比特币病毒：中文10级的勒索没那么简单

朋友们应该听说过英国 NHS 系统的勒索软件袭击事件。 然而，勒索软件的范围远比当时所能想象的要大得多。

没几个小时，世界地图就被“点亮”成这样▼

据BBC新闻网最新消息，这种在中国被称为“比特币病毒”的恶意软件已经攻陷了99个国家，大型机构和组织是头号目标。

紧接着英国NHS中招，位于桑德兰的日产汽车厂也宣告“沦陷”。 在西班牙比特币病毒图片，除了最先被黑的通讯巨头Telefonica外，能源公司Iberdrola和天然气公司Gas Natural也未能幸免。 德国只是为了在火车站“向公众展示”......

据多家外媒报道，俄罗斯是受影响最严重的国家。 被黑的组织从银行到政府卫生部门，从国有铁路公司到移动通信公司，应有尽有……

俄罗斯最具影响力的网络新闻媒体《今日俄罗斯》的报道。 （图自RT）

在中国，“重灾区”是各大高校。 许多小伙伴在写论文的时候被要求支付300美元等值的比特币。 快到年底了，也是毕业的高峰期。 你不看看时间，努力吗？ ！

而且黑客是有备而来，勒索信息的中文很接地气，什么“就算有上帝在”“我用我的人格保证”“这要看你的运气”……就算不是中文母语的人写的，也一定是过中文十级的老外写的▼

（图片来自新浪微博）

果然，微博上已经有不少小伙伴表示“慎思畏惧”▼

（图片截取自新浪微博）

大家都在猜测是否有华人参与幕后黑手，但实际上，这次比特币病毒的“多语种”现象不仅有中文版，还有韩文和日文……

早在昨日刚刚爆发时，专业科技网站Wired的知情人就撰文解释了这一现象：这意味着比特币病毒背后的团队不仅早有准备，有备而来，而且是也很可能处于休眠状态并等待收养。 升级版勒索病毒第二波大规模攻击时机已到！

“情况会变得更糟，非常糟糕”

首先，被称为“比特币病毒”的勒索病毒英文名为WannaCry，还有两个比较常见的昵称，分别是WanaCrypt0r和WCry。

根据科技网站Wired的解释，它是今年3月底出现的勒索软件程序的最新变种，其根源是微软操作系统中一个名为“永恒之蓝”的漏洞。 美国国家安全局（NSA）曾以此为基础研制出网络武器，但在上个月微软发布新补丁时才被“放弃”。

3月底的勒索病毒名为WannaCry，所以如果你在外媒看到WannaCry 2.0或WanaCrypt0r 2.0，就是指这次爆发的勒索病毒。

（图片来自连线）

下面这些大家应该都明白了：微软3月份发布的补丁号是MS17-010。 结果很多大公司和一些个人用户没有及时安装，不知如何获取和改造。 NSA 的网络武器 WannaCry 可能会被利用。 真的“想哭”（想哭）……

特雷莎·梅昨天在即兴采访中不断强调，此次勒索病毒的目标不仅是英国NHS，而是遍布全球。 我总觉得有一种奇怪的是“人们不仅仅针对英国的医疗系统”。 如果有人像我一样坏，请不要担心”的潜台词。虽然最后证明确实是整个世界都在受苦，但WannaCry最先从英国NHS爆发真的只是巧合吗？

当然不是！

根据《连线》作者根据行业经验并联系技术专家给出的解释，对于任何一款勒索软件，医院都是最有可能被攻击的“肥肉”：医护人员很可能遇到突发事件，需要使用电脑来应对。系统获取信息（如病历、过敏史等）完成急救任务。 这时候，最有可能被迫支付“赎金”。

医疗保健信息与管理系统协会隐私与安全主管 Lee Kim 也解释说，由于巨大的信息储备和隐私问题，“在医疗和其他一些行业，我们确实会不太及时地处理这些（系统）漏洞。” . 这也是为什么技术界普遍认为WannaCry背后主谋的时机非常巧妙。 毕竟微软更新MS17-010补丁还不到两个月。

（图片来自卫报）

从开发和发布WannaCry的人的角度来考虑这个问题，他们其实并不关心他们要针对哪个行业，因为他们的逻辑是，任何赚钱的领域都是“肥肉”，他们必须发财。 所以他们真的不用找英国NHS的麻烦，这只是一个很好的开始。

个人电脑用户被攻击的比例远低于企业和大型机构。 这不仅是因为给个人电脑打补丁更容易、更快捷，还因为这种攻击不仅效率低下，而且获利的可能性更小。 WannaCry的运行机制基本上是为局域网内的大规模攻击而设计的。

从这个角度来看，世界上其他上述被攻击的大公司和组织，无论是交通、制造、通信行业，还是中国比较惨烈的学校，确实是需要从数据库中检索信息的典型领域及时。 难怪微博上有小伙伴这样评论▼

（图片截取自新浪微博）

至于勒索信息的语言，连​​线网在搜集各方信息后发现，WannaCry实际上可以运行和勒索的语言共计27种语言，而且每种语言都相当流畅，这绝对不是简单的机器翻译的结果. 截至发稿，WannaCry病毒的来源尚未得到证实。

Wired 的作者认为比特币病毒图片，与其说 WannaCry 是某种个体“黑客”的幕后黑手，不如说它是一个从多个国家招募人员的大团伙，而且极有可能是“醉汉”并不意味着喝酒。” 毕竟，想要简单获利的人，没有理由制定如此周全的全球敲诈计划。

