恐惧！ 比特币勒索软件是如何攻击世界末日的？

自5月12日起，一种名为“比特币勒索软件”的病毒在互联网上迅速蔓延。

病毒在世界范围内的传播就像一场灾难。 目前至少有 150 个国家/地区受到网络攻击。 除了国内多所高校遭到网络攻击外，相当一部分企事业单位的计算机也遭到了攻击。

这件事还在进一步发酵。

周围的人开始议论纷纷，勒索病毒是从哪里来的？ 为什么教育网、公安局、医院等机构成为重灾区？ 为什么要用比特币作为赎金？ 如何弥补病毒攻击带来的影响？ 病毒会不会继续变异，什么时候结束？ 本文对此进行了深入而全面的分析。

作者| 小生生，哥们，游天

来源|Xtecher

大恐慌！

5月12日，一名黑客坐在电脑前，轻轻按下回车键。 这一看似微不足道的举动，却在全球70多个国家的数十亿用户中掀起了网络安全恐慌。

当晚，WanaCrypt0r2.0（以下简称Wcry2.0）勒索病毒在全球爆发。 Wcry2.0可以在用户不做任何操作的情况下扫描开放445端口的Windows机器进行文件共享，从而植入恶意程序。

目前，勒索软件攻击已波及全球74个国家，包括美国、英国、中国、西班牙、俄罗斯等。 攻击目标包括政府、医院、公安局、各大高校等机构和个人。

黑客要求每个受害者支付赎金，然后才能解密和恢复文件。 此次勒索方式使用的是时下最流行的产品比特币，最高勒索金额为5个比特币，价值5万余元。

国内最早的杀毒厂商杀毒公司技术总监、原江民公司技术总监、现华为资深安全专家娄伟峰告诉Xtecher：“从技术上讲，这不是黑客攻击， “而是一次大规模的经济型攻击。勒索病毒传播事件。此次大规模传播的Onion和WNCRY勒索病毒是‘永恒之蓝’勒索病毒的病毒变种。迄今为止，机构、经济损失已经达到数十亿。”

网络安全专家刘博士告诉Xtecher：“从本质上讲，如果病毒想要获取访问权限并突破访问控制，操作系统会通过防火墙等方式限制访问，但如果系统存在安全漏洞，可被利用，就有可能突破。Windows 被感染了。它的几个版本恰好存在可以被利用的漏洞。”

360安全首席安全工程师郑文斌告诉Xtecher：“这次被攻击的主要是中国教育网的用户。 上个月，360针对该端口漏洞发布了预警，并推出了免疫工具。 此前微软也发布了相关的漏洞补丁。 但很多教育网都没有修复这个漏洞，以至于成为了重灾区。”

▌教育网、公安局、医院等机构为何沦为重灾区？

郑文斌认为，此类组织多使用内网，与外界接触少，防范意识存在疏漏。 另一方面，这些机构不能保证与互联网完全隔离。 一旦被病毒扫描，他们也会被感染——而且只扫描一台电脑，就会像人类感染一样传播到其他电脑。

青莲云CEO董方告诉Xtecher：“学校用的是教育网，是专网，网速高，导致学校成为重灾区。”

此外，此次中毒的系统多为Windows系统，而苹果和安卓则侥幸逃过一劫。

长亭科技CEO陈玉森告诉Xtecher：“这与系统质量无关，本次攻击是利用Windows漏洞，攻击运行在其主机和服务器445端口的SMB服务，因此，受害者都是Windows系统，微软在3月份正式发布了不同版本的系统补丁，13日下午还发布了针对XP和2003系统的特殊补丁。

不过，华为云安全负责人楼伟峰认为，从经济利益的角度来看，微软的用户远大于苹果的用户，因此成为攻击的原因之一。

“这是微软近十年来所见的一件大事。微软在4月15日发布了预警，但发布警告的方式可能过于技术化，以至于人们不明白被攻击的后果是什么是。” 清联云CEO董方告诉Xtecher。

