「勒索」病毒72小時

經濟觀察網 記者 馮慶艷

一

5月12日下午三點，值班人員把那條報警簡訊轉給鄭文彬時，他有一個預感：十多年都未發生的大規模勒索病毒事件，恐怕要成真了。

位於北京朝陽區的360總部大樓6層，是一個網絡安全響應中心，監控系統24小時輪流值班。

這家公司的首席安全工程師鄭文彬終於看到那件「意料之中，卻又感到不可思議」的事，「實時監控數據顯示，一個病毒傳播量陡然飆升，在當時一小時內中國就有幾千台電腦被攻擊」。

五天後，360董事長周鴻禕在談起當時那一刻時說，「我感覺像潘多拉盒子被打開了」。

被惡魔籠罩著的是全球150多個國家的無數台電腦的主人。

5月12日當天，英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊，截至記者發稿，全球30萬台電腦、其中中國29000多個IP遭受感染。

涉及國家眾多的同時，個人用戶遭攻擊之外，波及醫院、教育、公安、石油、民航和鐵路等國家的IT基礎設施。

其中，英國國立醫療服務(NHS)在此次病毒攻擊中受到重大影響，英格蘭、蘇格蘭許多醫院正常的治療活動受到影響，英國政府表示，在NHS全國248個醫療機構中，共有48個受到了攻擊。

而中國的一些高校是病毒剛開始發作的重災區之一。

360針對勒索病毒事件的檢測數據顯示，5月12日「想哭」勒索病毒發起全球攻擊後，在中國部分校園網開始擴散，夜間高峰期每小時攻擊約4000次。

與此同時，中石油包括北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在5月13日凌晨突然斷網，造成無法刷銀行卡及使用網絡支付，一天左右後才基本恢復正常。

二

作為值班人員之外第二個知曉「想哭」勒索病毒的人，鄭文彬直到現在仍心有餘悸。

由於連熬幾天夜、每天僅睡3到4個小時，他的眼睛通紅、精神狀態稍顯疲憊。

從2006年進入網絡安全領域，十多年的從業經驗下，正常思維判斷，鄭文彬沒想到，以前往往買賣雙方私下交易，網絡黑產利益鏈悄然存活多年，這個病毒波及範圍如此之廣而且出現大規模IT基礎設施遭感染的局面。

5月12日17點多，就在發現病毒警報兩小時後，鄭文彬迅速聯動其所在的技術團隊、產品團隊、客服部門以及負責企業安全的部門，成立了第一個應對這個病毒事件的群，後續又迅速運轉起來兩個群，這三個群，其中有各部門的技術團隊的群，有負責企業、政府、個人等各個部門信息溝通的群，另外一個便是企業高層協調群，於是各方就迅速運轉起來。

周鴻禕也加入了協調群，並不斷提出建議意見，鄭文彬說，「做一個集成的查殺、打補丁進行免疫、被病毒加密後恢復、可以離線用的工具，正是來自於老周的建議」。

這一次有200人左右投入進來，主要做產品和技術、研發測試方面的工作，其中鄭文彬的響應團隊不到50人，而公司的企業安全部門則有上千人在為此忙碌，主要是客戶和產品的響應方面。

在360大樓6層應急響應中心，一個由各個部門聯動組成的安全技術團隊，都聚集在一起辦公，不論白天和晚上都保持十幾個人在那裡值班。

那幾天的辦公場景是，桌子上放滿了凌亂的快餐盒，每個人都像「打了雞血」一樣，即使在夜間也在一直分析找漏洞，「這個陣地一直有人守，上半夜一撥人，下半夜再換另一撥人」，鄭文彬說，「為了避免更大損失，我們一直在跟對方賽跑」。

「這是一個在文件加密方面比較規範的勒索病毒，流程符合密碼學標準，」鄭文彬坦言，如果沒有私鑰，基本無法解密。

大約過了一天，5月13日下午的晚點時間，應急響應中心裡傳出好消息，終於解密了該病毒存在設計上的一個漏洞，當天晚上技術團隊接著熬夜做恢復工具，直到5月14日凌晨2點，才把這個工具正式發布出去。

