誰是勒索病毒背後主謀？目標並不是300美元這麼簡單

比特幣勒索病毒席捲全球，你的電腦中招了嗎？想必大家都非常想知道這次網絡屆的“生化危機”什麼時候能夠結束，自己的文件怎麼樣才能恢復呢？這勒索病毒背後主謀又是誰呢？

隨着“永恆之藍”以驚人速度傳播，各種各樣的“搭車傳播”層出不窮，儘管我們尚不能鎖定其究竟誰是主謀，但只要循着“產業鏈即利益鏈”、“利益最大者即嫌疑最大者”的思路耐心跟蹤，真相大白的一天就不會太過遙遠。

勒索病毒

超級蠕蟲病毒、勒索軟件“永恆之藍”自5月12日開始發作，迄今已席捲150個以上的國家，造成逾20萬部電腦和局域網癱瘓，醫院、工廠和公共服務設施成爲“重災區”，正如一位IT資深業者所坦言，“我們還從未見過如此迅速傳播的惡意軟件”。

亡羊補牢從來都是這類惡性事件發作後人們最集中的念頭，但如今的情況卻是羊被偷了，偷羊的工具也找到了，誰偷的羊、工具從何而來，卻仍是一頭霧水。

勒索軟件背後產業鏈沒那麼簡單

爲弄清這一切，人們需要儘早梳理清楚此次勒索軟件背後的“產業鏈”。

表面上看，這條產業鏈是簡單明瞭的：肇事者自己用幾十種語言寫明瞭勒索標的(200比特幣)，給出了支付渠道，承諾“款到解鎖”，並威脅“不給錢後果自負”，這是經典的“綁票勒贖”，只不過作案地點從現實搬到虛擬空間，“肉票”從大活人變成了局域網或電腦。

黑客

但真這麼簡單嗎？

法國電腦雜誌《LeMagIT》副主編馬奇夫(Valéry Marchive)就一針見血地指出，如果肇事者真的指望“比特幣產業鏈”能讓自己大撈一筆，他的金融知識可謂完全不及格：儘管受害者多達20萬，但截至5月16日僅有200出頭的受害者乖乖付錢，佔比勉強達到1%，贖金總額更剛過6萬美元。而且隨着時間的推移，受害者(不論沃特迪士尼那樣的企業集團或小小的終端用戶)正迅速達成“不交贖金”的共識，因爲一來交了似乎也是白搭，二來事已經鬧大，接下來“也就好辦了”。有人譏諷稱，“如此綁票，連本都撈不回來”。

一些業內人士譏諷此次行動“很業餘”：攻擊時間選擇在效果最差的週五中午，而非效果最好的週一早上;設置統一的“取消開關”;比特幣看似不易跟蹤其實對政府級別的審查者而言並非不能追蹤到受益人……更重要的是，迄今並無一例“付了贖金便能解鎖”的實例，且事情一下被鬧大，網上綁匪即便想提供“售後服務”，恐怕也是太冒險了。

永恆之藍

嫌疑最大者依然撲朔迷離

問題在於，這條“明產業鏈”很可能不過是虛晃一槍。

隨着“永恆之藍”以驚人速度傳播，各種各樣的“搭車傳播”如雨後春筍，層出不窮：各路反病毒公司一面不斷提出一個又一個“疑似嫌犯”，來頭一個比一個大、一個比一個神祕，意在強調“矛利”，一面不斷明示暗示自己所賣的“盾堅”;電腦操作系統和網絡硬、軟件服務商則或指責“疑似責任人”，或影射“無能的同行”，或強調自己產品的安全可靠——即便已被“永恆之藍”證明不那麼安全可靠，也忘不了提醒一聲“我們可是早就出了補丁的，你們不打不關我事”;甚至，那些有名或不那麼有名的黑客組織也趁機“炫耀武力”，揚言“下次我們會幹得更嚇人”。

