WannaCry病毒侵袭全球 这是周一打开电脑的正确姿势

本篇文章434字，读完约1分钟

正文/腾讯科技韩一民

互联网领域的“常驻恶魔”正在全世界上演。令人不安的情况仍在继续:伪病毒仍在扩张其地盘。

这可能是世界上发展最快的互联网项目。自5月12日以来，短短24小时内，由于其罕见的传播速度和严重的破坏性，网络盗版成为全球关注的焦点。

2017年5月12日，通过ms17-010漏洞，万年虫在世界各地爆发，感染了大量计算机。在感染计算机后，蠕虫将勒索者病毒植入计算机，导致计算机中的大量文件被加密。在受害者的电脑被黑客锁定后，病毒会提示在解锁前支付相当于300美元(约合人民币2069元)的比特币。现在它已经扩散到99个国家。

在万纳克利病毒的传播过程中，5月13日晚，一名英国研究人员意外发现了万纳克利的杀毒开关域名，意外阻止了病毒的进一步大规模传播。

云宗R&D首席科学家、副总裁郑伟得知这一消息后，忍不住在微博上感叹。“这件事从头到尾就像一部电影，开头很奇怪，结尾也很奇怪。”

但是事情远没有结束。事实证明，杀死开关的发现只是一个插曲。

5月14日，在停止开关被发现的18小时后，国家网络和信息安全信息通知中心发布了一个新的变种警告:万纳克利2.0即将到来；与以前的版本不同，这个变体取消了kill开关，并且不能通过注册域名来停止变体软件的传播，这可能传播得更快。

截至14日10时30分，国家互联网应急中心已监测到约242.3万个ip地址受到“永恒的蓝色”漏洞的攻击；被该软件感染的ip地址数量接近35，000个，其中约18，000个是中国的ip地址。

与此同时，由于上周五北京时间晚上8: 00万网大规模爆发，中国仍有大量政府和企业组织的网络节点处于关闭状态。因此，今天和星期一启动已经是一个安全测试。

新的危险正在一步一步地逼近，但是对病毒本身的了解仍然有限。

神秘的谜

“希望”的传播路径是一个谜，互联网安全供应商仍然不能完全恢复它。

这种病毒首先在英国大规模爆发，影响了医疗系统，一些手术被迫停止。在中国，在病毒感染数据达到监测机构注意到的阈值之前，国内社交网络上许多大学生的评论反映了学校网络的失败。

5月12日，许多学院和大学在连接到校园网的大面积计算机上发布了关于软件的消息。桂林科技大学的一名同学向腾讯科技证实，该大学创新实验基地的数百台计算机因遭受软件攻击而瘫痪。

据统计，国内机构包括校园网用户、机场、银行、加油站、医院、警察、出入境人员都遭到了攻击和中毒。

腾讯的安全团队发现该病毒在校园网用户中爆发，但不知从何下手。猎豹移动安全专家李铁军表示，目前还没有关于病毒来源和传播路径的结论，当病毒潜伏到内部网时，还需要进行更多的研究分析。

这一好消息是在病毒疯狂传播24小时后传出的。12日晚8点，有报道称，互联网安全人员已经找到了阻止病毒传播的方法，这一消息随后得到了许多国内安全供应商的证实。

意外发现的断路开关也是一个谜。

没有人能回答为什么病毒作者为万能药设置了停止开关。安全专家只能给出以下推测:可能是编码错误，或者是作者没有预料到；可能是因为作者担心病毒永远不会停止传播。总之，没有结论。

杀死开关是万纳奇的许多秘密之一，这也迷惑了人们，包括万纳奇的勒索。

病毒传播后，支付赎金的人数继续增加。根据腾讯安全团队提供的数据，截至5月13日晚，全球已有90人支付了赎金，共计13.895比特币，价值超过14万英镑。截至5月14日下午4: 30，支付赎金的人数已增至116人。

尽管安全专家仍未找到解密受感染文件的方法，但互联网安全专家坚持建议受感染用户不要支付赎金。

反病毒引擎和解决方案制造商反病毒实验室的创始人兼首席技术设计师肖说，原因是“万纳奇的敲诈行为似乎无法形成一个完整的商业循环”。在支付赎金解密文件的问题上，“我们的判断不同于网上的传言(支付赎金后成功解密)，即即使支付了赎金，也无法解密。因为每个用户都是一个个性化的密钥，这意味着受害者需要向攻击者提供识别身份的信息。”

事实上，受害者在支付赎金的过程中无法提供身份信息，这意味着即使受害者支付了赎金，也无法解密。

在这种情况下，萧对的分析可能是由于“我们的分析过程不够细致”。然而，腾讯的安全团队得出了同样的结论:经过核实，作者在支付款项的过程中并没有核实受害人的逻辑，只是收取了钱，并没有帮助破译。这显然不是巧合。

萧给出了另外两种可能的推测:“或者作者根本不想解密；另一种可能性是，事件本身不是为了敲诈，而是为了其他目的与敲诈者的表现。”

