BAT專家詳解勒索病毒衝擊波：勒索物聯網時代的開端

　　5月13日，一場流行病式的電腦病毒在全球的網際網路世界中爆發，“疫情”已波及近百個國家。一旦感染該病毒，不到十秒，電腦裏所有文件全被加密無法打開，只有按彈窗提示交贖金才能解密。

　　這一造成全球性恐慌的電腦病毒被稱為“勒索病毒”，又被叫做“敲詐者木馬”。這次傳播的是一個名為“wannacry”的新家族，該木馬通過加密形式，鎖定用戶電腦裏的txt、doc、ppt、xls等尾碼名類型的文檔，導致用戶無法正常使用程式，從而進行勒索，要求用戶提交贖金之後才解鎖。

　　在5月15日工作日到來之際，大量局域網辦公電腦開機，或將再次出現病毒感染高峰。為此，澎湃新聞記者採訪百度、騰訊、阿裏公司的網際網路安全專家對勒索病毒的原理、傳播、防護進行了詳細解答。

　　病毒從何而來？

　　據外媒報道，病毒發行者利用了去年被盜的美國國家安全局（NSA）自主設計的Windows系統駭客工具Eternal Blue，將2017年2月的一款勒索病毒升級。被感染的Windows用戶必須在7天內交納比特幣作為贖金，否則電腦數據將被全部刪除且無法修復。勒索病毒要求用戶在被感染後的三天內交納相當於300美元的比特幣，三天后“贖金”將翻倍。英國NHS官方宣佈，襲擊該系統的勒索病毒叫做WannaCry（想哭嗎）或Wanna Decryptor（想解鎖嗎）。

　　騰訊安全部門向澎湃新聞表示， Wana系列敲詐者木馬的傳播渠道是利用了445端口傳播擴散的SMB漏洞MS17-101，微軟在17年3月發佈了該漏洞的補丁。2017年4月，駭客組織Shadow Brokers公佈的Equation Group（方程式組織），使用的“網路軍火庫”中包含了該漏洞的利用程式，而該勒索軟體的攻擊者或者攻擊組織，就是在借鑒了“網路軍火庫”後進行了這次全球大規模的攻擊，主要影響校園網，醫院等內網用戶。

　　傳播為何如此之快？

　　截至5月13日晚8點，我國共39730家機構被這一新型“蠕蟲”式勒索病毒感染。病毒傳播速度之快前所未有。

　　百度首席安全專家韋韜告訴澎湃新聞記者，勒索病毒已經發展很久了，與之前的不同之處是這次的病毒傳播模組採取了主動傳播方式，因此形成了全球範圍內的快速蔓延。

　　韋韜稱：“以前的勒索病毒主要通過郵件詐騙的方式，欺騙受害者人工點擊，需要人工介入。而這次的勒索病毒是利用了前段時間公開的微軟的一個遠端漏洞，可以通過遠端網路連接直接入侵機器。這次蠕蟲與勒索病毒結合在一起，所以形成了像流行病學式的快速爆炸。”

　　有何危害？

　　韋韜認為，主動傳播方式使得勒索病毒影響更大，因為病毒爆發集中，使得很多系統無法正常工作，但目前數據價值損失沒有表面上的那麼大。因為中病毒的機器主要是不重視安全的電腦。微軟在今年3月份已經發佈了安全補丁，真正重視安全的部門只要及時升級，就不會這次勒索蠕蟲的影響。而之前郵件傳播的勒索病毒即便做了很好的安全升級工作，使用者一旦不小心誤點了執行，也很有可能會中招。

　　韋韜還指出，從效果來看，目前病毒的傳播方比特幣錢包才收到了約17個左右的比特幣，相當於3萬美元左右。這表明目前願意交贖金的人並不多，也從側面説明瞭病毒侵入的資料價值並不高。不過還要等到週一看是否會有一波交贖金的高峰到來。

　　“橫向對比來看，大陸各省在這次傳染中的情況還好，對比臺灣好不少。” 韋韜表示，目前大陸受影響相對較小的重要原因在於，大陸的運營商在過去蠕蟲傳播的時代，就已經把這次病毒傳播的主要端口封禁了，所以這次運營商的網路沒有出現大規模爆發。

　　為什麼校園網用戶容易中招？

　　從中國的情況來看，在此次病毒傳播中，大量高校的校園網不幸“感染”。據報道，5月12日20時左右，國內部分高校學生反映電腦被病毒攻擊，文檔被加密。攻擊者稱需支付比特幣解鎖。目前受影響的有賀州學院、桂林電子科技大學、桂林航太工業學院、大連海事大學、山東大學等。

　　騰訊表示，由於之前爆發過多起利用445端口共用漏洞攻擊案例，運營商對個人用戶關閉了445端口。因校園網是獨立的，故無此設置，加上不及時更新補丁，所以在本次事件中導致大量校園網用戶中招。

　　阿裏雲安全專家分析，此次勒索事件在校園網傳播速度之快，影響面之大，主要原因是當前大部分學校基本是一個大的內網互通的局域網，不同的業務未劃分安全區域。例如：學生管理系統、教務系統等都可以通過任何一台連入的設備訪問，同時，實驗室、多媒體教室、機器IP分配多為公網IP，如果學校未做相關的許可權限制，所有機器直接暴露在外面。

　　物聯網設備也中招

　　“這次有一個非常有意思的現象，一些日常生活中用到的加油卡終端、ATM機等智慧設備也中毒了，無法提供服務。這反映出現在不僅是辦公電腦，這些智慧設備也處於非常嚴重的安全威脅之下。” 韋韜説道。

　　韋韜指出：“隨著智慧設備越來越普及、越來越深入生活的方方面面，這樣的威脅會變得非常恐怖。我最近看到了一個漫畫，畫中家裏所有的電器都在向你要錢。我認為這次事件正是這樣的勒索物聯網時代的一個開端。現實中的情況也是如此，目前國內外很多智慧設備在安全防護上的情況很不樂觀。”

　　如何防備？

　　綜合專家意見，防止中招最直接的辦法是及時打補丁修復漏洞。

　　騰訊方面表示，騰訊電腦管家可提供漏洞防禦，主動攔截多層安全保護，並會提示用戶打補丁，及時修復漏洞。 避免被勒索的方法包括：1，下載並打補丁，及時修復漏洞；2，關閉445等端口的網路訪問許可權；3，開啟騰訊電腦管家主動防禦系統。此外，如果用戶被鎖定和勒索，也建議不要向勒索者繳納贖金。

　　從個人防護的角度，韋韜建議，要加強社會整體的網際網路安全教育，比如安全補丁要及時升級、不明郵件不要隨便點擊、不法的網站不要去瀏覽。

　　“但從組織、社會、國家的角度去看，我們一方面要加強資訊安全普及教育，同時也必須要意識到很多人是不會去做升級這件事情的。因而企業、社會、國家必須做好整體性防護措施，及時切斷網際網路感染渠道，保護不懂安全的普通民眾免遭損失。” 韋韜説道。

　　延伸閱讀：勒索軟體攻擊應對：週一上班先拔網線再開機