74個國家電腦遭病毒勒索，黑客使用工具竟來自美國國安局

【文/觀察者網專欄作者 鐵流】

5月13日，全球範圍內發生大規模劫持數據、勒索比特幣的病毒事件。目前，英國NHS系統中超過1/2的機構已受到攻擊，醫院的電腦被鎖定，醫院近乎陷入癱瘓，這直接導致很多門診預約被取消，就醫的病人被迫轉移。黑客索要每家醫院支付300比特幣（約合400萬人民幣）的贖金，否則將刪除所有資料。國內部分高校教育網也遭到攻擊，高校學生的畢業論文及設計資料被鎖。

其實，本次黑客攻擊是利用從美國國家安全局竊取的黑客工具實現的，而且還利用了微軟操作系統的漏洞。這件事情用鐵一般的事實說明了，如今中國信息技術產業建立在美國的基礎軟硬體之上，其安全性是非常值得商榷的。

攻擊利用了什麼漏洞

正如一些資深碼農所言，BUG是修補不完的，在軟體開發中程序員無意間的失誤就會留下漏洞，而這種漏洞連開發這個軟體的工程師自己都不知道。何況很多廠商出於種種目的，會故意留下一些後門。

比如本次病毒攻擊，就是利用了微軟的MS17-010漏洞。MS17-010是Windows系統一個底層服務的漏洞，通過這個漏洞可以影響445埠。黑客就是通過在網路上掃描開放的445埠，然後把蠕蟲病毒植入被攻擊電腦，而被攻擊的電腦會被黑客控制，去掃描其他電腦，由此引發鏈式反映，最終形成海量電腦被黑客控制的結果。

電腦中毒被鎖死

必須說明的是，MS17-010原本是美國國家安全局（NSA）旗下組織「方程式小組」御用的0Day漏洞。不過這些「方程式小組」的「御用漏洞」泄漏出去也頗具諷刺意味——在去年，處於黑客金字塔頂端的「方程式小組」，被一夥叫做「影子經紀人」神秘黑客給黑了，結果導致大量「方程式小組」的御用黑客工具大量泄漏。

「方程式小組」並非官方正式稱呼，而是卡巴斯基在發現某個神秘黑客組織之後給起的名字。起這個名字的原因是因為該神秘黑客組織技術實力極強。像2010年破壞伊朗核設施的「震網」病毒，就很有可能出自「方程式小組」的手筆。

2015年，卡巴斯基就表示，在全球42個國家發現了「方程式小組」的500個感染行為。而且卡巴斯基還認為，這只是冰山一角，因為這個黑客團隊製造的「武器」擁有超強的自毀能力，絕大多數進攻完成之後，不會留下任何痕迹。

在去年，一個名叫「影子經紀人」的黑客組織攻入了「方程式小組」，並發現了大量黑客工具，還免費向所有人泄露了其中部分黑客工具和數據。更絕的是，「影子經紀人」還宣稱將通過互聯網拍賣所獲取的這些「最好的文件」，如果他們收到100萬個比特幣，就會公布更多工具和數據。

值得一提的是，「影子經紀人」從「方程式組織」獲取的文件中，一些黑客工具名稱與斯諾登公布的內容相吻合。不過，比較倒霉的是，目前還沒有「影子經紀人」收到100萬個比特幣的公開消息。

因此，本次全球範圍內遭受黑客攻擊，很可能只是這伙神秘黑客想通過這種方式，要挾一些機構將竊取的工具變現，同時也是在示威——在經過全球範圍內的黑客攻擊後，以後要開展各種業務也會順利得多。

攻擊範圍有多大

其實，早在去年美國洛杉磯也遭遇過類似的網路襲擊，根據美國聯邦調查局數據，當時黑客一共得到13140英鎊的贖金。根據BBC報道，在本次攻擊中，病毒攻擊已經擴散到74個國家，西班牙的電訊公司Telefónica、俄國內政部都遭受了攻擊。已經至少有10筆，每筆額度為300美元左右的贖金，被打到黑客提供的比特幣賬戶。

就中國而言，由於運營商限制了445埠，所以大部分用戶不受影響。只是教育網不在限制445埠的行列，因而國內教育網受到影響較大。就目前的消息看，國內每天有5000多台機器遭到攻擊，浙江杭州下沙高教園區校園網大量被黑，浙傳、計量、理工大學等高校的學生電腦里的資料文檔被鎖死。四川大學、桂林電子科技大學、桂林航天工業學院、山東大學、大連海事大學、廣西師範大學、賀州學院，以及廣西等地區的大學都受到了病毒攻擊。

此外，根據網友爆料，國內加油站系統也可能中毒了。有網友發現去加油站加油只收現金。

中了病毒怎麼辦

首先要說明的是，由於國內運營商限制了445埠，所以國內大部分用戶不受影響，主要受影響的是中國高校的教育網路。如果有網友已經中毒了，那麼非常不幸，目前還沒有有效的解決辦法。只能等待高手去尋找黑客攻擊工具的漏洞，或者直接拿下黑客的控制伺服器。如果能夠有高手做到之前的兩點，那麼就有恢複電腦中數據和文件的可能性。

但如果無法破解黑客攻擊工具的漏洞，要麼按照黑客的要求支付比特幣，或者身邊有懂技術的朋友，把操作系統重新安裝，不過這樣一來，電腦里的數據和文檔就沒有了。

如果還沒有中毒，而且還是校園網用戶，網路上已經有網友給出了解決之道，比如安裝反勒索軟體，不過最直接有效的辦法當然是拔網線......

另外，廣大網友要擦亮眼睛，對於網路上販賣解密工具的情況，很有可能是假的，畢竟這次黑客用的是美國國家安全局（NSA）旗下組織「方程式小組」御用攻擊工具，這種級別的攻擊也只有卡巴斯基、360這種量級的選手能夠應付，而像卡巴斯基和360給出的解密工具未必會向用戶收費。

文末附上廣西師範大學給校園網用戶的提醒：

1. 為計算機安裝最新的安全補丁，微軟已發布補丁ms17-010修復了「永恆之藍」攻擊的系統漏洞，請儘快安裝此安全補丁。

網址為https://technet.microsoft.com/zh-cn/library/security/ms17-010；

對於windows xp、2003等微軟已不再提供安全更新的機器，可使用360「nsa武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe。

2. 關閉445、135、137、138、139埠，關閉網路共享。

3. 強化網路安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開……

4. 儘快（今後定期）備份自己電腦中的重要文件資料到移動硬碟、u盤，備份完後離線保存該磁碟。

5. 建議仍在使用windows xp，windows 2003操作系統的用戶儘快升級到window 7/windows 10，或 windows 2008/2012/2016操作系統。

廣西師範大學網路信息中心

本文系觀察者網獨家稿件，文章內容純屬作者個人觀點，不代表平台觀點，未經授權，不得轉載，否則將追究法律責任。關注觀察者網微信guanchacn，每日閱讀趣味文章。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！