那么，这种波及全球、涉及金融、医疗、铁路、能源、教育系统等终端的攻击从何而来？

▌病毒从何而来？

“永恒之蓝”勒索病毒变种是全球首例NSA网络军火民用案例。

早在4月14日，自称“Shadow Brokers”的黑客组织就泄露了一份震惊世界的机密文件，其中包括多个Windows远程漏洞利用工具，可覆盖全球70%的Windows服务器。 影响程度极其巨大，但国内很多政府、大学等机构并没有引起足够的重视。

华为高级安全专家楼伟峰告诉Xtecher：“影子经纪人”（Shadow Brokers）攻破了NSA（美国国家安全局）网络，从一个名为“Equation”的黑客组织获得了大量军用级黑客工具。 黑客工具被制作成“永恒之蓝”，而此次勒索软件是“永恒之蓝”的变种。

据360安全总工程师郑文斌介绍，此前美军利用黑客技术攻击中东地区的银行，美国政府此前轰炸叙利亚，引起黑客不满，进而窃取该技术作为威胁。

黑客使用勒索软件由来已久，但病毒软件支付的赎金大部分是通过法币、电子汇款、充值卡等方式收取的。 但在这次病毒勒索事件中，黑客似乎利用了比特币热点。

▌为什么要用比特币作为赎金？

深圳兆谷科技联合创始人程超告诉Xtecher：比特币是一种匿名转移的数字资产，其匿名性已成为黑客最看重的特征。 比特币地址是一串英文乱码，不绑定任何用户信息，因此仅从比特币地址无法追查用户信息，更容易被黑客追捕和监管。

网上很多观点认为，后续黑客可能会放弃大规模勒索，因为一旦大量比特币流入黑客账户，其行为就有可能被追踪。 不过，360安全总工程师郑文斌表示，基于比特币的勒索行为很难发现踪迹，抓到黑客几乎是不可能的。

事件发生后，网上议论纷纷，认为比特币的不可追踪性和隐蔽性为黑客提供了方便的作案工具。

▌这要怪比特币吗？

程超认为，在这起勒索事件中，比特币受到了指责——即使没有比特币，黑客也会使用其他货币。 当然，比特币确实存在监管缺失的问题。 如果比特币交易所加强对身份信息的验证，将增加黑客实现的难度。 当然比特币大额转账监控，一旦比特币采用实名制，黑客也会寻找其他虚拟货币作为赎金。

威客安全CEO陈新龙告诉Xtecher：虽然可以查到比特币流通的钱包信息，但是钱包信息是匿名的，所以无法追踪到钱包到底是谁的。 理论上可以通过技术手段找到钱包背后的人，但难度极大，目前仅停留在理论阶段。

当然，比特币作为一个新生事物，不应该法外之地，应该辅之以适当的监管比特币大额转账监控，以保证行业的平稳有序发展。 2017年6月，中国将出台与比特币监管相关的法律，这可能在一定程度上避免比特币受到指责。

无论未来比特币如何监管，目前，人们似乎更关心如何处理他们的病毒加密文件。

▌纠正过去：预防为主

NSA作为美国政府中最大的情报机构，在美国大片中看似无所不能，但似乎还没有想出对策，更何况是我这样的普通人。

网络安全专家刘博士告诉Xtecher：普通用户除了按照推荐设置启用系统防火墙、启用系统更新、安装杀毒软件、避免访问可疑网络内容、使用可插拔存储外，似乎没有什么可做的小心。

威客安全CEO陈新龙认为，高手在民间，不能不战而胜。 公众应该做的是保护好自己的个人财产安全，把资金分类分类，以不同的形式存放。

那么，如何处理被勒索软件加密的文件呢？

Jess Security创始人刘春华表示，文档一旦被加密，如果黑客不提供解密密码，文档就无法解密。

所以，那些在高校写论文的孩子们，请老老实实的再写一遍吧！ 当然，你也可以选择向对方发送赎金，但黑客撕票的可能性很大。

当然，可能已经出现了重要的破解信息。

目前，网上有消息称，专家发现了一个异常域名。 网络安全专家注册域名后，如果病毒能够成功访问该域名，攻击就会停止。

这个异常域名是：

对此，楼伟峰表示：由于消息来源不明，消息不可靠，具体分析主要以病毒厂商样本分析为主。

威客CEO陈新龙表示，域名确实是重要的破解信息，如果无法与域名通信，还是会被感染。 而且后续病毒可能会有新的变种，攻击会更加猛烈，但在互联网上的传播是被遏制的，如果域名被劫持，危害还会继续。