“賣矛的”(黑客)、“賣盾的”(反病毒公司)、“賣武士的”(軟硬件和操作系統服務商)的做法看似混亂，實則個個有跡可循：誇大“敵情”，強調自己是唯一可靠的禦敵、退敵出路。很顯然，不論是哪一類商品或“服務”熱銷，其最終所得都將是驚人的大手筆。與之相比，賬面上人人看得見的那幾萬美元，幾可忽略不計。

我們必須相信一點，能製作並散佈如此規模和級別勒索軟件的“黑手”，絕不會愚蠢到買櫝還珠或金炮彈打跳蚤的地步，他們所謀求的回報，必定遠遠超出其可觀的付出。

比特幣勒索病毒

儘管到目前爲止，我們尚不能從有限的線索中圈出“真產業鏈”中真正的受益者(也就是事件的主謀)，尚不能鎖定其究竟是上述“三賣”中的哪一“賣”，但只要循着“產業鏈即利益鏈”、“利益最大者即嫌疑最大者”的思路耐心跟蹤，真相大白的一天就不會太過遙遠。

你需要知道的8個問題

面對這突如其來的病毒攻擊，作爲普遍網民的我們該怎麼處置，保護個人財產安全？某實驗室就此整理了八大問題，分析了這個蠕蟲的前世今生，並提出了幾項有效的應對措施。

問題一：已經感染病毒的如何降低影響？

如果你的電腦被勒索病毒感染，或者你的朋友中招，向你求助，那我們該怎麼處理將影響降到最低呢？

首先，這是一款勒索蠕蟲，蠕蟲病毒的特點是會通過網絡進行自動複製和傳播，就像電影《釜山行》中，被殭屍噬咬過的人也會變成殭屍去傳染給更多的人。

如何降低影響

所以第一步需要做的就是斷開網絡，防止自己的電腦去感染更多的電腦。

其次，建議中招用戶將硬盤進行格式化處理，徹底消除硬盤上蠕蟲病毒，就像一次徹底的細胞切除手術。

然後，再重新安裝系統，並安裝相應的系統補丁。

最後，還需要安裝殺毒軟件，並把殺毒軟件的病毒庫更新到最新版本。

目前，許多人最常犯的錯誤就是心存僥倖，將受到感染的電腦繼續連接到網絡裏，做各種嘗試操作，亦或是認爲支付贖金可以解密。其實該勒索蠕蟲會對電腦中的文檔進行RSA加密。這種加密方式的特點是，只要加密密鑰足夠長，普通電腦需要數十萬年才能夠破解，等於說個人幾乎是不可能破解的。所以一旦電腦中毒，基本沒有挽回餘地。

問題二：未中毒者如何排除風險？

如果你是幸運兒，並未在此次攻擊中受影響，那麼也請別做一個普通的吃瓜羣衆，只要你使用的是Windows系統，很久不曾更新補丁，就仍有很大的中毒風險。建議通過“三步法”提前排除這個風險：

第一步：關網絡。該勒索蠕蟲需要通過網絡傳播，關閉網絡也就切斷了病毒的傳播途徑。針對普通的臺式機，最直接的方式就是拔掉網線;如果家裏使用的是筆記本電腦，可以關閉本機的無線網卡;家中如果使用了無線路由器的，也可以關閉無線路由器;最後，還可以通過在已開機的PC中禁用網絡的方法進行關閉。個人可以根據自己的實際情況，選擇對應的方式來進行斷網操作。

中毒表現

第二步：關端口。該勒索蠕蟲是通過掃描電腦上的TCP 445端口(Server MessageBlock/SMB)進行攻擊的，所以關閉445端口也就關閉了勒索蠕蟲的攻擊大門。該動作分爲以下幾步：

a. 打開控制面板-系統與安全-Windows防火牆，點擊左側啓動或關閉Windows防火牆

b. 選擇啓動防火牆，並點擊確定

c. 點擊高級設置

d. 點擊入站規則，新建規則，以445端口爲例

e. 選擇端口、下一步

f. 選擇特定本地端口，輸入445，下一步

g. 選擇阻止連接，下一步

h. 配置文件，全選，下一步

i. 名稱，可以任意輸入，完成即可

啓動防火牆

第三步：打補丁。前兩步屬於指標不治本的方式，只是臨時阻止了勒索蠕蟲的攻擊，如果要治本還需要及時利用官方的系統補丁堵上系統漏洞。早在今年3月份，微軟就提供了該漏洞的補丁，建議用戶開啓系統自動更新，並檢測更新進行安裝。如果自動更新失敗，也可以手動從微軟的官方網站下載補丁進行安裝。補丁下載地址爲： 。

