冰冰向成龙撒娇争宠
李湘遭闺蜜曝光旧爱
美女模特教老板走秀
曝搬砖男神奇葩择偶观
柳岩被迫成赚钱工具
大屁小P虐心恋
匆匆那年大结局
乔杉遭粉丝骚扰
男闺蜜的尴尬初夜
客服热线：86-10-
客服邮箱：