Zi 字媒體

WannaCry勒索病毒，是這麼一回事

2021/12/25

yidianzixun

想哭！上周末，一個被稱為「WannaCry」（也有稱WannaCrypt）的勒索病毒在全球範圍內肆虐。這個傳說中屬於「網路戰武器」的病毒，到底是怎麼回事？這篇文章會為你梳理事情的全貌。

什麼是WannaCrypt勒索病毒？

北京時間2017年5月12日晚上22點30分左右，全英國上下16家醫院遭到大範圍網路攻擊，醫院的內網被攻陷，導致這16家機構基本中斷了與外界聯繫，內部醫療系統幾乎停止運轉，很快又有更多醫院的電腦遭到攻擊，這場網路攻擊迅速席捲全球。

這場網路攻擊的罪魁禍首就是一種叫WannaCrypt的勒索病毒。

勒索病毒本身並不是什麼新概念，勒索軟體Ransomware最早出現在1989年，是由Joseph Popp編寫的叫"AIDS Trojan"（艾滋病特洛伊木馬）的惡意軟體。在1996年，哥倫比亞大學和IBM的安全專家撰寫了一個叫Cryptovirology的文件，明確概述了勒索軟體Ransomware的概念：利用惡意代碼干擾中毒者的正常使用，只有交錢才能恢復正常。

最初的勒索軟體和現在看到的一樣，都採用加密文件、收費解密的形式，只是所用的加密方法不同。後來除了加密外，也出現通過其他手段勒索的，比如強制顯示色情圖片、威脅散布瀏覽記錄、使用虛假信息要挾等形式，向受害者索取金額的勒索軟體，這類勒索病毒在近幾年來一直不斷出現。

被WannaCrypt勒索病毒侵入的電腦都會顯示上圖要求贖金的信息

本次肆虐的WannaCry也是同樣的勒索方式，病毒通過郵件、網頁甚至手機侵入，將電腦上的文件加密，受害者只有按要求支付等額價值300美元的比特幣才能解密，如果7天內不支付，病毒聲稱電腦中的數據信息將會永遠無法恢復。

勒索病毒是怎麼加密的？

在提到加密原理之前，首先要來科普一個概念：RSA加密演算法，RSA公鑰加密是一種非對稱加密演算法，包含3個演算法：KeyGen（密鑰生成演算法），Encrypt（加密演算法）以及Decrypt（解密演算法）。

其演算法過程需要一對密鑰（即一個密鑰對），分別是公鑰（公開密鑰）和私鑰（私有密鑰），公鑰對內容進行加密，私鑰對公鑰加密的內容進行解密。「非對稱」這三個字的意思是，雖然加密用的是公鑰，但拿著公鑰卻無法解密。

這次WannaCrypt勒索病毒使用的就是2048位密鑰長度的RSA非對稱加密演算法對內容進行加密處理。簡單來說，就是用一個非常非常複雜的鑰匙，把你的文件鎖上了。能解開的鑰匙掌握在黑客手裡，你沒有；而以現在的計算能力，也基本沒有辦法強行破解。

勒索病毒是怎麼全球範圍大規模爆發的？

按理說，勒索病毒只是一個「鎖」，其本身並沒有大規模傳播的能力。這次病毒的泄露與爆發，跟美國國家安全局（NSA）有關。

NSA是美國政府機構中最大的情報部門，隸屬於美國國防部，專門負責收集和分析外國及本國通訊資料，而為了研究入侵各類電腦網路系統，NSA或多或少會跟各種黑客組織有合作，這些黑客中肯定有人能夠入侵各種電腦。

事情起源於2016 年 8 月，一個叫「The Shadow Brokers」（TSB）的黑客組織號稱入侵了疑似是NSA下屬的黑客方程式組織（Equation Group），從中竊取了大量機密文件，還下載了他們開發的攻擊工具，並將部分文件公開到網上（GitHub）。

這些被竊取的工具包括了大量惡意軟體和入侵工具，其中就有可以遠程攻破全球約70%Windows機器的漏洞利用工具永恆之藍（Eternal Blue）。「永恆之藍」是疑似NSA針對CVE-2017-（0143~0148）這幾個漏洞開發的漏洞利用工具，通過利用Windows SMB協議的漏洞來遠程執行代碼，並提升自身至系統許可權。

2017年4月8日和16日，「The Shadow Brokers」分別在網上公布了解壓縮密碼和保留的部分文件，也就是說，無論是誰，都可以下載並遠程攻擊利用，各種沒有打補丁的Windows電腦都處在危險狀態。