問題三：手機會不會中毒？

保證了電腦萬無一失，那麼我們使用頻率更高的手機會不會面臨風險呢？

手機不會受該勒索蠕蟲影響。該勒索蠕蟲利用的是Windows系統漏洞，受影響的系統是從Windows 2000到Windows10，以及Windows Server 2000到Windows Server 2016的各個版本。而目前手機的操作系統則是iOS、Android、Winphone等，並不屬於Windows，所以不受該勒索蠕蟲的影響。

問題四：爲什麼此次勒索病毒傳播如此迅速？

要了解這個原因，我們還得從勒索蠕蟲的原理說起。

攻擊模式

首先，WannaCry蠕蟲利用的漏洞非常普遍，絕大部分的個人PC機仍然使用微軟的Windows操作系統，而Windows系統默認打開了445端口，並且大量的Windows用戶沒有定期更新補丁的習慣，這給蠕蟲的傳播提供了大量宿主。其次，傳統的勒索軟件需要靠“騙”，也就是說需要哄騙受害者主動點擊某個附件、某個網址等等。而此次蠕蟲病毒可以進行自我傳播和自動複製，也就是可以進行主動的探測和傳播。這個從“被動”到“主動”的轉化，造成了傳播速度上質的差異。

其次，WannaCry勒索病毒傳播利用了一個特殊的漏洞工具，叫“永恆之藍”，聽起來像是某顆名貴鑽石的名字。這個漏洞工具來源於美國國家安全局(NSA)的網絡武器庫。今年4月14日，一個名爲“影子中間人”的黑客組織曾經進入美國國家安全局網絡，曝光了該局一批檔案文件，同時公開了該局旗下的“方程式黑客組織”使用的部分網絡武器。據報道，這批網絡武器中就包括可以遠程攻破全球約70% 視窗系統(Windows)機器的漏洞利用工具(即“永恆之藍”)。經緊急驗證這些工具真實有效。當時，該事件引起了安全圈子的轟動。儘管微軟早就對該漏洞發佈了補丁，但是並未給企業和機構敲響警鐘，大量的企業和組織並沒有安裝補丁。

“永恆之藍”工具被公佈後，立刻受到追捧，因爲它能夠搭載任意病毒進行全網蠕蟲化自動傳播，其中最厲害的就是這次的WannaCry病毒。

中毒表現

問題五：WannaCry病毒勒索爲何只要比特幣？

事實上，勒索病毒本身與比特幣並無直接關係，而黑客之所以要求以比特幣進行贖金支付，恰恰是看中了比特幣在支付轉賬時的全球化、去中心化和匿名性等“優勢”。

首先，比特幣有一定的匿名性，便於黑客隱藏身份;其次它不受地域限制，可以全球範圍收款、轉賬;再次比特幣還有“去中心化”的特點，可以讓黑客通過程序自動處理受害者贖金。

衆所周知，正常的跨國匯款需要經過層層外匯管制機構審查，交易記錄會被包括銀行在內的多方記錄在案，甚至交易超過一定額度後，爲防止洗錢等違規行爲，還需向有關部門上報。但如果用比特幣交易就簡單多了，只要輸入數字地址，點幾下鼠標，等待確認交易後，就可以完成交易(目前國內已經暫停提幣)。

