勒索病毒“想哭”肆虐全球

高荣伟

今年5月，一个名为“想哭”（WannaCry）的勒索病毒软件在全球范围内肆虐，多个城市的商用、家用摄像头内容被泄密，感染了100多个国家的数十万台电脑，造成数十亿美元的损失。当时，22岁的英国软件工程师马库斯·哈钦斯 “无意之中”阻拦了“想哭”而一举成名，并被视为“英雄”。

然而，出人意料的是，据《华盛顿邮报》报道，美国当地时间8月3日，马库斯·哈钦斯在拉斯维加斯被逮捕，原因是其涉嫌开发并散布恶意软件对银行系统发动攻击。世界为之错愕不已，同时也引发了人们对于如何防治勒索病毒的思考。

勒索病毒危害甚广

据了解，勒索病毒是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，感染上这个病毒之后，如果电脑用户不向黑客支付一定的赎金，电脑中的文件将全部消失，这将给用户带来无法估量的损失。

专业人士指出，当勒索病毒文件进入本地之后，勒索病毒文件一旦被用户点击打开，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥和私钥。然后，勒索病毒遍访本地所有磁盘中的Office 文档、图片等文件，利用私钥和公钥对这些文件进行格式篡改和加密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。被感染者一般无法解密，用户必须拿到解密的私钥才有可能破解。此外，勒索病毒的变种类型非常快，对常规的杀毒软件具有免疫性。

今年5月上旬，一种名为“想哭”的新型电脑勒索病毒在全球发动攻击。短短数日就使得150多个国家的网络相继沦陷。据英国《卫报》报道，英国国家卫生服务系统（NHS）受到此种病毒勒索的时候，医院业务和医生手术无法正常进行。一位NHS工作人员称，医院停运的后果将是病人遭受病痛折磨乃至死亡。“只有缴纳高额赎金才能解密资料和数据”。《卫报》进一步指出，除了NHS，英国多家医院中招。与此同时，俄罗斯、意大利、整个欧洲，包括中国不少高校、加油站、火车站、自助终端、医院和政府办事终端等也都被此病毒感染。据彭博社报道，仅几天内，受感染公司的损失已经达到数亿美元，包括护肤品生产商拜尔斯道夫、丹麦航运企业马士基等在内的全球多家知名企业。

“英雄”沦为阶下囚

就在这个时候，生活在英国一个海边小镇的软件工程师马库斯·哈钦斯阴差阳错地注册了一个未知域名，令他没有想到的是，此举竟然阻止了勒索病毒的传播。“想哭”勒索病毒攻击全球近百个国家和地区之时，哈钦斯于当晚注意到，这一勒索病毒正不断尝试进入一个极其特殊、尚不存在的网址，于是他顺手花8.5英镑（约合75元人民币）注册了这个域名，试图借此网址获取勒索软件的相关数据，了解它的传播范围。不可思议的是，此后勒索软件在全球的进一步蔓延得到了阻拦。“软件工程师哈钦斯无意之中阻止全球超过10万台电脑被勒索病毒进一步感染”的消息迅速传遍全球。人们毫不吝惜地把“英雄”的桂冠戴在了他的头上。哈钦斯一举成名。

那么，哈钦斯注册了一个域名，怎么就阻止了功能强大的勒索病毒的进一步肆虐呢？据美媒报道，小伙子哈钦斯实际上是一家美国网络安全公司的雇员，而他的工作地点在英国的家中。他无意之中注册的这个域名，原来是病毒作者留下的“自杀开关”。据了解，每一台感染了勒索病毒的机器，在启动之前都会先访问一下这个域名，如果这个域名像往常一樣依旧不存在，此种病毒就会继续传播；如果已经被人注册了，那么它就会自动停止传播。

哈钦斯当时和同事分析，这个奇怪的网址很可能是勒索软件开发者为避免被网络安全人员捕获所设定的“检查站”，而注册网址的行为无意间触发了程序自带的“自杀开关”。就这样，哈钦斯“一不小心”，居然阻止了一场全球性的网络攻击。本来默默无闻的哈钦斯迅速走红媒体，甚至被视为英雄人物，哈钦斯还因此获得公司1万美元的奖金。

