2017年5月12日，一种名为WannaCry的勒索软件席卷全球，在短短三天时间中感染了至少150个国家的23，0000台电脑，受害者数量达到了20万人，并造成了上亿美元的损失（据估计最终损失金额有可能达到40亿美元）。不仅学校、政府机构还有大型企业，甚至个人都难以幸免。此次攻击的规模被欧洲刑警组织称为史无前例，是迄今为止造成后果最为严重的勒索软件攻击事件。那么，勒索软件究竟为何物？本次事件又有何特别之处？给了我们什么样的启示？本文将对以上问题做相应的介绍和解答。

        始末

        首先，让我们大致回顾一下勒索软件的发展史。勒索软件是电脑病毒中的一种，顾名思义，其以勒索受害者作为最终目的。这种病毒在感染主机以后，会加密电脑中的文件，只有拥有相对应的解密密钥才能解密，在勒索者发出密钥解密之前，任何人都无法恢复。之后便会要求受害者交出一笔不菲的赎金，用来换取密钥恢复文件。勒索软件攻击事件最初流行于俄罗斯，后来在国际上也逐渐流传开来。

        勒索软件

        首个知名的勒索软件AIDSTrojan诞生于1989年。其原理是将受害者电脑硬盘中的文件隐藏起来，并加密其文件名。同时向受害者发出信息，只有在支付了189美元的赎金后，被感染的文件文件才能被恢复。所幸病毒编写者在设计加密算法时犯下一个严重错误，以致于受害者实际上不需要支付一分钱即可恢复被感染的文件。有意思的是病毒作者在被捕后，因为精神错乱无法受审，而且他表示希望将所获得的勒索金全部捐献给艾滋病相关的研究。

        改进后的勒索软件出现在1996年。这次，两位病毒编写者改进了加密算法，使用了一种被称为RSA加密算法进行加密。RSA法是当今最为广泛使用的数据加密方法，其安全性由数学中的整数分解问题和RSA问题所保证。如果解密密钥未知，那么只能使用暴力分解RSA数的方法来破解相应的加密密钥。然而，实际用于商用级别的RSA数，其暴力分解是极其困难的。迄今为止，最大位数的RSA整数暴力破解记录，是分解长度为768比特长度的RSA数(RSA-768，232位十进制数），需要花费上百台计算机使用整整2年时间计算才能破解一个RSA-768密钥。这也是人类可以破解RSA密钥的极限。2008年出现的勒索软件首次使用了RSA-1024加密，这就意味着依靠现有的方法再也无法破解勒索软件的加密。

        首次采用比特币作为勒索金支付手段的加密勒索软件出现在2013年底--一种被称为CryptoLocker的病毒使用比特币现金交易平台收取赎金。这种方法在短短一个月内大获成功，感染了上百万台电脑，并对每台电脑收取27美元的勒索金。截至2015年，此病毒及变种的攻击目标已不限于个人电脑，网络服务器也会被一并攻击。

        勒索软件

        从上述的简史中，我们可以看出勒索软件并非新鲜事物，反而在互联网诞生的早期就已诞生，并在近年来逐渐成熟，有愈演愈烈之势。可能之前的病毒作者都深谙闷声发大财之道，在收取大笔赎金进口袋的同时并未声张。然而本次WannaCry事件中，发动者不但一改低调作风大肆宣扬，而且还利用了军用级别的漏洞和后门加速病毒传播，破坏性之大甚至惊动了各国政要。

        在本次事件中，该病毒要求受害者在文件被感染期间以比特币的形式交纳300美元的赎金。如果在三天内未收到赎金，金额会翻番到600美元；若一周内都未交赎金，该病毒会以“撕票”的方式删除所有加密过的文件和数据。根据全球著名安全公司赛门铁克统计，该病毒几乎可以感染任何文件类型，并采用了RSA-2048进行加密，因而，直至量子计算机实用之际，几乎不存在人类发明的实用方法，可解密被感染的文件。所以，几乎可以认为，唯一有效解密文件的方法，只有交赎金联系勒索者这一条路了。然而截至到现在，即便交纳了赎金，依然没有受害者曾得到解密密钥，也就是说即便交了钱，被感染加密的资料依然无法被恢复。

