📖 ZKIZ Archives

誰在勒索全世界

2017年5月12日，全球範圍多個國家遭到大規模網絡攻擊，被攻擊者被要求支付比特幣解鎖。（視覺中國/圖）

（本文首發於2017年5月18日《南方周末》）

這次網絡攻擊給全世界帶來了巨大的損失——至今已經有超過150個國家和地區的20萬臺計算機受到感染。人們意識到：首先，計算機遠沒有我們認為的那麽安全；其次，國家級的網絡戰軍火也有可能會流入民間；最後，心懷不軌的黑客們，哪怕技術水平並不很高，也可以用網上找到的工具，在這個時代發動屬於自己的戰爭。

這是這個時代的新常態。

一夜之間，世界變得更不安全了。

北京時間2017年5月12日20點左右，許多人發現電腦的屏幕上彈出了一個倒計時窗口。他們發現自己電腦中的大部分文件都被鎖定，被告知要支付價值300美元的比特幣才能解鎖；若是一周內不支付贖金，所有文件都將不可恢複。

一場新的互聯網攻擊爆發了。

一種叫做“Onion”（洋蔥）和另一種叫做“WannaCry”（想哭）的勒索軟件傳播得很快。按照歐洲刑警組織的計算，至今已經有超過150個國家和地區的20萬臺計算機受到感染：英國部分醫院、中國的部分大學和政府機構、西班牙的幾家電信與電力公司、美國的聯邦快遞公司等等都成了受害者。

短短幾天之內，這些惡意軟件出現了許多變種，繼續在互聯網上肆虐。謠言四起，人心惶惶。

而這還只是開始。

在自己家里被勒索

“想哭”已經成了迄今為止最大的勒索軟件攻擊事件，但它並不是歷史上的第一次。

這類蠕蟲病毒通過某些方式侵入用戶計算機中，獲取文件系統的使用權限，然後將特定類型的文件加密；加密方式往往很複雜，複雜到受害者自己無法解開。受害者只有兩個選擇：或者乖乖繳納贖金——以比特幣方式；或者眼睜睜看著自己計算機里的文件和資料就此消失。

從2005年起，勒索病毒就成了互聯網世界中最大的安全威脅，但世界上第一款勒索病毒出現在1989年。早期的勒索病毒采用對稱加密方式，相對容易破解，但是它的後繼者們就沒有那麽好對付了。2006年出現的一款木馬病毒會將用戶“我的文檔”中的所有文件采用非對稱方式加密，解密要比加密難度大得多。

非對稱加密，指的是一些加密容易但解密困難的加密技術，目前已經廣泛應用在網絡安全領域，保護著我們的個人信息和財產安全。這類加密技術中最廣為人知的是 RSA加密算法，它的基本構想很簡單：我們可以很容易地將兩個大素數乘起來，計算它們的積；但是若把一個很大的數字拆解成兩個素數就會困難得多。利用這種特征，就可以創造出在當前計算原理下幾乎不可破解的加密方式。

後來的勒索病毒們也都采用了非對稱加密方式，讓恢複文件變得更加困難。在2006到2015的10年中，這類惡意軟件出現了多個變種的多個版本，偶爾會聽到受害者在社交網絡上的哀嚎，但是並不廣為大眾所知。

早期的勒索軟件往往要求受害者使用不記名充值卡支付贖金，但是最近則大都轉向比特幣之類的虛擬貨幣。這類貨幣往往使用區塊鏈技術構建，沒有政府的信用擔保，沒有中央發行方，每一筆交易都可追溯，可以兌換成其他貨幣，但是卻難以定位到真正的持有人。這種在網絡世界中通行的貨幣簡直是支付勒索贖金的最好方式——而且它的價值還在看漲。

這次發起攻擊的“想哭”勒索病毒也是如此。勒索者讓受害者在3天內支付價值300美元的比特幣，否則贖金就要上漲到價值600美元的比特幣。若是一周內都不支付贖金，文件將永遠無法找回。

面對這樣的威脅，受害者們往往只能乖乖支付贖金了事。一些公司甚至已經為了預防這類勒索專門開設了比特幣錢包，隨時準備支付贖金。被加密的文件往往價值連城，而這些勒索者們隱身在網絡後面，並不容易被抓到。

勒索病毒本來只是互聯網安全圈子里的話題。“想哭”勒索病毒這次之所以引起這麽大的關註，是因為它的傳染力度堪稱瘋狂。賦予它這種傳播能力的，是名叫“永恒之藍”的黑客武器。

而“永恒之藍”，則普遍認為與美國國家安全局（NSA）有關。

為什麽全世界“想哭”

2009年6月或者更早的時候，震網（Stuxnet）病毒就已經在伊朗的核設施工業控制系統中傳播開來。這是第一個攻擊關鍵工業基礎設施的計算機病毒，目的可能是破壞伊朗的核武器開發計劃。

俄羅斯計算機安全廠商卡巴斯基實驗室認為，震網病毒是可怕的網絡戰武器，“除非有國家的支持，否則很難發動如此規模的攻擊”。2012年，《紐約時報》獲悉，震網病毒是美國國家安全局開發的網絡戰武器。

幾年之後，卡巴斯基實驗室發現，開發了震網病毒的黑客組織依然在活躍中。這個組織被叫做“方程式組”（Equation Group），因為他們在自己的軟件中喜歡使用複雜精巧的方程式。卡巴斯基實驗室認為，這個組織很可能和美國國家安全局有關：或者是受到NSA的資助，或者幹脆就是NSA的一部分。這一觀點得到許多網絡安全人士的認同，但是NSA當然沒有承認。

