勒索病毒“想哭”肆虐全球

高榮偉

今年5月，一個名為“想哭”（WannaCry）的勒索病毒軟件在全球范圍內肆虐，多個城市的商用、家用攝像頭內容被泄密，感染了100多個國家的數十萬臺電腦，造成數十億美元的損失。當時，22歲的英國軟件工程師馬庫斯·哈欽斯 “無意之中”阻攔了“想哭”而一舉成名，并被視為“英雄”。

然而，出人意料的是，據《華盛頓郵報》報道，美國當地時間8月3日，馬庫斯·哈欽斯在拉斯維加斯被逮捕，原因是其涉嫌開發并散布惡意軟件對銀行系統發動攻擊。世界為之錯愕不已，同時也引發了人們對于如何防治勒索病毒的思考。

勒索病毒危害甚廣

據了解，勒索病毒是一種新型電腦病毒，主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，感染上這個病毒之后，如果電腦用戶不向黑客支付一定的贖金，電腦中的文件將全部消失，這將給用戶帶來無法估量的損失。

專業人士指出，當勒索病毒文件進入本地之后，勒索病毒文件一旦被用戶點擊打開，就會自動運行，同時刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器，進而上傳本機信息并下載加密公鑰和私鑰。然后，勒索病毒遍訪本地所有磁盤中的Office 文檔、圖片等文件，利用私鑰和公鑰對這些文件進行格式篡改和加密。加密完成后，還會修改壁紙，在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。被感染者一般無法解密，用戶必須拿到解密的私鑰才有可能破解。此外，勒索病毒的變種類型非常快，對常規的殺毒軟件具有免疫性。

今年5月上旬，一種名為“想哭”的新型電腦勒索病毒在全球發動攻擊。短短數日就使得150多個國家的網絡相繼淪陷。據英國《衛報》報道，英國國家衛生服務系統（NHS）受到此種病毒勒索的時候，醫院業務和醫生手術無法正常進行。一位NHS工作人員稱，醫院停運的后果將是病人遭受病痛折磨乃至死亡。“只有繳納高額贖金才能解密資料和數據”。《衛報》進一步指出，除了NHS，英國多家醫院中招。與此同時，俄羅斯、意大利、整個歐洲，包括中國不少高校、加油站、火車站、自助終端、醫院和政府辦事終端等也都被此病毒感染。據彭博社報道，僅幾天內，受感染公司的損失已經達到數億美元，包括護膚品生產商拜爾斯道夫、丹麥航運企業馬士基等在內的全球多家知名企業。

“英雄”淪為階下囚

就在這個時候，生活在英國一個海邊小鎮的軟件工程師馬庫斯·哈欽斯陰差陽錯地注冊了一個未知域名，令他沒有想到的是，此舉竟然阻止了勒索病毒的傳播。“想哭”勒索病毒攻擊全球近百個國家和地區之時，哈欽斯于當晚注意到，這一勒索病毒正不斷嘗試進入一個極其特殊、尚不存在的網址，于是他順手花8.5英鎊（約合75元人民幣）注冊了這個域名，試圖借此網址獲取勒索軟件的相關數據，了解它的傳播范圍。不可思議的是，此后勒索軟件在全球的進一步蔓延得到了阻攔。“軟件工程師哈欽斯無意之中阻止全球超過10萬臺電腦被勒索病毒進一步感染”的消息迅速傳遍全球。人們毫不吝惜地把“英雄”的桂冠戴在了他的頭上。哈欽斯一舉成名。

那么，哈欽斯注冊了一個域名，怎么就阻止了功能強大的勒索病毒的進一步肆虐呢？據美媒報道，小伙子哈欽斯實際上是一家美國網絡安全公司的雇員，而他的工作地點在英國的家中。他無意之中注冊的這個域名，原來是病毒作者留下的“自殺開關”。據了解，每一臺感染了勒索病毒的機器，在啟動之前都會先訪問一下這個域名，如果這個域名像往常一樣依舊不存在，此種病毒就會繼續傳播；如果已經被人注冊了，那么它就會自動停止傳播。

哈欽斯當時和同事分析，這個奇怪的網址很可能是勒索軟件開發者為避免被網絡安全人員捕獲所設定的“檢查站”，而注冊網址的行為無意間觸發了程序自帶的“自殺開關”。就這樣，哈欽斯“一不小心”，居然阻止了一場全球性的網絡攻擊。本來默默無聞的哈欽斯迅速走紅媒體，甚至被視為英雄人物，哈欽斯還因此獲得公司1萬美元的獎金。