勒索病毒與永恆之藍搭配的效果就是，只要有一個人點擊了含有勒索病毒的郵件或網路，他的電腦就會被勒索病毒感染，進而使用永恆之藍工具進行漏洞利用，入侵併感染與它聯網的所有電腦。

簡單地說，可以把永恆之藍（傳播的部分）當成武器，而WannaCrypt勒索病毒（加密文件並利用傳播工具來傳播自身）是利用武器的人。一旦機器連接在互聯網上，它就會隨機確定IP地址掃描445埠的開放情況，如果是開放的狀態則嘗試利用漏洞進行感染；如果機器在某個區域網里，它會直接掃描相應網段來嘗試感染。

很多人會奇怪，攻擊工具明明是上個月泄露的，但是怎麼時隔一個月才集中爆發？一些安全專家發現，這些電腦其實早已被感染，也就是說，在一個月前永恆之藍早已像定時炸彈一樣被安在各個系統中，只是5月12日那天才被啟動。

5月16日上午，殺毒軟體公司卡巴斯基（Kaspersky Lab）的研究室安全人員表示，他們在研究了早期蠕蟲病毒版本與2015年2月的病毒樣本發現，其中部分相似的代碼來自於卡巴斯基之前關注的朝鮮黑客團隊「拉撒路組」，代碼的相似度遠超正常程度。

因此，卡巴斯基認為這次WannaCrypt勒索病毒與之前的衝擊波病毒出自同一黑客團隊，同時，信息安全領域的解決方案提供商賽門鐵克（Symantec）也發現了同樣的證據，安全專家Matt Suiche上午在推特（@msuiche）上公布證據，表示遍及全球的勒索病毒背後可能是朝鮮黑客團隊「拉撒路組」的猜測。

Twitter：https://t.co/qSnkyug8XH為什麼要用比特幣支付？

比特幣（Bitcoin）是一種網路虛擬貨幣，在2009年被匿名的程序員創造之後作為開放資源發布，除了通過採礦獲得，比特幣還可以兌換成其它貨幣。

其最大的特點是分散在整個網路上，完全匿名且不受各種金融限制，幾乎很難從一個比特幣賬戶追查到另一個。由此可知，比特幣自然成為黑客索要贖金的不二選擇。

在中了勒索病毒的情況下，移除勒索病毒、使用防毒軟體都無法打開加密文件，一些被侵入的企業會為了保護重要的文件而選擇在規定時間內支付比特幣贖金，截止到5月16日13時，跟這次病毒爆發相關的賬戶一共有36個比特幣的收益。

36個比特幣雖然看上去不值一提，但是從病毒爆發到現在，比特幣兌換的匯率一路猛漲，截止到5月16日13時，1比特幣相當於1700美元左右，約合人民幣11700元。

自2016年6月至今的比特幣匯率變化圖

儘管如此，有幾個已經中招的用戶在網上向黑客求情，竟然真的被免費解鎖了……

5月14日下午，一個台灣的受害者在社交軟體上向黑客求情：「我每月收入僅 400 美元，你真的要這樣對我嗎？」，結果沒想到，收到了黑客的回復並被免費解鎖了！哪些地方的系統成為病毒重災區？

因為NSA的永恆之藍漏洞太強大了，除了更新了的Windows 10系統（版本1703）之外的其它Windows系統都可能受到漏洞影響。

目前已知的受影響的系統有： Windows Vista、Windows 7、Windows 8.1、Windows Server 2008（含R2）、Windows 2012（含R2）、Windows2016、已脫離服務周期的Windows XP、Windows Server 2003、Windows 8以及關閉自動更新的win10用戶。

英國醫院成為病毒入侵重災區的一個重要原因，就在於系統的落後，英國醫院的IT系統一直沒有及時更新，仍然在使用Windows XP系統，而Windows XP系統在2014年4月之後就沒有發布更新的安全補丁了。

除了英國，義大利、德國、俄羅斯、西班牙等國家都大範圍爆發勒索病毒。

義大利的大學機房被攻擊

5月12日僅一夜之間，全世界就有超過99個國家遭到攻擊，共計七萬多起。

我們國家的內網受損害也很嚴重，尤其是高校的校園網，很多單位都在內網和外網之間部署了防火牆進行網路控制，但內網的安全反而多多少少有些被忽視，因為內網機器相互訪問的需求，再加上網路管理人員忽略了內網本身的安全控制，在不少企業的內網裡，絕大多數埠甚至是完全開放的狀態。這種情況下，電腦間的網路連接毫無限制，也就給了蠕蟲病毒以傳播機會。