一場(chǎng)互聯(lián)網(wǎng)領(lǐng)域的“生化危機(jī)”正在全球上演。令人不安的情況仍在繼續(xù)：WannaCry病毒還在擴(kuò)張自己的領(lǐng)地。

這大概是世界上成名最快的一款互聯(lián)網(wǎng)程序，從5月12日開(kāi)始，在短短24小時(shí)內(nèi)，由于罕見(jiàn)的傳播速度以及嚴(yán)重的破壞性，勒索病毒W(wǎng)annaCry已經(jīng)成為全球關(guān)注的焦點(diǎn)。

2017年5月12日，WannaCry蠕蟲(chóng)通過(guò)MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計(jì)算機(jī)，該蠕蟲(chóng)感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示支付價(jià)值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。目前已經(jīng)波及99個(gè)國(guó)家。

在WannaCry攻城拔寨的傳播過(guò)程中，5月13日晚間，由一名英國(guó)研究員于無(wú)意間發(fā)現(xiàn)的WannaCry隱藏開(kāi)關(guān)(KillSwitch)域名，意外的遏制了病毒的進(jìn)一步大規(guī)模擴(kuò)散。

獲知此消息的云縱首席科學(xué)家及研發(fā)副總裁鄭昀忍不住在微博感嘆，“這個(gè)事件從頭到尾都像是一部電影，開(kāi)始的離奇，結(jié)束的詭異。”

但事情遠(yuǎn)未結(jié)束，現(xiàn)實(shí)證明KillSwitch的發(fā)現(xiàn)只是一個(gè)插曲。

5月14日，在停止開(kāi)關(guān)被發(fā)現(xiàn)18小時(shí)后，國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布新變種預(yù)警：WannaCry2.0即將來(lái)臨;與之前版本的不同是，這個(gè)變種取消了KillSwitch，不能通過(guò)注冊(cè)某個(gè)域名來(lái)關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。

截至14日10時(shí)30分，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心已監(jiān)測(cè)到約242.3萬(wàn)個(gè)IP地址遭受“永恒之藍(lán)”漏洞攻擊;被該勒索軟件感染的IP地址數(shù)量近3.5萬(wàn)個(gè)，其中中國(guó)境內(nèi)IP約1.8萬(wàn)個(gè)。

同時(shí)，由于WannaCry大規(guī)模爆發(fā)于北京時(shí)間上周五晚8點(diǎn)，國(guó)內(nèi)還有大量政企機(jī)構(gòu)網(wǎng)絡(luò)節(jié)點(diǎn)尚在關(guān)機(jī)狀態(tài)。因此，今日周一開(kāi)機(jī)已經(jīng)是一場(chǎng)安全考驗(yàn)。

新的危險(xiǎn)正在步步逼近，而人們目前對(duì)WannaCry病毒本身所知依然有限。

神秘謎團(tuán)

WannaCry的傳播路徑是個(gè)謎團(tuán)，互聯(lián)網(wǎng)安全廠商們?nèi)詿o(wú)法確切還原。

病毒最先在英國(guó)大規(guī)模爆發(fā)，影響范圍波及醫(yī)療體系，一些手術(shù)被迫中止。國(guó)內(nèi)，在病毒感染數(shù)據(jù)達(dá)到被監(jiān)測(cè)機(jī)構(gòu)注意到的閾值之前，首先讓外界注意到這一病毒的，是國(guó)內(nèi)社交網(wǎng)絡(luò)上不少大學(xué)生反映學(xué)校網(wǎng)絡(luò)故障的言論。

5月12日，多個(gè)高校發(fā)布了關(guān)于連接校園網(wǎng)的電腦大面積中勒索病毒的消息，一位來(lái)自桂林電子科技大學(xué)的同學(xué)對(duì)騰訊科技證實(shí)，該校某創(chuàng)新實(shí)驗(yàn)基地幾百臺(tái)電腦由于受到勒索病毒的攻擊，已經(jīng)陷入癱瘓。

感染范圍很快從校園網(wǎng)蔓延出去，根據(jù)統(tǒng)計(jì)，國(guó)內(nèi)包括校園網(wǎng)用戶、機(jī)場(chǎng)、銀行、加油站、醫(yī)院、警察、出入境等事業(yè)單位都受到了攻擊并且中毒。

