勒索病毒病毒从何而来？为何使用比特币作为赎金？

　　5月12号，WanaCrypt0r2.0勒索软件攻击全球Windows漏洞 ，截止目前，已有七十多个国家的政府、高校、医院等机构被攻陷。此事仍在进一步发酵，而目前对于被感染的系统、文件似乎没有任何破解的方法，全球数十亿用户安全，竟被一位躲在暗处的人玩弄于鼓掌之中。

　　为此，Xtecher第一时间采访了华为高级安全专家娄伟峰、威客安全CEO陈新龙、360安全首席工程师郑文彬、青莲云CEO董方、长亭科技CEO陈宇森、杰思安全CEO刘春华、阿里云技术专家、网络安全专家刘博士、招股科技CTO程超等众多国内一线安全领域专家，以理清此事来龙去脉。

　　大恐慌!

　　5月12日，一个黑客坐在电脑前，轻轻按下了Enter键。这个看似无足轻重的动作，掀起了全球七十多个国家、数十亿用户对网络安全的恐慌。

　　当晚，WanaCrypt0r2.0(以下简称Wcry2.0)勒索软件在全球爆发。在无需用户任何操作的情况下，Wcry2.0即可扫描开放445文件共享端口的Windows机器，从而植入恶意程序。

　　目前，该勒索病毒的攻击已经扩散到全球74个国家，包括美国、英国、中国、西班牙、俄罗斯等。此次被攻击的对象包括政府、医院、公安局以及各大高校等机构和个人。

　　黑客要求每个被攻击者支付赎金后方能解密恢复文件，而此次的赎金方式使用了当下最为火热的产品比特币，勒索金额最高达5个比特币，价值人民币5万多元。

　　国内最早的防病毒厂商kill公司技术总监、江民公司原技术总监、现华为高级安全专家娄伟峰告诉Xtecher：“从技术上讲，这不算是一次黑客攻击，而是一次大面积的以经济为目的勒索软件传播事件。此次大规模传播的Onion、WNCRY勒索软件是‘永恒之蓝’勒索软件的病毒变种，但恰这类并非新技术的病毒，反而能肆虐蔓延、短短时间内侵袭各大机构，经济损失截至目前已达数十亿。”

　　网络安全专家刘博士告诉Xtecher：“本质上病毒要想获得访问权限、突破访问控制，操作系统会通过防火墙等做访问限制，但如果系统有安全漏洞可以被利用，就有可能突破。Windows被感染的几个版本恰好有漏洞可被利用。”

　　360安全首席工程师郑文彬告诉Xtecher：“中国此次遭受攻击的主要是教育网用户。上个月360针对该端口漏洞发出预警，并推出了免疫工具，微软此前也已发布相关漏洞补丁。但许多教育网并未对此漏洞做出修复，以至于沦为重灾区。”

　　为何教育网、公安局、医院等机构沦为重灾区?

　　郑文彬认为，这类机构多使用内网、较少与外界接触，以至于在防范意识上存在疏漏。而另一方面，这些机构并不能保证完全隔绝互联网，一旦被病毒扫描，则同样会中毒——而只需一台电脑被扫描，便会像人类感染病毒一般传染到其它电脑。

　　青莲云CEO董方告诉Xtecher：“学校使用教育网，教育网是专网，其特点为，学校的某一个网站被攻击以后，会在专网中迅速传播，且教育网防护的等级不是很高，导致学校成为重灾区。”

　　此外，本次被病毒感染的多是Windows系统，而苹果、安卓侥幸免于灾难。

　　长亭科技CEO陈宇森告诉Xtecher：“这与系统优劣并无关系。此次攻击是利用Windows漏洞进行，对其主机/服务器运行在445端口的SMB服务进行攻击，所以中招的都是Windows系统。微软官方3月份陆续发布不同版本的系统补丁，就在13号下午，还专门针对XP和2003系统发布了特别补丁。”

　　不过华为云安全负责人娄伟峰认为，从经济利益的角度看，微软的用户远大于苹果的用户，因此成了被攻击的原因之一。

　　“这是微软十年来出现的较为重大的事件，4月15号微软已发出预警，但可能预警发方式太偏技术，以至大家没看懂被攻击的后果是什么。” 青莲云CEO董方告诉Xtecher。

　　那么，这样一次攻击范围波及全球，涉及金融、医疗、铁路、能源、教育系统等终端的病毒，究竟从何而来?

　　病毒从何而来?

