「勒索病毒」肆虐全球，到底是誰在你的電腦上「搞事情」？

在熊貓燒香肆虐之後十年，我們又迎來了一次大規模的網路病毒襲擊。冤有頭，債有主，這一次是誰在搞事情？

本篇為節選，全文是《政商智庫》付費內容。

5月13日早上，幾乎所有人的朋友圈都在流傳著這樣一條消息——全球爆發電腦勒索病毒，感染該病毒後，不到十秒，電腦里所有文件全被加密無法打開，只有按彈窗提示交贖金（相當於300美元的比特幣）才能解密。

目前，「疫情」已波及99個國家。包括中國、俄羅斯、英國、美國在內的眾多國家，都被該病毒攪得雞犬不寧。

目前，安全業界暫未能有效破除該勒索軟體的惡意加密行為。（網路圖）

據BBC News消息，這個在國內被大家簡稱為「比特幣病毒」的「蠕蟲式」勒索病毒軟體，其頭號目標主要針對大型機構、組織。根據360威脅情報中心的統計，短短一天多的時間，全球超過10萬家組織和機構被攻陷，其中包括1600家美國組織，11200家俄羅斯組織。

除英國國家醫療服務體系（NHS）、美國運輸巨頭聯邦快遞（FedEx）外，西班牙電信巨頭Telefonica、電力公司Iberdrola、能源供應商Gas Natural等在內的西班牙公司的網路系統均已癱瘓，瑞典某當地政府、俄羅斯第二大移動通信運營商Megafon，甚至俄羅斯內政部的1000多台電腦也紛紛「中招」。

俄羅斯影響最大的互聯網新聞媒體「今日俄羅斯」Russia Today的報道。（圖片來自RT）

中國範圍內，據《每日經濟新聞》，5月13日凌晨，全國包括北京、上海、重慶、成都等多個城市的部分中石油加油站突然出現斷網，一時無法使用支付寶、微信、銀聯卡等聯網支付方式。中石油方面稱，截至5月14日12時，80%以上加油站已經恢復網路連接，受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。

目前，國內感染該病毒的「重災區」是各大高校。根據360威脅情報中心的統計，截至5月13日20點，國內有29372家機構組織的數十萬台機器感染，其中教育科研機構有4341家中招。

而且黑客那邊一看就是有備而來，勒索信息的中文那叫一個接地氣，什麼「就算老天爺來了」、「我以人格擔保」、「就要看您的運氣怎麼樣了」……就算不是中文母語的人寫的，那也得是個漢語十級的老外。

（圖片來自新浪微博）

在猜測是否有中國人參與幕後黑手團伙前，需要說明的是，專業科技網站Wired在多方搜集信息後發現，這次比特幣病毒並非只有中文版，還有韓文、日文……能以總共27種語言運行並勒索贖金，每一種語言也都相當流利，絕對不是簡單機器翻譯的結果。

「這表示比特幣病毒的幕後團隊，不僅準備良久、有備而來，而且極有可能正在蟄伏，等待採用升級版勒索程序進行第二波大範圍攻擊的時機到來！」Wired文章稱。

「情況會變糟糕，相當糟糕」

首先，大家稱之為「比特幣病毒」的勒索蠕蟲，英文大名叫做WannaCry，另外還有兩個比較常見的小名，分別是WanaCrypt0r和WCry。

根據Wired的解釋，它是今年三月底就已經出現過的一種勒索程序的最新變種，而追根溯源的話，該病毒是來自於微軟操作系統一個叫做「永恆之藍」（Eternal Blue）的漏洞——NSA（美國國家安全局）此前泄露的黑客滲透工具之一。

目前，勒索病毒並未中止，反而因變異體的出現呈愈演愈烈之勢。昨天下午，國家網路與信息安全信息通報中心發出就勒索病毒發布緊急通報。

通報稱，監測發現，在全球範圍內爆發的WannaCry勒索病毒出現了變種：WannaCry2.0，據了解變種後勒索病毒傳播速度可能會更快。

這樣肆虐全世界的病毒襲擊，已經很久沒有出現在人類世界的新聞當中了。假如這次事件明確指向NSA的滲透武器泄露事件，那麼此次大規模病毒肆虐恐怕很難被定義為孤立事件。

反而更有可能的是，此次事件與之前著名的黑客組織「影子經紀人（Shadow Brokers）」攻破NSA黑客武器庫，導致大量基於Windows系統漏洞的黑客工具流失事件有關。這次流散出的工具絕不僅僅是「永恆之藍」一種或一個類型。其中隱含的未知風險，也許比目前已知的更加驚人。

Wired作者認為，WannaCry很有可能「醉翁之意不在酒」。神秘的黑客組織「影子經紀人」很可能攻破了為NSA開發網路武器的美國黑客組織「方程式」的系統，並下載了他們的攻擊工具對外傳播，藉以證明NSA組織並實施了大量針對他國的非法黑客攻擊。