騰訊安全團(tuán)隊(duì)在溯源中發(fā)現(xiàn)，病毒爆發(fā)是在校園網(wǎng)用戶里，但從哪開(kāi)始不詳。獵豹移動(dòng)安全專(zhuān)家李鐵軍(微博)則表示，病毒的來(lái)源和傳播路徑目前沒(méi)有結(jié)論，什么時(shí)間潛伏進(jìn)內(nèi)網(wǎng)的，都需要更多研究來(lái)分析。

好消息一度在病毒大肆傳播24小時(shí)后傳出，12日晚間8點(diǎn)多，有消息稱(chēng)WannaCry被互聯(lián)網(wǎng)安全人員找到阻止其傳播的方法，這一消息隨后得到國(guó)內(nèi)多家安全廠商的證實(shí)。

被意外發(fā)現(xiàn)的KillSwitch同樣是個(gè)謎團(tuán)。

沒(méi)人能回答病毒作者因何為WannaCry設(shè)置了停止開(kāi)關(guān)，安全專(zhuān)家們只能給出如下推測(cè)：可能是編碼錯(cuò)誤，也可能是作者沒(méi)想到;可能源于作者擔(dān)心病毒無(wú)克制傳播?？傊瑳](méi)有定論。

KillSwitch是WannaCry眾多謎團(tuán)中的一個(gè)，同樣讓人感到困惑的，還有WannaCry的勒索行為本身。

病毒被傳播后，繳納贖金的人數(shù)在持續(xù)增長(zhǎng)，根據(jù)騰訊安全團(tuán)隊(duì)提供的數(shù)據(jù)，截至5月13日晚間，全球共有90人交了贖金，總計(jì)13.895比特幣，價(jià)值超過(guò)14萬(wàn)，到了5月14日下午四點(diǎn)半，繳納贖金的人數(shù)增長(zhǎng)至116人。

盡管目前安全專(zhuān)家們?nèi)晕凑业浇饷懿《靖腥疚募姆椒?，但互?lián)網(wǎng)安全專(zhuān)家們堅(jiān)持建議受感染用戶不要繳納贖金。

原因在于，“WannaCry的勒索行為似乎無(wú)法構(gòu)成一個(gè)完整的業(yè)務(wù)回路，”反病毒引擎和解決方案廠商安天實(shí)驗(yàn)室創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光介紹，在繳納贖金解密文件這個(gè)問(wèn)題上，“我們的判斷和網(wǎng)上的傳聞(繳納贖金成功解密)有出入，即支付了贖金也無(wú)法解密。因?yàn)槊總€(gè)用戶都是個(gè)性化的密鑰，意味著受害人需要向攻擊者提供標(biāo)識(shí)身份的信息。”

而實(shí)際上受害者在繳納贖金的過(guò)程中無(wú)法提供標(biāo)識(shí)身份的信息，因此，這意味著即使受害者交了贖金，依然無(wú)法獲得解密。

對(duì)于這種情況，肖新光分析原因可能在于“我們的分析過(guò)程中不夠縝密”。但騰訊安全團(tuán)隊(duì)得出了同樣的結(jié)論：經(jīng)驗(yàn)證，交錢(qián)的過(guò)程，作者并沒(méi)有核實(shí)受害者的邏輯，只是收了錢(qián)，并沒(méi)有幫忙解密。這顯然并非巧合。

肖新光給出另外兩種可能的推測(cè)：“或者可能是作者根本就沒(méi)有想解密;還有一種可能是，這是事件本身不是以勒索為目的，而是以勒索者的表現(xiàn)達(dá)到其他目的。”

一個(gè)謎團(tuán)接著另一個(gè)謎團(tuán)，解開(kāi)它們是戰(zhàn)勝WannaCry的關(guān)鍵。

互聯(lián)網(wǎng)“生化危機(jī)”

戲劇般的場(chǎng)景正在由0和1組成的二進(jìn)制世界中發(fā)生，離奇程度堪比電影。

WannaCry來(lái)勢(shì)洶洶，可能會(huì)成為有史以來(lái)危害最大的蠕蟲(chóng)病毒。騰訊安全團(tuán)隊(duì)將WannaCry的傳播方式和影響力與此前聲名大噪的“沖擊波”、“Conficker”對(duì)等。

