勒索病毒：一件网络战武器的“变异”

2017年5月15日，周一，凌晨4点左右，不少人的手机收到了运营商发来的短信，提醒用户开机前断开网络，备份重要文件，同时升级电脑系统，以避免遭到“WannaCry”病毒的攻击。

几个小时后，很多人开始上班，他们被公司告知，在打开电脑之前，先拔掉网线，关掉无线连接，然后再启动电脑，查杀电脑是否中了“WannaCry”病毒。

这个病毒也被翻译成“想哭”病毒，是一种勒索病毒。

所谓勒索病毒，是以敲诈勒索为目的的新型网络病毒。它的特点是，不仅具备传染性，而且以敲诈勒索赎金为目的。另外就是这个病毒很顽固，每台机器的加密方式不同，被它恶意加密的文件，除了病毒制造者外，目前无人能解。

据国外机构披露，全球近百个国家发现了勒索病毒，其中教育科研行业是重灾区。此外，公开显示信息，一些国内的加油站和机场信息终端也感染了勒索病毒。

360公司的监测数据显示，中国在5月12日至5月13日间，有29000多个IP感染了勒索病毒。

由于勒索病毒的爆发正好赶上周末，这给了政府和企业难得的48小时应对时间。国内几大安全厂商纷纷出台了各自的解决方案，但他们也承认，并不能100%处理掉病毒。同时，5月15日，中国A股的安全概念股集体大涨。

360安全产品负责人孙晓骏对南方周末记者表示，目前勒索病毒已经基本得到了控制。以360安全卫士的5亿用户为例，只有约20万没有打补丁的用户遭到了病毒攻击，最后真正感染勒索病毒的360安全卫士用户只有10几例。

按照孙晓骏的说法，国际网络黑客在2013年6月份左右，从美国国家安全局（NSA）的网络武器库里偷了一件代号为“永恒之蓝”的网络武器。

勒索病毒也是在2013年出现的。美国联邦调查局（FBI）悬赏300万美元捉拿一个勒索病毒家族的制造者，但至今没人拿到这笔赏金。从2015年开始，勒索病毒进入爆发期，到去年更是已经有超过100个勒索病毒家族。

过去勒索病毒主要通过电子邮件或网页挂马传播，传播规模并不大。直到今年4月，黑客们在网上公开了包括“永恒之蓝”在内的一批武器文档信息。这些信息中有一些据称来自NSA的内部文档显示，NSA的网络武器主要用来攻击特定的政府和企业目标，比如控制中东的金融机构。

“永恒之蓝”工具被公布后，立刻获得网络勒索黑色产业链的追捧，因为它能够搭载任意病毒进行全网蠕虫化自动传播，其中最厉害的就是这次的“想哭”病毒，它专门对那些没有升级操作系统和打补丁的电脑下手。

其实在今年3月，也就是“永恒之蓝”被公开之前一个月，微软已经发布了相应的漏洞补丁，但很多用户没有打这个补丁。尤其是一些机构的内网和专网，没有打补丁的习惯，也很少安装安全软件，这些机器因此成为最主要的病毒感染群体。

勒索病毒进入机器后，会选择用户的一些重要文件进行加密（如照片），然后给用户桌面发送一个中毒提醒，告诉用户必须在3天内交出价值300美元的比特币作为赎金。如果不交，7天后赎金翻倍。过了7天还不交钱就撕票——把文件彻底删除。

勒索病毒发布者还给用户提供了详细的比特币购买和转账支付的流程攻略。之所以用比特币交易，一是为了防止追踪，二是比特币价格一直在涨。一些国外用户测试过，交钱之后确实能赎回文件。

勒索病毒制造者还表示，如果用户实在没钱支付赎金，可以等半年后试试运气，到时候他们会做一次抽奖活动，中奖用户被加密的文件，将被免费解锁。

根据比特币交易平台的公开数据，全球已有136个受害者交了赎金。大部分人还在观望，因为7天赎回时间还没有到期。

美国市场研究机构Gartner的数据显示，2015年，大中华区的信息安全支出只占美国的9%。

另一大知名调研机构IDC的数据则显示，中国在信息安全领域的投入占IT投入的比重是1%-2%，但北美和欧洲是8%-14%。