勒索病毒並非「病毒」，而是一種商業模式

在勒索病毒又一次爆發後，36氪的這篇文章希望提供給你一個不同的視角，和一個更為輕鬆的態度。如果你想找到預防本次勒索病毒的操作方案，文末也將為你展示。

文 | 宋長樂

「勒索病毒並非是一種病毒，而是一種商業模式，只要網路環境中有財產可被獲取，就會出現無盡的變種。」360安全技術負責人鄭文彬告訴36氪。

勒索病毒最新「戰況」

自12日WannaCrypt（永恆之藍）勒索蠕蟲突然爆發以來至今，影響已經遍及近百國家，包括英國醫療系統、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者，中國校園網和多家能源企業、政府機構也中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失，全球至少有10萬台機器被感染。

經過72小時全國動員和應急響應，感染和影響得到了基本控制，總體態勢平穩，但這種病毒的傳播情況至今仍然無法徹底遏制。

首先，來回望下這次勒索病毒的起源。

根據多家官方權威介紹，本次勒索病毒發行者是利用了去年被盜的美國國家安全局(NSA)自主設計的Windows系統黑客工具Eternal Blue「永恆之藍」，將2017年2月的一款病毒升級所致。WannaCrypt（永恆之藍）勒索蠕蟲是NSA網路軍火民用化的全球第一例。

一個月前，第四批NSA相關網路攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。

勒索者使用病毒的方式也很簡單，瞄準機構和個人重要文件，直接「放毒」，加密用戶電腦文件並勒索300美元贖金，3天後不交贖金就漲價到600美元，7天後不交贖金就撕票，被鎖的重要文件將被永久銷毀。

一個很現實的問題：

勒索病毒為何就沒辦法徹底遏制？

一方面因為WannaCrypt利用公開的「永恆之藍」武器製作的蠕蟲型勒索病毒，一台電腦感染後，會繼續掃描內網和互聯網上其他未免疫的系統，繼續感染這些系統，連鎖反應導致大規模感染爆發。

勒索病毒傳播圖

另一個關鍵因素是勒索病毒使用的是可匿名比特幣支付，壓根追蹤不到病毒來源和背後勒索者。

事實上，根據比特幣交易平台的公開數據顯示，截至5月15日晨，已經有136人交了贖金，總價值約3.6萬美元。

有人可能要問了，有比特幣的可以快速支付並解鎖，但沒有比特幣的人怎麼辦？

別著急，勒索者都已經幫你想好了，這個病毒製造者可謂很貼心，在勒索頁面附有教程，直接可以通過網銀從分銷商那裡購買比特幣，並且它支持十幾種語言，根據每個國家的國情不一樣，做非常完整的提示。

很貼心的支持多國語言，以及比特幣購買流程

事實上，勒索者還設置了一個更貼心的服務，那就是對半年沒付款的搞抽獎活動，抽中就可以免費給你解除，但沒有抽中就是運氣不好了。

這儼然就是一種商品的售賣和營銷模式啊，也恰恰驗證了鄭文彬所說的一整套勒索「商業模式」。

當然，這一次也並非勒索病毒首次爆發，2013年勒索病毒就出現了，只不過當時是通過郵件、掛馬傳播，2015年開始進入爆發期，目前已經有超過100種勒索病毒家族存在。有數據顯示，僅其中一個勒索病毒CryptoWall家族的一 個變種就收到23億贖金。

那麼，問題來了，多年前已經得知的「商業模式」，為什麼如今還會呈現大爆發態勢？

「可以說，目前對勒索病毒還沒有一個特別好的解決的方法，只能說是防禦，但中了以後並沒有什麼好的方法，這種情況下它還會發展出更多的變種，包括在不同的平台，移動平台、IoT，甚至是關鍵基礎信息設施上。」 鄭文彬如是說。

除此之外，如前文所說，勒索病毒溯源一直是比較困難的問題，FBI曾經懸賞300萬美元找勒索病毒的作者，都沒有結果。因為它的整個操作體系非常成熟，完全是用比特幣和匿名網路，目前全球都沒有發現作者是哪個國家的，它的目的是什麼，沒有一個明確的消息。

這次中槍最多的為何是機構？

如果在以前，勒索病毒的人群多集中在個人，但這次不然，傷害最大的卻是大型機構，為什麼？

比如，《每日郵報》的報道病毒爆發當天就表示，至少19家位於英格蘭和蘇格蘭的NHS所屬醫療機構遭到網路攻擊，這些機構包括醫院和全科醫生診所。

病毒製造者為了謀取高額利潤，首選機構無可厚非，畢竟機構更具有支付的財力。

但另一個不可忽視的因素是機構安全市場的投入嚴重不足。

一個數據顯示，中國整個安全市場占整個中國IT市場的投入是2%，而全球尤其是美國安全市場，占整個美國IT市場的也不過9%，兩個超級大國的投入已經如此，更不用提其他國家了。

這導致病毒來襲之後，安全系統弱的機構手足無措，漏洞更新也頗為困難，因為這可能牽涉到整個機構系統的大變動，這也是為何企業客戶明顯比互聯網個人用戶反應慢的原因所在。

除此之外，很多機構即便上線了最新的安全產品，但缺乏運營，因為如果沒有人經常檢查有沒有效果、漏洞有沒有被修復，445埠有沒有被非法的開放，安全產品也沒有用。

這也印證了安全行業的一種說法：重視運營，就是安全產品上線的第一天也是失效的第一天。

真對此次勒索病毒，網路很多人認為應該NSA背鍋，但是你有沒有想過，如果NSA不用這個武器，這些漏洞就不存在嗎？

其實這些漏洞還是會存在，總有人會利用它，只不過這件事情被曝光出來，造成了極大的影響。

事實上，我們也無法否認，只要黑客找到一種攻擊方式，它就可以拿來作為一個勒索的工具和勒索的蠕蟲，下次它可能能攻擊你的手機，攻擊你的IoT連接設備，所以它並不是某一種病毒，早已經變成一種黑產的商業模式。

不過，雖然勒索病毒已造成了世界範圍的影響，並且攻擊了我國的3萬餘個機構，廣大網友似乎卻不太擔心：

有的網友開了這樣的腦洞...

有的網友把矛頭對準了比特幣：

一部分網友表示：我只擔心我電腦里的資源！

另一部分網友表示：我的電腦里並沒有什麼可黑的~

由於這次病毒來襲，學校是中國的重災區，所以，廣大的學生群體紛紛表達了自己的聲音...

一部分上班族也表達了對病毒的「祈盼」：

你看，連偷懶的話術都給你想好了...

不過，很快老闆們就給出了回復：

（以上網友評論來源於微博@華西都市報、@環球時報的網友評論）

編者註：

雖然我們選取了一些網友略顯搞笑的評論，但我們並不是想調侃這次波及全球的病毒事件，而是想以一種更輕鬆的方式提醒大家：既要注意網路安全問題，也不要在危險來臨時過於恐慌、甚至危言聳聽。

本質上，這只是互聯網誕生以來，病毒的又一次「乘人之危」和黑客又一次「秀操作」。我們面對的態度應該是冷靜，鎮定，並及時預防且吸取教訓，過度的恐慌和誤傳並不是明智之舉。

在36氪微信公號對話框回復「病毒」，為你送上一篇預防本次勒索病毒的操作指南。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！