獲得這筆獎金后，哈欽斯慷慨將其悉數捐給了慈善機構。他在接受采訪時謙虛地表示：“我只是意外阻止了這場病毒的傳播，稱不上什么英雄人物。今后，我會努力用自己的專業知識為公眾服務，為維護全球計算機網絡的安全盡自己的微薄之力。”接受采訪時，他還表示擔心自己的安全因此會受到威脅，或者被人栽贓陷害。

令人感到震驚的是，“英雄”哈欽斯不久就成了一名階下囚。美國聯邦調查局在當地時間8月2日于拉斯維加斯拘捕了英國惡意軟件研究員哈欽斯。據了解，哈欽斯是在出席一場黑客和信息安全專家一年一度的聚會后，于回程途中在拉斯維加斯被FBI逮捕。

當地時間8月3日，哈欽斯出席了拉斯維加斯當地法院的聽證會。在法庭上，哈欽斯面臨6項指控，其中包括2014年至2015年在網上參與非法黑客活動。期間，哈欽斯涉嫌與另一名同伙制造并傳播惡意金融木馬軟件克羅諾斯（Kronos），并將其在線上銷售。這是一款針對銀行的木馬程序。該軟件能夠入侵用戶電腦竊取其個人信息，包括銀行賬戶名稱、密碼以及信用卡密碼。2014年，克羅諾斯被發現在俄羅斯地下犯罪論壇流傳。之后，這個惡意程式被設定為可攻擊英國、加拿大、德國、波蘭、法國和其他國家的銀行系統。

起訴書還指出，有身份不明人士此前在全球最大黑市交易網站AlphaBay上登出了克羅諾斯惡意軟件，“這是一個黑暗的地下網絡市場，上個月已被美國執法機構關閉。”調查人員表示，該網站允許匿名用戶從事全球毒品、武器、黑客工具和其他非法商品貿易。聯邦公共辯護人丹·科伊在法庭上表示，哈欽斯在被起訴之前曾與政府合作。美國司法部官員也強調，哈欽斯的被捕與“WannaCry”無關。據路透社報道，在法官當場宣讀對哈欽斯的指控后，哈欽斯沒有就此發表任何聲明。其案件仍在進一步調查之中，目前法庭尚未作出判決。

防治網絡病毒需要國際社會共同努力

近期全球網絡安全方面惡性事件頻發。除了勒索病毒來襲外，6月份，外媒稱微軟Win10操作系統源代碼在網上被大量泄露；新勒索病毒Petya攻擊、感染了全球60多個國家；7月份，CopyCat病毒來襲，一夜之間感染1400萬部安卓手機。

近些年來，網絡空間安全問題已經進入到國家安全的核心，相關政策法規正在積極出臺。從2016年到現在相關的政策法規已經出臺了至少9條。最近，我國網絡安全法正式實施，這將對網絡安全行業的需求端產生很大的帶動作用。值得一提的是，就防治勒索病毒而言，中國國內多家網絡公司已經給出為感染勒索病毒的文件進行解密的方案，且大多數文件可以通過殺毒軟件進行恢復。不過，隨著物聯網的發展，攻擊范圍會明顯擴展，同時黑客技術也在提升，這些都將倒逼網安行業加快發展。

更為重要的是，維護國家網絡安全，除了需要在國內建立良好的網絡安全產業整體生態，還需要有效的國際合作。就全球而言，迫在眉睫的問題是，維護網絡空間安全，需要各國行動起來。有趣的是，勒索病毒肆虐全球后，盡管諸多專業機構及分析人士均把攻擊的源頭指向美國國安局，但是美國卻矢口否認。

美國國家安全顧問湯姆·波塞特對外表示，勒索贖金的代碼不是由美國國安局的工具開發出來的。但是，他卻回避了勒索病毒與國安局此前開發的網絡間諜工具之間的關系。事實上，對美國政府的指責還包括美國本土的互聯網公司。微軟總裁以及首席律師史密斯坦承，“微軟公司對勒索病毒襲擊負有最大責任，但同時指責美國政府存在過失”，他認為，“政府在發現系統漏洞后應告知微軟公司，而不是儲備、售賣或者利用它們。”

編輯：薛華 icexue0321@163.comendprint