勒索病毒敲響網路安全警鐘

本文首發於2017年6月18日《戰略新興產業》

北京時間 2017 年 5 月 12 日，一款名為「WannaCry」（也稱 WannaCrpt、WannaCrpt0r、Wcrypt、WCRY）的勒索病毒在全球範圍內爆發，迅速波及多個國家。病毒鎖死用戶數據和電腦文件，直到用戶支付價值 300 - 600 美元的比特幣贖金。BBC 相關報道顯示，病毒爆發后兩天內就有 150 多個國家的 10 萬多家機構、至少 20 萬人受害，堪稱近 10 年來最嚴重的網路病毒襲擊事件。

目前，勒索病毒已經得到遏制，但其帶來的反思仍在繼續。這次事件重新喚起了許多機構和個人的網路安全行業發展存在的短板，給全球網路安全治理帶來了新的挑戰。

▐ 本文章共 2928 字，閱讀時間約 7 分鐘

「 哎呀，你的重要文檔被加密了 ! 」 勒索病毒最早從英國爆發，據多位英國醫師反映，他們在使用電腦英國國家健康服務中心繫統時彈出了這樣一個黑客收取贖金的界面，黑客要求受害者付出價值 300 美元的比特幣，以取得密鑰打開被加密的重要文件，並警告如果 3 天內不付出，贖金將會翻倍。使用者們立刻意識到電腦感染了病毒，但同時也發現這次的病毒十分難處理，該木馬通過加密形式，鎖定用戶電腦里的txt、doc、ppt、xls等後綴名類型的文檔，導致用戶無法正常使用程序，只有按彈窗提示交贖金才能解密。英國多家醫院因此網站癱瘓，急救、看護等工作被迫停止。

很快，病毒攻擊蔓延至全球。俄羅斯內政部、中央銀行、聯邦儲蓄銀行、鐵路公司等相繼淪陷，全球第五大電信商西班牙電信集團、美國聯邦快遞公司、法國雷諾汽車、工廠位於英國東北部桑德蘭的日本日產汽車、印尼雅加達兩家重點醫院等機構陸續遭殃。5 月 12 日晚，國內部分高校的網路首先被該病毒感染，不少學生反映電腦被病毒攻擊，文檔被加密，畢業論文及設計資料被鎖。隨後，病毒的影響範圍還擴大到校園網、區域網之外，國內出入境、派出所、加油站支付系統等均受到波及。

歐盟刑警組織負責人羅布·溫賴特 5 月 14 日表示，12 日開始的勒索軟體網路襲擊已經波及到 150 多個國家的 10 萬多家機構，至少 20 萬人受害，未來還可能進一步升級。360威脅情報中心數據顯示，截至到 5月 13 日下午 19:00 ，國內有 28388 個機構被勒索蠕蟲感染，覆蓋了國內幾乎所有地區。

信息安全測評中心的分析報告介紹，此次爆發的勒索軟體主要利用了針對微軟Windows系統漏洞的網路武器「永恆之藍」進行傳播擴散。2017 年 4 月 14 日，黑客組織 Shadow Brokers 公布了黑客組織 Equation Group 的部分泄露文件，文件涉及多個 Windows 操作系漏洞的遠程命令執行工具。勒索軟體就是藉助了其中的「永恆之藍」，利用 Windows 操作系統在 445 埠的安全漏洞，潛入電腦對多種文件類型加密，並彈出勒索框，向用戶索要贖金。

勒索病毒來勢洶洶，但很快各國政府都積極採取了應對措施。英、德、俄、美、中等多個國家向本國公民及機構發出了警告，要求儘快更新補丁，做好計算機數據備份等防護工作；英國政府國家網路安全中心稱其第一時間啟動了針對事件及攻擊者的調查，德國、俄羅斯政府網路安全機構也做出了類似表態；各國網路安全相關領域的企業更是紛紛開展技術分析，積極修復漏洞。隨著一名英國網路工程師無意中發現了勒索病毒的「命門」，勒索病毒在全球的進一步蔓延得到了阻攔，目前，此次病毒攻擊事件已基本得到控制。

這次病毒威脅能夠得到控制的原因之一是，儘管對於已感染設備中被加密的文件，想要恢復沒那麼容易，但可以通過一系列措施防禦病毒，讓電腦不被感染。

信息安全測評中心在分析報告中給出的應急措施是：立即斷網，防止擴散和蔓延；對於已經感染勒索病毒的計算機，儘快關機，取出硬碟，通過專業數據恢復軟體進行恢復；立即切斷內外網連接，避免感染網路中的其他計算機；關閉計算機的 445 埠，打開防火牆，關閉「文件和印表機共享」相關規則；網路管理員修改網路配置，監控網路介面。

