“勒索病毒侵袭全球：开始的离奇 结束的诡异”

本篇文章3023字，读完约8分钟

互联网行业的生化危机正在全球上演。 不安的状况持续着。 wannacry病毒还在扩张自己的领土。 这可能是世界上最有名的互联网程序，从5月12日开始，仅仅是全天候的，由于罕见的传输速度和严重的破坏性，威胁病毒的wannacry已经引起了全球的关注。

年5月12日，wannacry蠕虫通过ms17-010漏洞在全世界大爆发，感染了大量计算机。 一旦这个蠕虫感染了计算机，就会在计算机中嵌入骗子病毒，加密计算机上的大量文件。 如果受害者的电脑被黑客攻击锁定，则病毒提示需要支付相当于300美元(约人民币2069元)的比特币才能解锁。 现在波及到了99个国家。

在wannacry冲破包围的过程中，5月13日晚，英国研究人员无意中发现的wannacry隐藏开关( killswitch )域名，意外地抑制了病毒的进一步大规模扩散。

得知这一消息的云纵首席科学家和研发副总裁郑261㎜不由得在微博上感叹。 这件事从头到尾就像电影一样，开始很奇怪，结束很可疑。

但是事件还没有结束，现实表明发现基尔开关只是一个小插曲。

5月14日，在停止开关被发现18小时后，国家互联网和新闻安全新闻通报中心发布了新的变种警报: wannacry2.0即将到来； 与以前的版本不同，该变种不能通过废除killswitch和注册域名来关闭变种威胁病毒的传播。 这个变种的传递速度可能会更快。

截至14日10时30分，国家网络应急中心监测到约242.3万个ip地址受到永恒的蓝漏洞攻击； 感染该威胁软件的ip地址约3.5万个，其中中国国内ip约1.8万个。

另外，由于wannacry于北京时间上周五晚8点大规模爆发，国内还有许多政企机构的互联网节点被关闭。 因此，今天星期一开机是一个安全考验。

虽然新的危险即将来临，但关于wannacry病毒本身还不知道。

神秘

wannacry的路径是个谜，网络安全制造商们还不能正确还原。

病毒最初在英国大规模爆发，影响范围波及到医疗系统，有点手术被迫中止。 在国内，在病毒感染数据达到监控机构观察的阈值之前，首先让外部观察该病毒的，是国内社会交流网上许多大学生反映学校互联网障碍的发言。

5月12日，许多大学发表了与校园网相连的计算机大面积威胁病毒的信息。 来自桂林电子科技大学的同学向腾讯科技证实，该校某创新实验基地数百台计算机受到威胁病毒的攻击，陷入瘫痪。

感染范围很快从校园网扩大，据统计，国内校园网的顾客、机场、银行、加油站、医院、警察、出入境等事业单位受到攻击同时中毒。

腾讯安全小组在跟踪中发现，病毒爆发在校园网的顾客中，但不清楚是从哪里开始的。 猎豹移动安全专家李铁军表示，病毒源头和传递途径目前尚未得出结论，需要越来越多的研究来分析它们是什么时候潜伏在内部网的。

好消息是在病毒全天候大流行之后传来的。 12日晚8点多，有消息称，wannacry已被网络安全人员找到阻止其传播的方法，之后被国内多家安全厂商证实。

意外发现的基尔开关也是个谜。

没有人能回答为什么wannacry安装了停止开关，安全专家们只能推测如下。 可能是编码错误，也可能是作者没有想到的。 可能是因为作者担心病毒会不受抑制地传播。 总之，没有定论。

killswitch是wannacry众多谜团之一，同样令人困惑的是wannacry的胁迫行为本身。

病毒传入后，支付赎金的人数持续增加。 根据腾讯安全团队提供的数据，截至5月13日晚，全球共有90人支付赎金，共计13.895比特币，金额超过14万美元，5月14日下午4点半，支付赎金的人数增至116人。