同時，相比於其他數字貨幣，比特幣目前佔有最大的市場份額，具有最好的流動性。近期比特幣價格大幅上漲，也是其被黑客看中的原因。

問題六：爲什麼學校、醫院、政府等公共機構是重災區？

學校成重災區

對於這個問題，或許一般的用戶也都有這樣的直觀感覺：學校、醫院等公共機構中的電腦設備使用的系統往往是最落後的，甚至速度也是最慢的，加上缺乏專業技術人才，安全意識較低。這類機構的電腦不能做到及時更新補丁，成爲被攻擊的首要原因。

其次，當前大部分學校基本是一個大的內網互通的局域網，不同的業務未劃分安全區域。例如：學生管理系統、教務系統等都可以通過任何一臺連入的設備訪問。同時，實驗室、多媒體教室、機器IP分配多爲公網IP，如果學校未做相關的權限限制，所有機器直接暴露在外面。各大高校通常接入的網絡是爲教育、科研和國際學術交流服務的教育科研網，此骨幹網出於學術目的，大多沒有對445端口做防範處理，這是導致這次高校成爲重災區的原因之一。

問題七：病毒得到遏制了麼？會不會出現新的變種？

從目前的數據分析，該勒索蠕蟲已經得到了遏制，新增的受感染系統正在下降。同時，有國外網絡安全公司捕獲到該病毒的2.0版本，所以不排除新一輪攻擊的擴大。“就像地震往往會有餘震一樣，我們需要警惕病毒的各種變種”，不過我們只要做好防禦準備，打了最新的系統補丁就不用擔心。

文件被鎖

問題八：我們從這次勒索病毒事件中學到了什麼？

安全意識薄弱是很多人中招的最重要原因，這次事件之後，強烈建議網絡用戶至少做好以下四項預防工作：

1、重要文件一定要隨時備份，可以通過網盤、u盤等介質進行備份。如果是企業，也可以搭建集中的文件服務器進行文件的集中管理和備份。

2、系統一定保持最高安全等級，及時升級到最新版本，建議打開自動更新功能。同時，系統需要安裝殺毒軟件，更新病毒庫。

3、不要輕易打開陌生文件，尤其是陌生郵件和IM通信軟件中的文件。

4、安裝正版操作系統、Office軟件，儘量不用來歷不明的盜版軟件。

反思：我們爲什麼不養成備份的習慣

從上週五開始，一款名爲"WannaCry"的勒索病毒正在全球範圍內肆虐。

"WannaCry"攻擊了全球超過150個國家和地區的網絡，包括美國、中國以及整個歐洲在內的多個高校內網、大型企業內網和政府機構專網"被襲"，一度造成諸多業務和服務癱瘓。

而遭受感染的電腦之後，電腦裏的所有數據都會被加密，用戶完全打不開，接着屏幕會彈出消息框，要求受害人在三天內支付300美元同等價值的比特幣贖金，超時翻倍。因此，這款勒索病毒別名也叫‘比特幣病毒’。

WannaCry具備了一款超級病毒應有的特點：神祕、快速以及嚴重的破壞。

比特幣勒索

而全球範圍內的安全專家也在“加班加點“。

微軟第一時間已經發布了相關的補丁 MS17-010 用以修復被 “ Eternal Blue” 攻擊的系統漏洞。因爲這次中招的用戶幾乎都是Windows用戶，其它操作系統如 mac OS、Android、iOS 均未中招。

騰訊電腦管家等國內安全團隊也推出了開機解決方案和免疫修復工具。

同時，也有不少安全專家建議用戶，關閉Windows 的 135、139、445 端口。因爲這些端口默認狀態下是開放的，而WannaCry 正是通過 445 端口來進行大規模傳播。

但隨着WannaCry變種的預警出現，可以預見，短期內安全專家們與病毒作者間的貓鼠遊戲還將持續一段時間。

還有什麼能夠做的？

有一件事似乎被大多數人都忽視了，那就是“備份“。

在國內至少有90%以上的網民，幾乎沒有備份意識——畢竟我們已經過了太久太“舒服“的日子。

WannaCry變種攔截

“網民幾乎已經忘了電腦病毒這個東西，以爲自熊貓燒香後，病毒已經不見了。其實，不是病毒不見了，而網民看不見而已。病毒一直都在，龐大的黑色產業鏈越來越專業，隱藏越來越深，也基本上不破壞系統，目標只是賺錢。”——安全專家李鐵軍表示。