沖擊波病毒(W32.Blaster.Worm)是利用在2003年7月21日公布的RPC漏洞進(jìn)行傳播的，該病毒于當(dāng)年8月爆發(fā)，由于沖擊波病毒肆虐全球，部分運(yùn)營(yíng)商在主干網(wǎng)絡(luò)上封禁了445端口。五年后，Conficker蠕蟲(chóng)病毒于2008年“襲”卷全球的，當(dāng)時(shí)有近200個(gè)國(guó)家的至少900萬(wàn)臺(tái)電腦被感染。

Conficker爆發(fā)后近十年的平靜隨著WannaCry的發(fā)作被打破，騰訊安全團(tuán)隊(duì)介紹，WannaCry與“沖擊波”、“Conficker”不同的地方在于，其危害程度遠(yuǎn)超當(dāng)時(shí)的病毒，因?yàn)樵摬《緯?huì)加密用戶機(jī)器上的所有文檔，損失相當(dāng)慘重。

幾乎所有互聯(lián)網(wǎng)安全團(tuán)隊(duì)們都在通宵加班，病毒傳播速度非常快，安全專(zhuān)家們必須爭(zhēng)取時(shí)間。

WannaCry的作者看上去野心勃勃，據(jù)了解，其設(shè)置了27國(guó)語(yǔ)言，這并不常見(jiàn)。

肖新光介紹，最早的勒索者就用英文版，后來(lái)逐漸的擴(kuò)散到不同的國(guó)家，為了獲得更大的收益，從語(yǔ)言包的數(shù)量上對(duì)勒索軟件來(lái)說(shuō)是比較多的，是一個(gè)漸進(jìn)的過(guò)程。

但27種語(yǔ)言仍舊是不同尋常的。李鐵軍對(duì)騰訊科技介紹，很長(zhǎng)時(shí)間以來(lái)，勒索病毒都支持多國(guó)語(yǔ)言，但一般的勒索病毒支持的語(yǔ)言為6、7種，大部分在10種以?xún)?nèi)，“這個(gè)版本支持的語(yǔ)言真多。”

中文版本中，WannaCry以流暢的表述威脅著中毒用戶：“對(duì)半年以上沒(méi)錢(qián)付款的窮人，會(huì)有活動(dòng)免費(fèi)恢復(fù)，能否輪到你，就要看您的運(yùn)氣怎么樣了。”對(duì)于中文解析流暢是否意味著病毒作者可能來(lái)自中國(guó)的猜測(cè)，安全專(zhuān)家們分析WannaCry有可能是團(tuán)隊(duì)作案，團(tuán)隊(duì)成員可能遍布不同國(guó)家。據(jù)騰訊安全團(tuán)隊(duì)介紹，目前來(lái)看受WannaCry危害最大的應(yīng)是俄羅斯。

WannaCry的實(shí)際傳播情況確實(shí)沒(méi)有辜負(fù)其精心準(zhǔn)備的27種語(yǔ)言，目前，已經(jīng)有近百個(gè)國(guó)家遭遇病毒攻擊。

蠕蟲(chóng)病毒的特性是WannaCry得以迅速傳播的重要原因，與其他病毒相比，蠕蟲(chóng)病毒的傳播速度要快太多，因?yàn)椴《咀陨砜梢詫ふ覀鞑ハ乱粋€(gè)可攻擊的目標(biāo)。

WannaCry得以獲得如此快速傳播的另一個(gè)重要原因在于，采用了前不久美國(guó)國(guó)家安全局NSA被泄漏出來(lái)的MS17-010漏洞。

在肖新光看來(lái)，WannaCry得以產(chǎn)生如此傳播效果的主要原因在于“使用了一個(gè)較新的對(duì)多個(gè)Windows版本有通吃能力的遠(yuǎn)程溢出漏洞，這一漏洞本來(lái)是情報(bào)機(jī)構(gòu)高度隱秘網(wǎng)絡(luò)軍火，但因失竊流失導(dǎo)致被多方利用。”

因此，肖新光對(duì)WannaCry事件的定義是“軍火級(jí)的漏洞被以非受控的方式使用。”