360安全总工程师郑文斌表示，此次事件为公众“做好备份”敲响了警钟。

但是，即使有备份，也不一定100%安全，尤其是对于大学和政府等机构而言。

陈新龙告诉Xtecher：对于这次攻击，即使政府有备份，也大多是线下备份。 实时业务数据一旦失效，将无法更新。 公共信息服务基本上是动态的，容易让人误以为不能用。 另外，当触发备份任务时，会涉及到网络链路。 很多备份策略都是基于445端口的，所以源文件和备份文件会一起被感染。

当然，如果早点打补丁，未雨绸缪，这次也能活下来。

互联网安全的攻防就像人类对病菌的攻防一样。 华为资深安全专家楼伟峰给出了几点建议：

对于Onion、WNCRY等混合型病毒威胁，可采用防火墙等访问控制手段，限制内部访问135、445等高阶端口。通过邮件安全网管和WEB防火墙，所有通讯方式和邮件对Internet到内网的附件进行严格过滤，彻底切断沟通渠道；

通过沙盒工具进行启发式深度检测，如使用华为Firehunter对未知威胁甚至APT进行深度检测，监控感染源，及时切断病毒传播途径，进而阻断所有高危威胁核心交换机和接入交换机上的端口；

最后，必须要有一个统一的终端安全工具，再次阻断终端上的高危端口访问，并通过统一的补丁管理，及时打上MS17-010的最新补丁，通过防御达到企业级安全。深度和层次联系。 安全的三维保护。

▌拭目以待

1983年，凯文·米特尼克被发现使用大学计算机进入互联网前身ARPA网络，并通过该网络黑进了五角大楼的计算机。 他被判处六个月的纪律处分。 这一事件成为黑客攻击的开山之作。

更可怕的是，黑客的攻击手段层出不穷：20世纪80年代的主流攻击手段是密码猜测和破解； ; 2010年后主要是APT攻击、移动端、云攻击等。

Jess Security创始人刘春华表示：过去两年全球黑客的收入是过去的5到10倍。 黑客行为的逐利性导致了黑产业的异常活跃。 各类黑客势力分工明确，形成完整的合作链条，攻击目标和手段更加精准。

在这种表面平静中，以窃取和预制为目的的APT攻击并没有受到足够的重视，因为它们是IT管理者难以察觉的高度隐秘的攻击。

关注度不够也可能是造成这次全球性大规模网络攻击的原因。

对于此事的后续发展状况，360安全总工程师郑文斌认为“目前还难以预测”，只能静待黑客的下一步行动。

互联网正从PC时代走向移动时代，手机也将面临巨大的安全考验。 刘春华表示，未来移动智能终端的安全将涉及方方面面，安全问题遵循“木桶效应”。 解决了一些问题并不意味着移动终端的安全问题就解决了。

移动安全是一个生态系统，需要每个人共同努力。 只有企业、应用市场、终端厂商、个人用户共同努力，提高安全意识，才能最终建立并不断优化移动智能终端的安全生态链。

此外，业务应用的云化带来了新一轮生产效率的提升。 云的出现是IT商业模式的一次重大变革，同时也对为其提供支撑的安全体系提出了新的挑战。 除了云服务商提供的一定的安全保障外，使用云的客户更要注意防范，而不是把安全留给别人。

道高一尺，魔高一尺。 互联网并非绝对安全。 威客安全CEO陈新龙认为，未来通过加密进行勒索的手段将层出不穷。 取消隐性支付清算是遏制此类事件发生的关键。 安全防御能力的自动化防御将是趋势。

人的反应速度跟不上机器传输的速度。 各国都将高度重视此次事件，其带来的世界级影响也将为各类人士敲响警钟，网络安全战略将迈上新台阶。

尾注：本文特别感谢周末晚上第一时间回复Xtecher采访的各位嘉宾！

欢迎关注政和岛的好朋友

雄安千里眼

（ID：雄安QLY）