2016年8月，一個名為“暗影掮客”（Shadow Brokers）的黑客組織在全球最大的程序員社區GitHub.com上發布了一批經過加密的黑客工具，聲稱是從“方程式組”盜來的。暗影掮客計劃拍賣這些網絡武器，要價100萬比特幣——按照現在的匯率，約等於100億人民幣。不過幾天之後，他們就將這些信息全部刪除了。

2017年4月，暗影掮客公開了一些工具，其中就包括此次“想哭”所使用的“永恒之藍”。這是一個可以在Windows操作系統中傳播的攻擊工具，利用了一個共享文件和打印機協議的漏洞，可以迅速傳遍整個網絡中的所有計算機。不到一個月，就有人把這些工具和勒索軟件整合起來，也就有了這次讓全球恐慌的“想哭”攻擊。

雖然微軟公司已經在2017年3月推出了針對這個漏洞的補丁，但是對於沒有及時升級更新的 Windows用戶來說，漏洞依然存在。這次攻擊的受害者，就是沒有及時修補這個漏洞的用戶們。

“永恒之藍”使用了Windows操作系統中的445端口。一些網絡運營商在意識到這個漏洞之後，已經關閉了這個端口；但是並非所有運營商都是如此。那些依然開放445端口的計算機將會成為這種傳播工具的通道，進而感染網絡中的其他計算機。

“想哭”將傳統的勒索病毒裝在了“永恒之藍”上，用新瓶裝了舊酒。“方程式組”的武器級攻擊工具就這樣成了勒索大眾的道具，感染了未能及時升級操作系統的計算機——而顯然，這類計算機為數眾多。

這種無差別攻擊的效果，可能連組織這次攻擊的黑客們也沒有想到。當軍用武器庫泄露到民間，網民們可以自由下載、改造和使用時，每個掌握一定計算機技能的人，就都擁有了可以攻擊大量計算機的武器。

這就像是每個人都有了核武器發射開關。

2017年5月12日，在德國開姆尼茨，一處電子時刻表遭到病毒攻擊而無法工作。（新華社/法新/圖）

下一次危機已經爆發

“想哭”的消失和出現一樣突然。在肆虐了兩天後，一位英國網絡安全研究人員以戲劇性的方式終止了它的傳播。

這位22歲的網絡安全人員在查看“想哭”的代碼時，發現了一個奇怪的長網址。他發現這個網址並沒有被註冊，於是自己花了點錢註冊了下來。隨後他發現，“想哭”不再傳染了。

事後分析認為，這是藏在“想哭”中的一個終止開關。每當感染一臺新計算機時，勒索病毒都會嘗試去訪問這個網址。只要這個網址可以訪問，就不再感染其他計算機。這位年輕人的本意只是通過這個網址看看“想哭”的傳播範圍到底有多大，卻意外地終止了一次災難。

但是，人們並沒有放松多少。勒索病毒已經成了一種商業模式，成了網絡陰暗面的一種獲利方式。雖然“想哭”被阻止了，但更大的危機恐怕才剛剛開始。

果然，更多的勒索病毒變種很快出現，這些變種已經沒有了終止開關，沒有人能夠阻止它們的傳播。人們只能寄希望於在被感染之前迅速打好升級補丁、關閉可能被黑客工具利用的端口，以及早日將這次攻擊背後的黑客繩之以法。

這是近十年來全球最受關註的一次計算機犯罪行為。各國調查人員都在追查幕後黑手，蒙受損失的各個機構也都在加班恢複，盡可能減少損失。但是事後彌補總是來不及。

這次攻擊給全世界帶來了巨大的損失，也讓人們意識到了幾件之前曾經忽略的事情。首先，計算機遠沒有我們認為的那麽安全；其次，國家級的網絡戰軍火也有可能會流入民間；最後，心懷不軌的黑客們，哪怕技術水平並不很高，也可以用網上找到的工具，在這個時代發動屬於自己的戰爭。

這是這個時代的新常態。計算機已經成為人們生活中最重要的工具，但大多數用戶並不具備保護計算機、保護個人信息安全的意識和知識。人們依賴計算機，但是計算機本身並不堅固——畢竟越複雜的人造物，就擁有越多缺陷。只是大多數時候，我們寧可不去想到這點。

這並不是第一次網絡戰軍火泄露，也不是第一次勒索病毒攻擊。世界已經被互聯網連成了一個整體，在光纖和網線中奔騰的不僅有我們賴以生存的商務、娛樂、學習和工作資源，還有暗藏的巨大風險。

我們可能沒有辦法知道，到底是誰躲在這些病毒背後勒索著全世界。互聯網上流動的信息紛繁複雜，想要抽絲剝繭找到源頭並不容易。當惡意軟件和攻擊工具可以在互聯網上輕易找到時，任何人都可能是某次網絡犯罪的始作俑者。也許他們今天就在街上與你擦肩而過，但是沒有人知道。畢竟，在真實世界中，黑客們並不會符合電影中的刻板印象——他們並不總是嘴角黏著披薩渣、戴著深度近視鏡的宅男宅女，也不總是穿著黑色長風衣戴著墨鏡的大帥哥。

虛擬世界和真實世界一樣，光明和黑暗永遠同時出現。互聯網的陰暗面偶爾會冒出頭來襲擊我們，在今天這樣連成一體的世界里，沒有人能置身事外。作為普通網民，我們能夠做的其實有限，只有盡可能保障自己的設備和信息安全，努力避免成為攻擊的目標。