WannaCry 在隐藏其操作者的真实身份方面做得很好。 不仅仅是语言系统的问题，使用比特币索要赎金的原理其实是一样的：防止在实币转账后通过汇款账户“跟风”的可能性。

（图片来自Avast博客）

综上所述，此次勒索病毒的作案手法，似乎并没有什么“好就收”的意思。

难怪《连线》文章的作者得出结论，WannaCry 的开发人员已经制定了一个广泛的长期计划：“情况会在好转之前变得更糟——非常糟糕。” （在好转之前，情况会变得更糟——更糟。）

22岁英国小哥拯救世界？

不管Wire的作者怎么分析，也只是从目前可见的行为来看，WannaCry已经侵犯了全世界。 这篇文章还没有来得及引起广泛关注，一名22岁的英国程序员似乎已经“误打误撞”阻止了WannaCry的进一步传播。

这部分故事被英国媒体和其他一些公众号炒得沸沸扬扬。 看过的朋友可以直接跳到下一个小标题，不过我先声明一下：事情并没有那么简单。

英国《独立报》和《英国电讯报》等媒体对这位小哥“拯救世界”的行为进行了专题报道。 （图片截自独立报）

小哥在社交网络上的昵称是MalwareTech（中文意思大概是“恶意软件技术”，听起来更像黑客）。 在阻止WannaCry在全球范围内进一步肆虐后，他在自己的博客上写下了整个过程，就连英国情报机构GCHQ也在其官网上转载了这篇博文。

MalwareTech 本来应该去度假的，但他反应很快，找到了 WannaCry 软件的样本。 在读取代码时，他发现了一个尚未注册的域名。 下面这段代码的意思是WannaCry在黑点电脑前运行时会先尝试访问该域名。 访问失败则系统被黑，成功则自动退出。

于是 MalwareTech 注册了这个域名。

（推特原图）

随后，在一些中国媒体的报道中，小弟此举被强调为“心血来潮”或“下意识”之举。 正是因为注册了无效域名，被WannaCry感染的计算机后来在访问该域名时得到了正的返回值，所以才没有锁定信息，开始敲诈勒索。

但 MalwareTech 自己的解释并非如此。 注册域名是他作为一名网络安全工作者的“标准做法”，他在博客中写道。 在过去的一年里，他会把短时间内访问量激增的无效域名全部注册并扔进上图所说的“sinkhole”，这个“sinkhole”的作用就是“Catch Malicious Traffic” ”。

WannaCry 样本中的域名在昨天全球攻击开始后立即出现访问量激增，但之前没有访问迹象。 （图片来自MalwareTech个人博客）

然而，MalwareTech 的专业敏感性让他考虑 WannaCry 是否定期或在特殊情况下修改程序中的无效域，因为如果是这样，简单地注册他发现的域并不能阻止未来的攻击。

即使软件中没有这部分，开发者仍然可以手动更新WannaCry并再次传播，他们只需更换一个新的无效域名即可。

还有一种更糟糕的情况：如果WannaCry程序中还有一层自我保护机制，那么无效域名的注册很可能会导致当前所有被感染的计算机自动加密所有信息，不可逆。

（图片来自BBC新闻）

为了排除后一种情况，MalwareTech干脆修改了他的一台电脑的host文件，使其无法连接到之前注册的无效域名。

电脑成功蓝屏。

MalwareTech 写道：“你可能无法想象一个成年人会因为他的计算机被勒索软件瘫痪而兴奋地跳来跳去。但我做到了。” 测试结果表明，他的“标准做法”确实阻止了 WannaCry 的进一步传播。

小哥亲口警告：“这件事没完没了”

与一些信息平台大肆炒作MalwareTech“拯救世界”不同，英国《卫报》和《英国电讯报》都在头条明确告诉大家，小哥自己已经警告过：“这件事还没完呢！”▼

（图片取自《卫报》&《英国电讯报》）

根据MalwareTech的解释，注册域名后阻止WannaCry的传播在他看来只是病毒制作者不成熟的自我保护机制。 对方的真实意图并不是通过域名是否可以连接来“指挥”病毒的运行，而是通过这种方式来判断病毒是否已经被计算机安全专家抓到。

一旦WannaCry发现域名响应，真正的响应并不是“善意”地停止攻击，而是避免被扔进“沙盒”（sandbox）安全机制被他人充分分析，干脆退出计算机系统收到域名响应。

也就是说，虽然MalwareTech功不可没，只是阻止了当前“比特币病毒”样本的传播，但开发者也意识到了这一弱点，随时可能以升级版勒索程序卷土重来。

（图片来自BBC新闻）

这又回到了上一篇《连线》文章作者所表达的推论：WannaCry 病毒的开发者绝对不是发了财，他们很可能正在策划新一波的攻击。

其实说了这么多，最终的目的是提醒大家，虽然WannaCry的进一步蔓延看似得到了控制，但现在确实不能掉以轻心！ ！ ！

还没有安装微软补丁的小伙伴们，是时候动动手指把本尊请回来了，把下面的链接复制粘贴到地址栏▼

（图取自微软官网）

Wired 还建议，由于 MS17-010 是服务器级别的补丁，企业或组织级别的用户最好请其系统管理员安装。

个人用户注意：

信息安全手段真的太多了。 始终有必要尽可能地保护您的计算机和文件。 毕竟就算WannaCry不卷土重来，以后也难免会出现其他病毒。

希望这场高科技灾难尽快结束。

（英圈综合编辑，编辑：Moo，内容参考连线、独立报、BBC新闻、电讯报等，除标注外图片均来自网络，转载请注明。）

－－－－－－－－－－－－－－－－