虽然目前安全专家们还没有找到解密病毒感染文件的方法，但是网络安全专家们反复建议不要向感染的客户支付赎金。

原因是，wannacry的恐吓行为似乎无法构成完美的业务电路。 反病毒引擎和处理方案制造商安天实验室创始人、首席技术设计师肖新光介绍说，在支付赎金解密文件的问题上，我们的评价与网上的传言(支付赎金解密成功)不同，即使支付赎金也无法解密。 由于每个顾客都是个性化的关键，受害者需要向攻击者提供识别身份的新闻。

事实上，受害者在支付赎金的过程中无法提供表明身份的新闻。 因为这意味着受害者付赎金也无法破解。

面对这种情况，肖新光的分解原因可能是我们的分解过程不够致密。 但是，腾讯安全小组得出了同样的结论。 根据经验，付钱的过程中，作者没有验证受害者的逻辑，只是收到了钱，没有帮助解密。 这显然不是偶然的。

肖新光提出了另外两个可能的推测:或者可能是作者不想解读； 另一个是，这并不是事物本身以胁迫为目的，而是有可能通过胁迫者的表现来达到其他目的。

一个谜和另一个谜，解开它们是战胜wannacry的关键。

互联网生物危机[/s2/]

戏剧般的场景发生在由0和1组成的二进制世界里，其奇妙程度堪比电影。

wannacry肆虐，有可能成为史上最大的蠕虫。 腾讯安全团队将把wannacry的传递方法和影响与此前著名的冲击波、conficker形成很大的对等。

冲击波病毒( w32.blaster.worm )是利用2003年7月21日公布的rpc漏洞传播的。 该病毒于当年8月爆发，冲击波病毒袭击全球，因此一些运营商在主干网上屏蔽了445个端口。 五年后，conficker蠕虫在2008年袭击了世界。 当时近200个国家至少有900万台计算机感染。

conficker爆炸近十年的平静随着wannacry的发作被打破了。 据腾讯安全小组介绍，wannacry与冲击波和conficker的不同之处在于，其危害程度远远超过了当时的病毒。 因为这个病毒会加密客户机器上的所有文件，损失相当大。

大部分网络安全小组通宵加班，病毒传播速度非常快，安全专家们需要争取时间。

wannacry的作者看起来很野心勃勃，但我知道设置了27种语言。 这并不常见。

肖新光说，最初的勒索者使用的是英文版，后来逐渐扩展到不同的国家，为了获得更大的利益，从语言包的数量上来说，对勒索软件来说是一个比较多、渐进的过程。

但是，27种语言依然罕见。 李铁军关于腾讯科技，长期以来，勒索病毒支持多种语言，但常规勒索病毒支持的语言有六七种，大部分在十种以内，这个版本真的支持多种语言。

在中文版中，wannacry以流畅的表现威胁着中毒的客人。 半年以上没有钱的穷人有免费恢复的活动。 轮到你了吗，取决于你的运气。 关于中文分析是否顺畅意味着病毒作者可能来自中国的推测，安全专家们认为wannacry可能是团队的罪行，团队成员可能蔓延到不同的国家。 据腾讯安全小组称，wannacry受害最大的是俄罗斯。

wannacry的实际传播情况确实没有背叛精心准备的27种语言，目前已经有近100个国家遭遇了病毒攻击。

蠕虫的特点是wannacry迅速感染的重要原因，与其他病毒相比蠕虫感染速度过快。 因为病毒本身可以寻找下一个可以攻击的目标。

wannacry得到如此迅速发布的另一个重要原因是，使用了前几天美国国家安全局nsa流失的ms17-010漏洞。

肖新光表示，wannacry产生这种宣传效果的主要原因是采用了一种通向许多windows版本的新远程溢出漏洞。 这个漏洞本来是情报机关秘密性很高的网络武器，但由于被盗而流失，被很多人利用。

因此，肖新光将wannacry定义为武器级的孔以非控制的方式被采用。

来源：UI科技日报