一个接一个的谜团，解开它们是战胜万纳瑞的关键。

互联网“常驻恶魔”

戏剧性的场景发生在一个由0和1组成的二元世界里，这和电影一样离奇。

万纳克利有可能成为历史上最有害的蠕虫。腾讯的安全团队将万纳瑞的沟通模式和影响力等同于之前著名的“冲击波”和“conficker”。

w32.blaster.worm病毒是利用2003年7月21日发布的rpc漏洞传播的。那年八月病毒爆发了。由于爆炸病毒肆虐全球，一些运营商禁止主干网上的445端口。五年后，conficker蠕虫在2008年席卷全球，当时近200个国家至少有900万台计算机被感染。

conficker爆发近十年后，万纳克里的攻击打破了平静。腾讯的安全团队介绍说，wannacry不同于“冲击波”和“conficker”，因为它比当时的病毒危害更大，因为病毒可以加密用户机器上的所有文件，造成重大损失。

几乎所有的网络安全团队都通宵加班，而且病毒传播非常快，所以安全专家必须争取时间。

《渴望》的作者看起来雄心勃勃。众所周知，它已经建立了27种语言，这是不常见的。

萧介绍说，最早的勒索者使用英文版，然后逐渐传播到不同的国家。为了获得更大的好处，对于ransomware来说，语言包的数量相对较大，这是一个渐进的过程。

但是27种语言仍然不同寻常。李铁军介绍腾讯科技。长期以来，ransomware支持多种语言，但一般的ransomware支持6到7种语言，其中大部分都在10种以内。"这个版本支持多种语言。"

在中文版中，wannacry用流利的表达方式威胁中毒用户:“对于半年以上没有钱支付的穷人，将有免费恢复活动。是否轮到你就看你的运气了。”至于流利的中文解析是否意味着病毒作者可能来自中国，安全专家分析说，这可能是一个团队所为，团队成员可能遍布不同的国家。根据腾讯安全团队的说法，目前俄罗斯应该是受黑客攻击最严重的国家。

wannacry的实际传播不符合WannaCry精心准备的27种语言。目前，已有近100个国家受到病毒攻击。

蠕虫的特性是蠕虫迅速传播的一个重要原因。与其他病毒相比，蠕虫传播得更快，因为病毒本身可以找到下一个攻击目标。

wannacry迅速传播的另一个重要原因是，它采用了不久前美国国家安全局(nsa)泄露的ms17-010漏洞。

在肖看来，wannacry之所以能产生这样的通信效果，主要是因为“使用了一个更新的远程溢出漏洞，该漏洞能够采用各种windows版本。”这个漏洞原本是情报机构的一个高度机密的网络武器，但它被盗了。损失导致被许多人利用。”

因此，肖对“万恶事件”的定义是“武器级漏洞被无控制地利用”

美国国家情报机构的介入让事情变得更加复杂。国家权力机关的介入已经引起了外界对网络安全的担忧。逃到俄罗斯的前国安局雇员爱德华·斯诺登在5月13日通过推特向国会提出质询国安局的建议。“鉴于今天的攻击，国会需要询问@ nsagov，看它是否还知道我们医院使用的软件还有其他漏洞。”

没有人希望电影《生化危机》中一些决策机构的私人驱动所造成的灾难在网络世界重演。

如果可以，抓住我们

Wannacry具有超级病毒的特征:神秘、快速和严重的破坏。网络安全专家的共同目标是，如果可以的话，就结束这个“抓住我”。

"据估计，全球安全人员想找出病毒的作者."李铁军告诉腾讯科技。

收集样本、分析并形成对策和建议是安全团队的基本应对方式。

腾讯安全团队在5月12日下午2点检测到该蠕虫病毒，并在夜间开始爆发后，第一时间拦截并防御了勒索者病毒，并防御了该漏洞。同时，它引导用户修补和关闭高风险端口(445个端口等)。)，并推出了“文档监护人”产品；5月14日，针对易受影响的企业客户推出了计算机管家“管理员助理”诊断工具。

在监测到疑似病毒爆发的当天，即5月12日晚8: 00，安田实验室立即启动了A级或最高级别的灾难响应。以往同类病毒或安全流行病包括红队、冲击波、冲击波、破壳等。

甲等灾难响应开始后，安田实验室首先派人收集病毒样本，观察主机和网络现象，涉及十个不同的行业。出于保护客户隐私的需要，安田实验室没有披露中毒企业的具体名称。

显然，情况相当严重。事实上，并不是每一次病毒爆发都需要R&D实验室的人员去现场采集样本。肖介绍说，上一次有大规模的物联网僵尸网络取证分析与类似行动。然而，R&D的工作人员收集了近30个样本，包括父母和公布的文件。

在采集样本时，R&D人员进行背景分析和样本分析，而其他R&D人员形成对策和建议、应急计划，并开发分析和免疫工具。