「在360安全衛士5億用戶中，僅約有20萬沒有打補丁的用戶電腦被病毒攻擊，但基本都被攔截下來。

正常安裝和開啟360的用戶不會中毒。

」 360安全產品負責人孫曉駿說。

而針對不少企業和政府的計算機系統，沒有官方補丁的系統，或者官方補丁打不上的系統，鄭文彬的團隊又在5月15日上午發了一個熱補丁，以化解此類用戶的危機。

這恰好離蠕蟲勒索病毒爆發72小時左右，鄭文彬終於可以舒口氣。

「目前勒索病毒已經得到控制，其高峰期可以說已過去了。

」

三

周鴻禕在兩天後召開的發布會上解釋說，此次「想哭」勒索病毒的巨大威力，是永恆之藍（Eternalblue）這顆堪比洲際飛彈的網絡軍火賦予的，這個武器是早在今年4月14日，黑客組織影子經紀人（Shadow Brokers）公布的Equation Group（方程式組織）使用的一些「網絡軍火」之一，這些「網絡軍火」包含了一些Windows漏洞（微軟編號為MS17-010）和利用工具，這些漏洞利用中以「永恆之藍」最為方便利用。

實際上，早在4月15日，就有網絡安全公司就在網上做了國內最早的一個安全預警，稱有嚴重漏洞和武器被公布了，告知用戶等打補丁的方式，也發布了蠕蟲預警。

然而，這並未引起用戶重視。

幾天後的4月19日，360針對永恆之藍等漏洞和武器，推出了免疫工具，那之後，鄭文彬說，「我們擔心發生大規模攻擊，所以仍然密切監控。

」

4月27日，360監控到了一種名叫「洋蔥」（ONION）的病毒，但該病毒傳播量比較少，屬於點對點的，並非蠕蟲式的，中國也有零星用戶被攻擊。

據了解，「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。

這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。

不過，讓周鴻禕慶幸的是，「永恆之藍」這麼強大的武器，落到了一幫有點搞笑的毛賊手裡，相當於他們搞到了一枚洲際飛彈，但卻用它做了一件很低俗的敲詐勒索的事情。

根據公開的比特幣交易平台數據，截至5月15日凌晨五點，全球已有136人交了贖金，共價值3.6萬美元。

由於網絡犯罪分子要求，三天之內付款，三天後翻倍。

可能會有人在此之前交贖金。

騰訊玄武實驗室負責人於暘表示，永恆之藍這樣的漏洞和工具，如果不被公開，在黑市上交易，至少價值數十萬美元到上百萬美元。

他說，「十多年以來，從惡作劇式的網絡犯罪到以政治和經濟利益為目的的網絡犯罪的演進過程，折射出了網絡世界的蓬勃發展。

」

四

實際上針對NSA黑客武器利用的Windows系統漏洞，微軟在今年3月已發布補丁修復。

此前360安全衛士也已推出「NSA武器庫免疫工具」，能夠一鍵檢測修復NSA黑客武器攻擊的漏洞；對XP、2003等已經停止更新的系統，免疫工具可以關閉漏洞利用的埠，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

緣何此次電腦用戶仍大規模「中招」？一些遭攻擊嚴重的國家網絡系統陷入一片癱瘓之中。

鄭文彬說，機構最早感染了一些校園網，主要是這些校園網存在暴露著445埠又沒有打補丁的機器，一台中招，一片傳染，而很多企業內網從不打補丁，只寄希望於隔離網，只要一台從外邊感染的電腦，拿到內網去用，內網便整個被傳染了。

一個例子是，有一個國家機關基本全線癱瘓，網絡安全公司派了幾十人到那個單位去都覺得人力不足，就是因為它每一台電腦都需要手動去修復，完全脫離網際網路的環境。

「這次勒索病毒發生前，我們就已經基於360的數據和監測掃描出國內很多重要機構，被永恆之藍已經光顧過和滲透過了，所以，這次對全球的網絡軍備競賽來說，可能會點燃一個導火索。

」周鴻禕說。

360網際網路安全中心提供的數據顯示，國內機構感染永恆之藍勒索蠕蟲行業分布情況如下：教育科研占14.7%，商業中心占10.3%，交通運輸占9.1%，政府、事業單位、社會團體占3.6%，醫療衛生2.4%，企業占1.4%……

於暘表示，「想哭」勒索病毒事件是一個標誌性事件，這種級別的蠕蟲事件很多年沒有發生過了，而隨著信息安全工作和作業系統廠商的集體努力，使得可以大規模蠕蟲傳播的漏洞越來越稀有。

「這次和十年前那幾次大規模蠕蟲事件最大的不同，就是把蠕蟲、勒索軟體兩種威脅，以及一個威力巨大的漏洞結合在一起。

未來這很可能會讓其他網絡犯罪分子複製模仿這種方式。

」 於暘說。