別天真了，你以為WannaCry是為了勒索比特幣？

NSA被盜走了黑客工具之後，後患無窮。

如果說由於WannaCry的作祟，在過去一周，很多人辦不了護照、檢不了車、加不了油、寫好的畢業論文消失不見...連廣場舞阿姨都知道了蠕蟲病毒、80歲的大爺都開始學習電腦技能....那麼，如果說勒索軟體WannaCry可能只是個開始呢.....

神秘的黑客團體「影子經紀人」公布NSA的黑客工具被用作勒索軟體WannaCry發動了全球攻擊，這事兒剛剛有所平息，就有安全公司Proofpoint指出，同樣的工具其實早在前幾周，就被用來感染了更多電腦，以便通過挖礦來賺取加密的貨幣。

原來，WannaCry勒索比特幣，真的是黑客的「醉翁之意不在酒」？還是向全世界演了一場好戲？有爆說這次病毒的始作俑者只收到了35萬美元，似乎比它全球的影響力來說並不多。

甚至沒有A股的一個安全廠商股東這兩天賺得多。

所以，你當黑客是真天真？

畢竟，WannaCry所使用的攻擊工具，包括Eternalblue及DoublePulsar，都是在4月隨著「影子經紀人」公布 NSA檔案而公諸於世了。

其中EternalBlue開採Windows TCP 445埠的Server Message Block (SMB)漏洞，入侵有漏洞的連網PC。

NSA開發的後門程式DoublePulsar，這次則是被WannaCry用來植入到了受害電腦中。

這家安全公司隨後發現，其實早自4月24日到5月2日之間還有另一波攻擊，也是使用Eternalblue和DoublePulsar來植入到加密貨幣挖礦工具Adylkuzz中了。

這波攻擊因為沒有勒索所以不為人知，但其實規模要比WannaCry更嚴重，影響了全球數十萬台PC及伺服器。

研究人員發現，全球有20多台虛擬主機掃瞄網路上開啟的TCP 445埠以尋找目標。

之後以EternalBlue成功開採漏洞、並植入DoublePulsar後門程序，後者再從另一台主機下載、執行Adylkuzz。

Adylkuzz開始執行後（下圖，來源： Proofpoint ），就會切斷SMB連線，然後判斷受害者電腦的IP位置，下載挖礦指令、挖礦軟體及清除工具。

研究人員相信網上執行Adylkuzz指令及挖礦二進位程序和指令的C&C伺服器也超過20台。

黑客利用Adylkuzz挖取也十分受歡迎的加密貨幣Monero，這個新興貨幣近來因為獲得了暗網上交易黑市AlphaBay的採用而得到普及。

挖礦十分耗計算性能，但挖礦者可以因此獲得7.58 Moneros或約205美元的報酬。

被植入Adylkuzz而被成為挖礦殭屍網絡的PC會出現PC和伺服器性能下降等等症狀。

許多大型企業昨天通報為WannaCry的攻擊，其實來自早先的這波攻擊。

但有趣的是，由於這類攻擊會關閉SMB網絡連線，以切斷之後的惡意程序（也包括WannaCry蠕蟲病毒），通過同一漏洞進行感染，因此事實上它還有助於縮小WannaCry所感染的範圍。

除非亂世當道，否則人永遠不想學習自衛術。

不管怎樣，希望這個病毒在禍害之後，也能有一些教學意義。