        为何WannaCry病毒具有如此强的破坏力？

        这还要从美国国家安全局(NSA)开发的漏洞利用工具永恒之蓝(EternalBlue）和后门DoublePulsar说起。

        2017年4月14日黑客团体影子经纪人泄露了一份NSA机密文档，其中包括23个黑客工具，本次病毒袭击利用的工具正好在内。永恒之蓝可以攻击Windows系统中SMB服务的一个漏洞，以便攻击者在远程向目标机器中植入任意可以执行的代码。成功入侵目标机器后，向该机器植入DoublePulsar后门，再通过该后门运行代码获得该机器的最高权限，从而完全控制系统。除此之外，勒索者还通过伪造邮件的方法来传播病毒，使用者点击不明邮件的附件后，机器便自动感染了病毒。

        实际上早在2017年3月14日，微软已经通过升级安全补丁的形式在高于WindowsVista（不包括Windows8)的操作系统中修复了该SMB协议中的漏洞，因此只要按时升级补丁，理论上就会在此次攻击中幸免。同时国内安全人员也及时发现该问题，并及时提供了警告和解决方案。

        可惜，因为本次攻击事件过于迅速，绝大部分单位和个人并没有及时作出反应，因而受到了极大的打击。

        国内网络安全人员近一个月前的告警

        由此，本次事件的大概脉络可见一斑：首先黑客放出军用级别的系统漏洞，然后被勒索者利用并进行传播。即便已有现成的预防措施，却因为人们天然的惰性而忽视，加上勒索者快速的行动，共同造就了此次史无前例的勒索软件攻击事件。

        影响

        此次勒索病毒攻击的影响是巨大的，在爆发的头48小时内，就席卷了全球150个国家，近20，0000台电脑被感染。此外，全球还有近130万台电脑未及时升级补丁弥补漏洞，因此病毒传播的规模还有进一步扩大的可能。援引卡巴斯基实验室的数据，受害最严重的四个国家和地区是俄罗斯，乌克兰，印度和台湾。而众多大公司和机构也难以在攻击中幸免，包括英国国家卫生系统(NHS)，德国联邦铁路公司，联邦快递，俄罗斯联邦内务部，雷诺，西班牙电信，中石油等大公司和政府部门都赫然在列。

        在这个名单中，最大的受害者无疑是英国国家卫生系统旗下的公立医院。在最初的攻击中，共有48家医院遭受重创。尽管在网络安全人员的努力下大部分被攻击的医院很快恢复正常工作，然而依然造成了大量手术的取消与病例的丢失。据报道，英国的公立医院中还有4.7%的终端，即数万台电脑运行WindowsXP操作系统，但是WindowsXP系统的安全服务已于2014年终止，导致无法在此次攻击事件发生前及时升级补丁（虽然这次事件微软破天荒地在服务期外提供了XP系统的补丁，但依然难以控制事态发展）。尽管事先已经得到警告，还是有很多医院，因资金窘迫无法采用最新的操作系统，并且网络安全防护工作也没有得到重视，从而遭受重创。被此次攻击事件所影响的工作，可能直至年底都难以恢复。

        其他欧洲地区也损失惨重。在俄罗斯联邦内务部中，近1，000台电脑被感染，同样遭受打击的还有俄罗斯国有银行、铁路和通讯公司等；在德国，铁路车站的电子告示牌亦遭受感染；在法国，雷诺公司的汽车制造厂的部分生产场地甚至因此停产。

        所幸的是，一位22岁的安全人员因为一个偶然的机会发现了决定WannaCry病毒是否启动的触发开关，从而不经意间暂缓了病毒的传播。

        原来，他发现该病毒感染一台机器后，会自动访问一个网址并等待回复，如果收到了回复，则终止攻击；否则攻击继续。因此他注册了这个网址的域名，此后，在所有可以访问该网址域名的电脑中，病毒的传播被及时终止了。此举拯救了上万台即将被感染电脑中资料的命运。可惜的是，那些因为种种原因，无法连接该域名的电脑就没那么幸运了，最终难以逃脱被感染的下场。

