圖解回顧讓全球“想哭”的電腦病毒：攻擊漸緩，仍有變種風險

　　歐洲刑警組織（Europol）在上週日稱，席捲全球的勒索病毒“想哭” ( WannaCry ) 在5月12日的第一輪攻擊中已感染了150個國家的近20萬台電腦。安全軟體公司愛維士 ( Avast ) 在部落格中指出，在首次襲擊中，駭客的主要目標是俄羅斯、烏克蘭和中國臺灣。據360威脅情報中心統計，中國大陸有超過29000多個IP被感染。據報道，多地公安系統、學校、醫院以及中石油旗下的2萬座加油站都中招。

　　一、病毒是怎麼蔓延開來的？

　　據《金融時報》報道，首輪襲擊大約在倫敦時間5月12日的8點24分。一位歐洲用戶無意中打開了郵件附件中的病毒壓縮文件，導致病毒開始大肆傳播。《紐約時報》根據部落格MalwareTech 提供的數據，將首日病毒爆發的過程做成了動態地圖。從監測數據來看，勒索病毒在全球迅速蔓延，歐洲成為第一輪襲擊的重災區。不少大型企業和機構也未能倖免于難，其中包括西班牙電信公司 ( Telefónica )、英國境內的61家醫療企業、法國汽車製造商雷諾 ( Renault )、德國聯邦鐵路公司 ( BAHN )、俄羅斯第二大移動運營商 MegaFon以及俄羅斯聯邦儲蓄銀行 ( Sberbank ) 。

　　病毒擴散5小時地圖：從美國東部時間5月12日上午11點至下午4時許，WannaCry病毒攻擊的電腦已遍佈世界各個大洲。（其中有部分在下午2點至3點的數據未被記錄）圖片來源：紐約時報

　　二、目前病毒被控制住了嗎？

　　首輪襲擊開始的5月12日正值許多國家的星期五——當周的最後一個工作日，多家媒體和機構認為病毒襲擊可能會在週末結束、人們重返工作時變得更加不可遏制。但從監測數據來看，截至5月16日（週二），相較週日的感染情況，又有約10萬台電腦受到感染，但病毒襲擊的速度已經開始放緩。然而，根據5月17日路透社的報道，勒索病毒的幕後駭客組織“影子經紀人”（Shadowbrokers）宣稱，將釋放出更多的惡意病毒，並將採用出售惡意代碼和數據的方式來替代勒索，形成“商業模式”。

　　值得一提的是，WannaCry病毒首輪攻擊的原本威力有可能更強，來自 Kryptos Logic （網路安全公司）的IT工程師 Marcus Hutchins通過控制關鍵域名，有效地限制了病毒的進一步傳播。在分析病毒代碼後，他發現在部分病毒代碼的開頭有一個特殊的域名地址：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。該域名在5月12日上午8點病毒開始攻擊時，訪問數量激增。

　　圖片來源：MalwareTech

　　他還發現病毒存在一個 kill-switch 的開關。在攻擊前，病毒會依據這一長串的域名來查看自身是否處於防病毒環境。在域名被註冊後，查看防病毒環境的這一步會終止，所有的病毒會以為自己處於防病毒系統，就退出了攻擊。這個發現在一定程度上限制了病毒的傳播。

　　根據5月14日卡巴斯基的監測報告顯示，在新一輪的病毒攻擊中發現了兩個新的變種，其中一種取消了 kill-switch 開關，但由於代碼的編寫缺陷，取消開關的 WannaCry 病毒暫時未引起大規模的攻擊事件。

　　三、駭客收到了多少贖金？

　　WannaCry 病毒“綁架”的是用戶數據。遭受病毒襲擊的用戶如想恢複數據，需要向駭客的比特幣賬戶交付價值300美元的比特幣，否則文件將被永久刪除。澎湃新聞 ( www.thepaper.cn ) 在比特幣平臺 BlockChain 中查詢了美國媒體 Quartz 公佈的3個主要的駭客比特幣賬戶（用於勒索的賬戶總數還不得而知）。截至5月15日，這3個賬戶共收到188筆轉賬，至少獲得了28.48個比特幣，按照當日市價估算，獲利約49614美金。

　　美國國土安全部的電腦緊急應對小組稱，並不支援遭受襲擊的用戶向駭客支付贖金，因為這還有可能會洩露自己銀行資訊。360安全技術負責人鄭文彬在接受36氪採訪時表示，從病毒規模來看，現在交付贖金的人並不是很多，且支付贖金並不能百分之百確保恢復文件。雖然已有國外研究機構驗證，交付贖金後確實可解密文件。

　　四、這類襲擊以後會越來越普遍嗎？

　　網路安全公司賽門鐵克 ( Symantec ) 在《2017年網路安全威脅報告》中指出，勒索病毒襲擊在近年來有愈演愈烈之勢。從賽門鐵克的監測數據來看，2016年勒索病毒攻擊事件較前年增長了36%，從34萬起上升到46.3萬起。美國是遭受勒索軟體襲擊最多的國家，佔到了34%；緊隨其後的是日本和義大利，分別佔到9%和7%。

　　五、駭客從哪入侵了電腦？

　　卡巴斯基安全實驗室發佈的報告稱，此次駭客使用的網路攻擊工具是“永恒之藍” ( Eternal Blue )，來源於美國國家安全局 ( NSA ) 的網路武器庫。WannaCry 掃描開放的445文件共用端口，無需任何操作，只要用戶開機上網，“永恒之藍”就能在電腦裏執行任意代碼，植入勒索病毒等惡意程式。

　　通過445端口，用戶可以在局域網中輕鬆訪問各種共用文件或使用共用列印機。然而，這個在“業內”毀譽參半的端口，本身也是駭客攻擊的主要目標之一。根據 statistic 的數據顯示，2014年第四季度的全球網路襲擊中，對於445端口的襲擊佔到了15%，排在已知受攻擊端口的第二位。