美國(guó)國(guó)家情報(bào)機(jī)關(guān)的涉入讓W(xué)annaCry變得更加復(fù)雜，國(guó)家權(quán)力機(jī)關(guān)的涉入已經(jīng)引發(fā)外界對(duì)網(wǎng)絡(luò)安全的擔(dān)憂，逃亡至俄羅斯的NSA前雇員愛(ài)德華·斯諾登5月13日發(fā)布推特建議國(guó)會(huì)質(zhì)詢(xún)NSA，“鑒于今日的攻擊，國(guó)會(huì)需要質(zhì)詢(xún)@NSAgov，看它是否還知道我們醫(yī)院所使用的軟件中還有其他漏洞。”

沒(méi)有人希望電影生化危機(jī)中由部分決策機(jī)構(gòu)私利驅(qū)動(dòng)造成的災(zāi)難在互聯(lián)網(wǎng)世界重復(fù)上演。

貓鼠游戲

WannaCry具備了一款超級(jí)病毒應(yīng)有的特點(diǎn)：神秘、快速以及嚴(yán)重的破壞。終止這場(chǎng)貓鼠游戲是網(wǎng)絡(luò)安全專(zhuān)家們的共同目標(biāo)。

“估計(jì)全球安全人員都想把病毒作者扒出來(lái)。”李鐵軍對(duì)騰訊科技說(shuō)道。

采集樣本、進(jìn)行分析、形成對(duì)策建議是安全團(tuán)隊(duì)們的基本應(yīng)對(duì)模式。

騰訊安全團(tuán)隊(duì)在5月12日下午2點(diǎn)多感知到這波蠕蟲(chóng)病毒、晚上開(kāi)始爆發(fā)后，第一時(shí)間對(duì)敲詐者病毒進(jìn)行了攔截防御、對(duì)漏洞進(jìn)行了防御，同時(shí)引導(dǎo)用戶去打補(bǔ)丁、關(guān)閉高危端口(445端口等)，并推出了“文檔守護(hù)者”產(chǎn)品;5月14日推出了針對(duì)易感的企業(yè)客戶推出了一個(gè)電腦管家“管理員助手”診斷工具。

監(jiān)測(cè)到WannaCry病毒發(fā)作的當(dāng)天即5月12日晚間八點(diǎn)，安天實(shí)驗(yàn)室立刻啟動(dòng)了A級(jí)即最高級(jí)災(zāi)難響應(yīng)，此前的同級(jí)別病毒或安全疫情有紅色代碼、震蕩波、沖擊波、破殼等。

啟動(dòng)了A級(jí)災(zāi)難響應(yīng)后，安天實(shí)驗(yàn)室首先派出一部分人員去現(xiàn)場(chǎng)采集病毒樣本、觀測(cè)主機(jī)和網(wǎng)絡(luò)現(xiàn)象，涉及十個(gè)不同的行業(yè)，因需保護(hù)客戶隱私，安天實(shí)驗(yàn)室未透露中毒的具體企業(yè)名稱(chēng)。

情況顯然相當(dāng)嚴(yán)重，實(shí)際上，并非每一次病毒爆發(fā)都需要實(shí)驗(yàn)室研發(fā)人員前往現(xiàn)場(chǎng)采集樣本，肖新光介紹，上一次出現(xiàn)大面積類(lèi)似操作的針對(duì)IoT僵尸網(wǎng)絡(luò)進(jìn)行的取證分析。而研發(fā)人員現(xiàn)場(chǎng)采集回來(lái)的樣本接近30個(gè)，包含母體和釋放的文件。

采集樣本的同時(shí)，研發(fā)人員進(jìn)行后臺(tái)分析、樣本分析，另一部分研發(fā)人員則形成對(duì)策建議、應(yīng)急方案，開(kāi)發(fā)分析、免疫工具。

金山毒霸研發(fā)團(tuán)隊(duì)同樣一直在加班，抓緊分析病毒，開(kāi)發(fā)免疫工具，提供應(yīng)急補(bǔ)丁，升級(jí)了毒霸的防御系統(tǒng)。