簡單來說，就是一個神秘高手為了揭開另一個「大內高手」的真面目，把他發明的武林至毒給偷出來並散布到了江湖上。然後，江湖上的阿貓阿狗得到了這份神秘武器，一場腥風血雨就此展開……

勒索軟體目標並非只有英國NHS。（網路圖）

影子經紀人：

以怒懟為樂趣，以搞事情為己任

這裡不妨簡單回顧一下這個神秘組織——影子經紀人。

2016年8月，該組織首次亮相在人類面前，宣布自己攻破了NSA的防火牆，並且公布了思科ASA系列防火牆，思科PIX防火牆的漏洞。

隨後他們還公開拍賣得到的黑客工具包，宣布如果收到超過100萬比特幣，就會釋放他們已經擁有的大量黑客工具。但顯然世界人民還是不太買黑客的面子，這次拍賣最終獲得了2比特幣的尷尬結果。

賺錢心情強烈的黑客組織，又在2016年10月開啟了眾籌活動，宣布當他們收到1萬比特幣後，將提供給每一位參與眾籌者黑客工具包。12月，眾籌活動又尷尬的失敗了。

雖然這個有點傻萌氣質的傲嬌黑客組織在賺錢的路上屢屢掉坑，但他們偷來的東西卻不斷被證明貨真價實。先是思科和Fortinet發出了安全警告，隨後著名的泄密者愛德華·斯諾登，以及NSA多名前僱員都證明了這份工具包的真實性。

有意思的是，影子經紀人還發布了證據，表明中國的大學和網路信息供應商是NSA入侵最頻繁的領域。

上海中山醫院電腦已被感染。（網路圖）

作為全世界僱傭最多計算機專家的單位，NSA的內部機密被真實網路黑客入侵絕對是首次。而造成的影響恐怕也比想像中嚴重很多。

今年4月，搞事情絕不嫌事大，並且永遠抓住NSA怒懟的影子經紀人再次出手。直接放出了這份長久沒有賣出去的工具包。隨後其中一個工具，就在今天的世界襲擊中被找到了身影。無論正邪善惡，這個團隊和被他們竊取了的NSA，恐怕都難以撇清責任。

不過，與「比特幣病毒」造成的民眾恐慌以及經濟損失相比，據新華社報道，歐盟刑警組織表示，背後的犯罪團伙並沒有從中攫取太多利益。事實上從曝光的數據看，只有極少數受害者支付了贖金，WannaCry病毒背後的黑客目前只收到8.2個比特幣，價值約為14000美元（約合人民幣9.7萬元）。

但中國的網路安全概念股，卻在今天（5月15日）紛紛漲停。

威脅遠未消失，解決方案是啥？

面臨目前仍存在的較大風險，網路安全專家建議，用戶要斷網開機，即先拔掉網線再開機，這樣基本可以避免被勒索軟體感染。開機後應儘快想辦法打上安全補丁，或安裝各家網路安全公司針對此事推出的防禦工具，才可以聯網。

國家互聯網應急中心博士、工程師韓志輝表示，目前，安全業界暫未能有效破除該勒索軟體的惡意加密行為。用戶主機一旦被勒索軟體滲透，只能通過專殺工具或重裝操作系統的方式來清除勒索軟體，但用戶重要數據文件不能完全恢復。

除了國家網路與信息安全信息通報中心的建議外，我們幫您整理了一份臨時解決方案，現在就手把手教你：如何設置電腦，防範勒索病毒。

臨時解決方案：

· 開啟系統防火牆

· 利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）

· 打開系統自動更新，並檢測更新進行安裝

· 360公司發布的「比特幣勒索病毒」免疫工具

下載地址：

http://dl.360safe.com/nsa/nsatool.exe

Win7、Win8、Win10的處理流程

1、打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

2、選擇啟動防火牆，並點擊確定

3、點擊高級設置

4、點擊入站規則，新建規則

5、選擇埠，下一步

6、特定本地埠，輸入445，下一步

7、選擇阻止連接，下一步

8、配置文件，全選，下一步

9、名稱，可以任意輸入，完成即可。

XP系統的處理流程

1、依次打開控制面板，安全中心，Windows防火牆，選擇啟用

2、點擊開始，運行，輸入cmd，確定執行下面三條命令

net stop rdr

net stop srv

net stop netbt

3、由於微軟已經不再為XP系統提供系統更新，建議用戶儘快升級到高版本系統。

敲詐者木馬正處於傳播期，被病毒感染上鎖的電腦還無法解鎖。建議儘快備份電腦中的重要文件資料到移動硬碟、U 盤，備份完後離線保存該磁碟，同時對於不明鏈接、文件和郵件要提高警惕，加強防範。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！