        自此，WannaCry病毒的传播似乎陷入了沉寂，尽管不断有新的变种病毒被发现，传播速度却大大减缓了。

        那么余下的问题似乎只剩一个了：究竟是谁发动了这次史无前例的勒索软件袭击？
从结果上分析。尽管来势汹汹，甚至勒索软件界面支持的语言版本都超过二十种，然而迄今为止，全球受害者支付勒索金的数量仅为238笔，共价值79584美元。这个结果和其他类似事件相比，简直不值一提。例如著名勒索软件CrytoLocker，一共索取多达300万美元勒索金；另一个例子中，勒索软件CryptoWall共索取超过1800万勒索金。而本次事件的造势凶猛，斩获却还不如之前事件的零头。

        之所以如此，很大一部分原因在于支付方式选择了比特币。

        首先，比特币有着天然的匿名性和去中心化的特点，因此没有人知道收款人的具体信息，然而同时收款人也没法知道付款人为何人，从这个角度讲，即便受害人支付了赎金，勒索者也无法知道具体感染的电脑是哪一台，从而交付相应的解密密钥解密文件。然而似乎WannaCry病毒的编写者并没有考虑如何解密被感染文件的问题，因此从目前的反馈看，还没有人在交付赎金后解除感染恢复数据。其次，比特币实在过于小众了，很多人即便想交纳赎金，都不知道去哪里买比特币。因此，以勒索为动机看待此次网络攻击，似乎有点过于单纯。

        实际上诸多线索皆指向了知名的有着疑似官方背景的朝鲜黑客团体--LazarusGroup。

        谷歌安全研究者首先发现了本次事件与发生于2014年的索尼黑客事件和2016年的孟加拉央行失窃事件有相似之处，而这两次事件的最大嫌疑人均为朝鲜黑客，这一推断得到了其他安全行业研究者的积极响应。本周一，著名安全软件商卡巴斯基和赛门铁克均表示WannaCry代码的早期版本和之前朝鲜黑客创造的后门程序很相似。

        从这个角度讲，在没有得到相应收益的情况下，依然能发动如此大规模的攻击，攻击者的动机似乎也可以解释的通了。当然现在下结论还尚早，距离最终的定论还有更多细节尚待核实。

        启示

        如果说此次事件的积极后果，恐怕就是给全球人民上了一堂生动的网络安全课程了。

        以前作为个人，总有侥幸心理，觉得自己个人的资料不重要，不值得黑客一窃。然而从本次事件看，基于军用级别后门打造的勒索软件，对缺乏有效防御的电脑有着无比的杀伤力。不管电脑使用者的社会地位如何，是否有钱，只要被感染了就勒索一通，毫无例外。后果当然是无数宝贵资料遭到永久性的丢失，无论受害者多么痛心，也只好当交学费买个教训了。

        由于国内盗版操作系统横行，很多封装的盗版系统镜像默认关闭了自带的系统补丁升级功能，更有甚者甚至主动植入后门和流氓软件牟利。因此如果使用的是盗版操作系统，那么安全两字就更无从谈起了。唯有使用正版操作系统并积极打好补丁，才是保护个人资料和钱财的基础。
其次，一定要养成及时备份重要数据的习惯。重要的资料必须采用多种媒介的方式定期备份，如移动硬盘、网络硬盘等。实际上著名的免费网络硬盘，如谷歌云端硬盘、苹果iCloud、Dropbox、坚果云等都有文件历史版本存档功能，即便资料被恶意替换加密，依然可以通过下载历史版本的方法恢复资料。因此，将重要文档保存在网络硬盘上，几乎可以保证绝对的安全。

        谷歌云端硬盘可以有效恢复历史版本

        当然，如果实在觉得自己的资料金贵，放在网上都不安全。那也只好用最传统的备份手段--刻数据光盘，来保存资料了。虽然麻烦了些，但除了自然的老化和刻意破坏光盘，似乎还真没有什么办法奈何得了上面的数据。

        所以说，对于最宝贵的资料，不要嫌麻烦了，老老实实刻盘保存吧！

来源：凤凰网  2017-05-18