由于事件出現(xiàn)在周末，當(dāng)前來(lái)看后果還沒(méi)有完全體現(xiàn)出來(lái)，隨著周末過(guò)后的工作日來(lái)臨，病毒傳播進(jìn)一步發(fā)展的風(fēng)險(xiǎn)很高。尤其高校、企業(yè)、政府機(jī)關(guān)等內(nèi)網(wǎng)用戶仍屬于高危感染人群，因此，對(duì)安全團(tuán)隊(duì)們而言，當(dāng)前最緊要的任務(wù)是保證行業(yè)用戶在周一開(kāi)機(jī)投入使用的時(shí)候規(guī)范化操作，能夠盡量的去減少損失。

為此，包括騰訊安全團(tuán)隊(duì)、安天實(shí)驗(yàn)室在內(nèi)的安全團(tuán)隊(duì)已經(jīng)推出了針對(duì)周一開(kāi)機(jī)的解決方案。

此前騰訊電腦管家已經(jīng)發(fā)布“勒索病毒免疫工具”及“勒索病毒免疫工具離線版”，用戶只要掌握正確處置方法，通過(guò)電腦管家勒索病毒免疫工具，就可以加固電腦以免被感染。

對(duì)于企業(yè)而言，如果管理員在不確定電腦是否被感染的情況下，可以使用騰訊電腦管家的“管理員助手”診斷工具進(jìn)行檢測(cè)。下載后，輸入目標(biāo)電腦的IP或者設(shè)備名稱(chēng)，即可診斷目標(biāo)電腦是否存在被感染勒索病毒的漏洞，可在診斷報(bào)告的指導(dǎo)下，對(duì)尚未打補(bǔ)丁的健康設(shè)備及時(shí)打補(bǔ)丁、布置防御。

然而在加密可破解性、可恢復(fù)性到底有多大、這個(gè)病毒能不能進(jìn)行有效的溯源等問(wèn)題上，目前全球安全專(zhuān)家還沒(méi)有實(shí)質(zhì)性的突破。

隨著WannaCry變種的預(yù)警出現(xiàn)，可以預(yù)見(jiàn)，短期內(nèi)安全專(zhuān)家們與病毒作者間的貓鼠游戲還將持續(xù)一段時(shí)間。基于此，安全專(zhuān)家們普遍建議用戶們應(yīng)該及時(shí)安裝系統(tǒng)補(bǔ)丁，打開(kāi)主機(jī)防火墻，關(guān)閉不使用的服務(wù)和端口，及時(shí)升級(jí)病毒庫(kù)。

騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松表示，雖然目前監(jiān)控到的數(shù)據(jù)并沒(méi)有完全證實(shí)WannaCry2.0勒索病毒已經(jīng)來(lái)襲，但出現(xiàn)新變種的可能性非常大，廣大用戶務(wù)必強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，陌生鏈接不點(diǎn)擊，陌生文件不要下載，陌生郵件不要打開(kāi)，電腦安裝并開(kāi)啟殺毒軟件。

由WannaCry帶來(lái)的反思已經(jīng)在進(jìn)行，李鐵軍認(rèn)為，“WannaCry影響比較大，應(yīng)該說(shuō)對(duì)所有人上了一課。網(wǎng)民幾乎已經(jīng)忘了電腦病毒這個(gè)東西，以為自熊貓燒香后，病毒已經(jīng)不見(jiàn)了。其實(shí)，不是病毒不見(jiàn)了，而網(wǎng)民看不見(jiàn)而已。病毒一直都在，龐大的黑色產(chǎn)業(yè)鏈越來(lái)越專(zhuān)業(yè)，隱藏越來(lái)越深，也基本上不破壞系統(tǒng)，目標(biāo)只是賺錢(qián)。網(wǎng)民看不見(jiàn)了。開(kāi)始以為病毒都是安全廠商瞎忽悠。所以，這個(gè)病毒事件，會(huì)讓網(wǎng)民重新警覺(jué)起來(lái)。一定會(huì)對(duì)中國(guó)的網(wǎng)絡(luò)安全產(chǎn)生正面影響。”

肖新光眼中，刻意強(qiáng)調(diào)是惡意的攻擊行為來(lái)推動(dòng)了安全的進(jìn)步，這個(gè)價(jià)值觀是有問(wèn)題的，但“從規(guī)律性來(lái)看，人類(lèi)歷史上所有的巨大災(zāi)難都是以巨大進(jìn)步為補(bǔ)償。”