報告還特彆強調在日常計算機使用過程中，要加強安全意識。要對重要信息數據定期及時進行備份；瀏覽網頁和使用電子郵件的過程中，切勿隨意點擊可以鏈接地址；及時更新操作系統及相關軟體版本，實時安裝公開發布的漏洞修復補丁。因為此次勒索病毒事件反映出，許多機構和個人網路安全意識淡薄，缺乏網路安全防護的知識和規劃，安全產品堆砌，但卻疏於日常建設和運營。有報道稱，對 100 家單位的調查表明，過半單位在近一年內未對系統進行全面風險評估及定期補丁更新，這為大規模網路安全事件的爆發提供了可乘之機。這次事件中之所以教育系統是重災區，就是由於教育網及大量企業內網仍然存在大量暴露 445 埠且存在漏洞的電腦，導致目前蠕蟲的泛濫。

政法大學傳播法研究中心副主任朱巍向本刊記者表示：「我認為這次對勒索病毒事件的應對做得還是不錯的，在政府的警報和各殺毒軟體企業的反覆提醒下，目前許多機構都在大規模地升級和更新軟體。」

朱巍指出，這次事件確實反映出有些機構和個人的網路安全意識薄弱，這很可能是出於專業知識的欠缺，在這種情況下政府也應當有義務提供保護。「其實 99% 的用戶都是『小白用戶』，很多人包括我在內在這次事件之前根本就不知道勒索病毒是什麼，所以未必是真的缺乏安全意識，而是用戶知識確實跟不上。那麼在這種情況下真正的義務主體就應該落在政府和企業身上，政府要對民眾提供保護，平台也應在出現漏洞時及時警示。6 月 1 號起開始實施的網路安全法中就有一條，規定軟體、平台等在出現可能危害到用戶信息的漏洞時，即便這一漏洞還沒有造成損害，也必須告知用戶，並且向有關部門報告，讓人們能及時防範，避免損失。」

多家券商也發布研究報告指出，此次事件將給信息安全產業帶來深遠影響，會極大地促進整個網路安全市場，如信息產業安全政策將加速落地，整個社會的信息安全意識將全面提升，各級安全部門、政府部門、企業組織都將加大自身網路安全建設，由此引發的後續的網路安全需求將會快速增加。

雖然勒索病毒事件逐漸平息，但它已經引起了全球範圍內關於網路安全治理的討論。尤其是據外媒報道，病毒發行者利用的黑客工具「永恆之藍」實際上是來自美國國家安全局（NSA），這使得NSA在這次事件中成為眾矢之的。

汕頭大學國際互聯網研究院院長、浙江傳媒學院互聯網與社會研究中心主任方興東在其評論文章中直言，整個事件和 NSA 脫不了干係，NSA 是事實上的「幫凶」。網路攻擊所用的黑客工具「永恆之藍」，就是來源於早期 NSA 泄露的網路武器庫。美國佔據全球網路空間絕對優勢地位，一直以全球網路空間安全的衛道士著稱，但是，美國在這場網路軍備競賽中一馬當先，並沒有真正改善網路空間的安全，也沒有降低美國乃至全球遭遇攻擊的危險性。勒索軟體事情告訴我們，面對不知名的黑客，面對逆天的勒索方式，強大無比的美國國家力量也束手無策，更何況，NSA 不斷泄露的網路監控工具，正在成為黑客最好的幫手。在本次事件當中，網路空間的脆弱性一覽無餘，在越來越複雜的全球一體化網路空間中，誰也難以獨善其身，任何國家都不可能通過構建自身優勢而置身度外。

朱巍也認為，這次事件和普通的網路攻擊不太一樣，這次的事件牽扯到全球網路治理的問題。「全球網路治理說起來很簡單，但想做到共享共治、互聯互通遠沒有這麼簡單。比如在這次事件中看到的，NSA 早已掌握微軟的漏洞，甚至已經研究出了網路武器，但卻人為地不予警示和修補，這絕對不是共享共治、互聯互通，而是與人為敵不是與人為善。這種情況下我們最應該重視的就是保護好自己。」

方興東則認為，隨著人類日常生活越來越依賴於網路，已經失控的美國安全局和中情局網路武器庫，淪為不法分子事實上的「網路軍火供應商」，成為全球性公害之源，如果不及時採取行動，必將進一步加劇全球網路空間失序和失控的趨勢。「這場全球性的『網路核危機』生動地詮釋了全球網路空間的新態勢，重新定義了全球網路犯罪的生態鏈。而這一切，可能僅僅是打開『潘多拉盒子』的開端。安全感是任何一個主權國家合法性的基礎，在這場不對稱的戰爭中，國家行為體越發顯得勢單力薄。與無所不在的非國家行為體的博弈與對抗中，唯有各國展開前所未有的合作，才有可能使局面出現轉機。」

（轉自戰略新興產業）