获得这笔奖金后，哈钦斯慷慨将其悉数捐给了慈善机构。他在接受采访时谦虚地表示：“我只是意外阻止了这场病毒的传播，称不上什么英雄人物。今后，我会努力用自己的专业知识为公众服务，为维护全球计算机网络的安全尽自己的微薄之力。”接受采访时，他还表示担心自己的安全因此会受到威胁，或者被人栽赃陷害。

令人感到震惊的是，“英雄”哈钦斯不久就成了一名阶下囚。美国联邦调查局在当地时间8月2日于拉斯维加斯拘捕了英国恶意软件研究员哈钦斯。据了解，哈钦斯是在出席一场黑客和信息安全专家一年一度的聚会后，于回程途中在拉斯维加斯被FBI逮捕。

当地时间8月3日，哈钦斯出席了拉斯维加斯当地法院的听证会。在法庭上，哈钦斯面临6项指控，其中包括2014年至2015年在网上参与非法黑客活动。期间，哈钦斯涉嫌与另一名同伙制造并传播恶意金融木马软件克罗诺斯（Kronos），并将其在线上销售。这是一款针对银行的木马程序。该软件能够入侵用户电脑窃取其个人信息，包括银行账户名称、密码以及信用卡密码。2014年，克罗诺斯被发现在俄罗斯地下犯罪论坛流传。之后，这个恶意程式被设定为可攻击英国、加拿大、德国、波兰、法国和其他国家的银行系统。

起诉书还指出，有身份不明人士此前在全球最大黑市交易网站AlphaBay上登出了克罗诺斯恶意软件，“这是一个黑暗的地下网络市场，上个月已被美国执法机构关闭。”调查人员表示，该网站允许匿名用户从事全球毒品、武器、黑客工具和其他非法商品贸易。联邦公共辩护人丹·科伊在法庭上表示，哈钦斯在被起诉之前曾与政府合作。美国司法部官员也强调，哈钦斯的被捕与“WannaCry”无关。据路透社报道，在法官当场宣读对哈钦斯的指控后，哈钦斯没有就此发表任何声明。其案件仍在进一步调查之中，目前法庭尚未作出判决。

防治网络病毒需要国际社会共同努力

近期全球网络安全方面恶性事件频发。除了勒索病毒来袭外，6月份，外媒称微软Win10操作系统源代码在网上被大量泄露；新勒索病毒Petya攻击、感染了全球60多个国家；7月份，CopyCat病毒来袭，一夜之间感染1400万部安卓手机。

近些年来，网络空间安全问题已经进入到国家安全的核心，相关政策法规正在积极出台。从2016年到现在相关的政策法规已经出台了至少9条。最近，我国网络安全法正式实施，这将对网络安全行业的需求端产生很大的带动作用。值得一提的是，就防治勒索病毒而言，中国国内多家网络公司已经给出为感染勒索病毒的文件进行解密的方案，且大多数文件可以通过杀毒软件进行恢复。不过，随着物联网的发展，攻击范围会明显扩展，同时黑客技术也在提升，这些都将倒逼网安行业加快发展。

更为重要的是，维护国家网络安全，除了需要在国内建立良好的网络安全产业整体生态，还需要有效的国际合作。就全球而言，迫在眉睫的问题是，维护网络空间安全，需要各国行动起来。有趣的是，勒索病毒肆虐全球后，尽管诸多专业机构及分析人士均把攻击的源头指向美国国安局，但是美国却矢口否认。

美国国家安全顾问汤姆·波塞特对外表示，勒索赎金的代码不是由美国国安局的工具开发出来的。但是，他却回避了勒索病毒与国安局此前开发的网络间谍工具之间的关系。事实上，对美国政府的指责还包括美国本土的互联网公司。微软总裁以及首席律师史密斯坦承，“微软公司对勒索病毒袭击负有最大责任，但同时指责美国政府存在过失”，他认为，“政府在发现系统漏洞后应告知微软公司，而不是储备、售卖或者利用它们。”

编辑：薛华 icexue0321@163.comendprint