　　此次“永恒之蓝” 变异的勒索蠕虫，是NSA网络军火民用化的全球第一例。

　　早在4月14日，自称“影子经纪人”(Shadow Brokers)的黑客团体泄露出一份震惊世界的机密文档，其中包含了多个Windows远程漏洞利用工具，可以覆盖全球70%的Windows服务器，影响程度极其巨大，但国内诸多政府、高校等机构并没有引起足够的重视。

　　华为高级安全专家娄伟峰告诉Xtecher：“影子经纪人” (Shadow Brokers)攻破了NSA(美国国家安全局)网络，拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具，ShadowBrokers将其中一个黑客工具做成“永恒之蓝”，而这次的勒索软件正是“永恒之蓝”的变种。

　　而据360安全首席工程师郑文彬猜测，之前美国军方使用黑客技术攻击中东银行，而此前美国政府对叙利亚进行轰炸，导致了黑客的不满，继而盗出此技术，以示威胁。

　　黑客使用勒索软件由来已久，但大多数病毒软件勒索的赎金都是法币、电子汇款、预付卡等手段收取。但这次病毒勒索事件，黑客似乎蹭了比特币热点。

　　为何使用比特币作为赎金?

　　深圳招股科技联合创始人程超告诉Xtecher：比特币作为一种匿名转账的数字资产，其匿名特性成为黑客首要看重的特性。

　　比特币地址是一串英文字符乱码，不绑定任何用户信息，所以单纯从比特币地址无法追踪到用户信息，这让黑客可以更简单地规避追捕和监管。

　　而网上不少观点认为后续黑客有可能放弃大额勒索，因为一旦大量比特币流入该黑客账户，有可能导致其行为轨迹被追踪。

　　然而，360安全首席工程师郑文彬表示，基于比特币的勒索，很难查找踪迹，要想抓到黑客几乎不可能。

　　事件发生后，网络热议，认为比特币不可追踪性、隐蔽性，给了黑客团伙提供了一个便捷作案工具。

　　这件事是否要怪比特币?

　　程超认为，本次勒索事件，比特币背了一个黑锅——即便没有比特币，黑客也会使用其它币种。

　　当然，比特币也确实存在缺乏监管的问题，如果比特币交易所加强身份信息审核，将会增加黑客变现难度。当然，一旦比特币使用实名制，黑客也会寻找其他虚拟货币作为赎金。

　　威客安全CEO陈新龙告诉Xtecher：虽然可以查到比特币流通的钱包信息，但是钱包信息是匿名的，因此无法追踪这个钱包属于谁。

　　理论上来讲，可以通过技术手段找到钱包背后的人，但极为困难，目前仅是理论阶段。

　　当然，比特币，作为一个新事物，不应该游离于法外之地，应辅以适当监管，保证行业稳定有序发展。2017年6月，中国将会出台比特币监管相关法律，或将在一定程度上让比特币免背黑锅。

　　无论将来比特币如何接受监管，就目前而言，眼下人们似乎更为关心自己被病毒加密的文件该如何处理。

　　亡羊补牢：预防为主

　　NSA作为美国政府机构中最大的情报部门，在美国大片中，该部门似乎无所不能，但目前似乎尚未拿出对策，更遑论我等普通大众。

　　网络安全专家刘博士告诉Xtecher：普通小白用户除了按照推荐设置开启系统防火墙、打开系统更新、安装杀毒软件、不访问可疑网络内容、小心使用可插拔存储之外，似乎没什么可做的。

　　威客安全CEO陈新龙认为，高手在民间，不会只能束手就擒，大众要做的是保护好自己的个人财产安全，资金分类，分形态存放。

　　那么，对于被勒索软件加密的文件该如何处理?

　　杰思安全创始人刘春华表示，一旦文档被加密，如果黑客不提供解密的密码，则无法解密文档。

　　所以，那些高校在写论文的孩子们，请老老实实重新写一遍!当然也可选择给对方发去赎金，不过黑客很有可能会撕票。

　　当然，一个重要的破解信息或许已经出现。

　　目前，网络上爆出已有专家查找出一个异常域名，网络安全专家注册该域名后，如果病毒能成功访问这个域名，就会停止攻击。

　　这个异常域名是：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

　　对此，娄伟峰表示：由于不知道消息出处，消息并不靠谱，具体以病毒产商样本分析为主。

　　威客CEO陈新龙表示，域名确实是一个重要的破解信息，如果无法与域名通讯，还是会被感染。且后续病毒可能有新的变种，攻击甚至更猛烈，只是互联网上的传播被遏制，如果域名被劫持，还会继续破坏。

　　360安全首席工程师郑文彬表示，这件事情，敲响了大众“做好备份”的警钟。

　　不过，即便有备份，也不一定百分百安全，尤其是对高校、政府等机构。

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!