而正是這種“不備份“的習慣，讓Wannacry打了個我們措手不及。試想，如果所有網民都有良好的備份習慣，始作俑者向誰去“勒索“？

所以從某種程度上說，這個“不愛備份“的壞習慣所帶來的風險和危害甚至超過了這次的“比特幣病毒”Wannacry。

因爲即使沒有病毒入侵，你也可能遭遇硬盤損壞、電腦丟失等種種其他想不到的情況，而因爲你不愛備份，那些你所珍藏或重視的東西，也將付之一炬。

那麼，我們應該如何正確的備份，以至於將事情的危害降至最低呢？

有三條建議供你參考：

1、重要資料一定備份

2、按文件種類和用途區分備份

3、少用和慎用U盤和移動硬盤備份，多用和勤用雲端備份

什麼是重要資料？

重要文件

從博主的理解上來看，一個是跟你的經濟利益掛鉤的，還有一個是跟你的情感利益掛鉤的。比如跟經濟利益相關的，你的所有的工作資料、你的簡歷、你的賬單、你的健康報告等所有涉及到你切身利益的東西且重要的，都應該備份。而一些你自己拍攝的照片、視頻、音頻，甚至包括你愛的音樂、電影等內容，可以稱爲和情感利益掛鉤的文件，這些內容是你的美好記憶和感受，值得永久珍藏的。

按文件種類和用途區分備份

就博主的經驗來看，針對不同的文件選擇不同的雲存儲產品： Office、PDF等小容量且操作頻繁的文檔存在雲筆記，比如有道雲筆記;照片、視頻、電影、音樂等大容量存網盤。

和我經濟利益相關的內容，絕大部分都是一些辦公文檔以及個人重要信息，比如說簡歷，方法很簡單，而且可以根據自己的需求利用多級目錄分類，如下：

多用雲端備份 慎用U盤和移動硬盤

U盤

爲什麼建議用網盤備份資料，而不建議用U盤和移動硬盤？有三點原因：

第一，不方便。實在是太不方便了，移動互聯網如此發達的今天，U盤幾乎淡出了人們的視野，移動硬盤因爲容量足夠大還有用武之地，但也被網盤動輒5T的儲存容量給擠壓的空間無幾了。原因就是，U盤和移動硬盤，無法滿足現代人隨需隨取的要求。

第二，U盤和移動硬盤容易丟失或者損壞也是一大問題。比如說博主，已經不知道丟了多少個U盤了，隨之而去的是U盤裏面那些重要而又珍貴的文件。

第三，U盤和移動硬盤本身就是一個巨大的移動“毒庫“。你還記得上學時候你的電腦多少次被別人的U盤染上病毒的麼？還記得因此重裝過多少次電腦？因此換過多少次硬盤？而在此次的“比特幣勒索病毒“風波里，北京市委網信辦、北京市公安局、北京市經信委聯合發出的通知有一條就明確指出，“嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備。“

"WannaCry"的肆虐還在繼續，已經有"中招"用戶開始"投降"，向黑客支付比特幣以解鎖中毒的加密文件。但值得慶幸的是這隻佔極少數，其背後的犯罪團伙並沒有從中攫取太多利益——這看上去結果並沒有那麼壞。

黑客

但痛定思痛，如果每個人都更加強防範意識：

該打的補丁要及時打、不該點開的文件不要點、最重要的是，該備份的東西，一定要及時備份!

或許下次黑客再來襲的時候，我們就不會如此慌亂。

關於勒索病毒背後主謀的消息還沒有一個確定的結論，不過此次勒索病毒的大範圍傳播的一個大原因是因爲大家沒有一個好的網絡習慣吧。電腦系統升級不夠及時，文件不能夠及時備份，網絡上的不明病毒鏈接橫行，這些原因都導致了勒索病毒的恐慌。距瞭解，近期勒索病毒就會被停止傳播，大家現在只要耐心等待~