「想哭」變種」想妹妹「？！為何遲遲抓不到勒索病毒元兇？

這個周一有點不一樣，上班族一大早來到公司就忙著修復電腦補丁、升級系統。連日來，勒索病毒WannaCry的陰影進一步籠罩著全球網路。至少讓150個國家的企業、醫院，甚至是政府機構受到感染。

而騰訊反病毒實驗室的最新數據顯示，WannaCry病毒目前仍然在進行變種。有的樣本名稱已經變為「WannaSister.exe」，從「想哭(WannaCry)」變成「想妹妹(WannaSister)」。

勒索病毒至少在150個國家爆發

而這場針對全世界的大規模網路攻擊，誰是幕後黑手？是技術漏洞，還是監管不力？等等疑問不斷。歐洲警察署署長溫賴特表示，攻擊的發動者可能有多人，目前尚未被鎖定。他表示，歐洲警察署正在與美國聯邦調查局(FBI)合作展開調查。

據介紹，自12日後，WannaCry病毒樣本出現了至少4種方式來對抗安全軟體的查殺，這也再次印證了WannaCry還在一直演化。騰訊反病毒實驗室稱，已獲取的樣本中找到一個名為WannaSister的樣本，這個樣本是病毒作者持續更新，用來逃避殺毒軟體查殺的對抗手段之一。

在分析的過程中，騰訊反病毒實驗室發現，WannaCry在演化中為躲避殺毒軟體的查殺，有的樣本在原有病毒的基礎上進行了加殼的處理；

有的樣本在代碼中加入了許多正常字元串信息，在字元串信息中添加了許多圖片鏈接，並且把WannaCry病毒加密后，放在了自己的資源文件下，混淆病毒分析人員造成誤導。

攻擊的發動者目前仍未被鎖定

這場攻擊來勢洶洶，而幕後黑手至今逍遙法外，這又是如何做到的呢？

黑客發布勒索病毒等工具，並將其掛在網上銷售，購買者發動攻擊，這也正是歐洲警察署署長溫賴特所斷言的：攻擊者可能有多人。但這一切都不會留下任何痕迹，因為交易和攻擊都是在暗網上進行的。

暗網，又稱深網。是指那些存儲在網路資料庫里、但不能通過超鏈接訪問而需要通過動態網頁技術訪問的資源集合，不屬於那些可以被標準搜索引擎索引的表面網路。

「96%的互聯網數據無法通過標準搜索引擎訪問，雖然其中的大部分屬於無用信息，但那上面有一切東西，兒童販賣、比特幣洗錢、致幻劑、大麻、賞金黑客……」

暗網裡存在各種交易

無法被搜索引擎找到的「地下世界」真實存在，即使你知道網站地址，但普通瀏覽器也無法瀏覽。

所以進入暗網要通過Tor瀏覽器，就好比一個人戴著面具走進一個空間，沒人知道你是誰，在密碼學層面上，Tor瀏覽器又是無法被破譯的。

有無數的黑客就藏身在這個無法被搜尋的「地下世界」。安在在之前的報道中曾描述過此類交易，而且這裡的勒索病毒交易、郵件傳播等環節都日漸成熟，已經形成了包括製作、傳播、贖金交付在內的一整套黑色產業鏈。不同身份的黑客在這個鏈條中分工合作，互相交換資源和數據。

進入暗網要通過Tor瀏覽器

從上游來說，就算你不會寫程序，暗網上有人會販賣勒索病毒的程序模組，購買者只要稍微修改，就可以做出一個勒索軟體的變種。

他們通過使用比特幣和暗網來確保支付與惡意軟體傳播的匿名性，勒索病毒的作者們保證所生成的病毒被殺毒軟體檢測到的概率非常低。

勒索病毒的幕後元兇難被追蹤，還在於他們交易使用的比特幣，黑客之所以青睞它，正是看中了比特幣在支付轉賬時全球化、去中心化和匿名性等特點。

防治勒索病毒仍有很多路要走

「比特幣勒索病毒」來源於著名的黑客波格契夫，最開始支付比特幣的交易並不是在暗網上進行的，最終導致伺服器暴露，病毒作者身份隨之被查出。自波格契夫身份暴露后，「比特幣敲詐者」家族木馬的設計者愈發狡猾，比特幣支付環節也改在TOR瀏覽器上進行，這使得警方對波格契夫的抓捕更為困難。

安在之前的報道中，公布了由火絨提供的安全調查報告：勒索事件爆發的背後，依靠的是一套完整的病毒製造、代碼混淆（對抗）、傳播最終變現的黑色生態鏈。該報告還表示，未來勒索病毒會越來越多！

「勒索未來可能持續」，網路安全專家的預言讓人絲毫不敢掉以輕心。

「一些不法黑客還可能受到此次勒索軟體攻擊的啟發，將更多技術手段與勒索軟體相結合，」專家說，「勒索模式帶動蠕蟲病毒的回潮不可避免，黑客可能利用殭屍網路分發病毒，還可能針對物聯網設備的漏洞製造和傳播病毒軟體，這些問題都會出現。」

人物

白帽

新銳

新銳丨大咖丨視頻丨白帽丨深度

長按識別二維碼 關注更多精彩