攔下比特幣病毒的小哥：這事沒完！漢語十級的敲詐不止「細思恐極」這麼簡單

昨天緊急通告小夥伴們關於NHS系統被勒索軟體突襲的事情，最後波及範圍遠比那一瞬間所能想像到的要大。

幾個小時內，世界地圖上是這樣被「點亮」的

點擊播放 GIF/114K

根據BBC News的最新消息，這個在國內被大家簡稱為「比特幣病毒」的惡意軟體，目前攻陷的國家已經達到99個，並且大型機構、組織是頭號目標。

英國NHS中招之後，緊接著位於桑德蘭的尼桑造車廠也宣告「淪陷」。西班牙除了最早被黑的通訊巨頭Telefonica，能源公司Iberdrola和燃氣公司Gas Natural也沒能幸免於難。德國乾脆直接被搞得在火車站「示眾」……

俄羅斯據幾家外媒報道是受影響最嚴重的國家，被黑掉了的組織從銀行到政府健康部門、從國有鐵路公司到移動通訊公司，什麼都有……

俄羅斯影響最大的互聯網新聞媒體「今日俄羅斯」Russia Today的報道。（圖片來自RT）

中國範圍，目前「重災區」是各大高校，很多小夥伴們正寫著論文就被要求交$300等值的比特幣，本來就快到期末和畢業高峰期，這不瞅準時間使勁坑么！

而且黑客那邊一看就是有備而來，勒索信息的中文那叫一個接地氣，什麼「就算老天爺來了」、「我以人格擔保」、「就要看您的運氣怎麼樣了」……就算不是中文母語的人寫的，那也得是個漢語十級的老外

（圖片來自新浪微博）

果然微博上已經有不少小夥伴表示「細思恐極」

（圖片截取自新浪微博）

大家都在猜測是否有中國人參與幕後黑手團伙，但其實這次比特幣病毒的「多語種」現象並不只是有中文版，還有韓文、日文……

早在昨天它剛爆發的時候，就有專業科技網站Wired的業內人士撰文解釋了這個現象：這表示比特幣病毒的幕後團隊，不僅準備良久、有備而來，而且極有可能正在蟄伏等待採用升級版勒索程序第二波大範圍攻擊的時機到來！

「情況會變糟糕，相當糟糕」

首先，大家稱之為「比特幣病毒」的勒索蠕蟲，英文大名叫做WannaCry，另外還有倆比較常見的小名，分別是WanaCrypt0r和WCry。

根據科技網站Wired的解釋，它是今年三月底就已經出現過的一種勒索程序的最新變種，而追根溯源的話是來自於微軟操作系統一個叫做「永恆之藍」（Eternal Blue）的漏洞。美國國家安全局（NSA）曾經根據它開發了一種網路武器，上個月剛剛由於微軟發布了新補丁而被「拋棄」。

三月底那次勒索程序就叫WannaCry，所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的說法，所指也是本次爆發的勒索程序。

（圖片來自Wired）

後面的事情，大家應該都已經了解到了：微軟在3月發布的補丁編號為MS17-010，結果眾多大企業們和一部分個人用戶沒能及時安裝它，才讓不知道從什麼途徑獲取並改造了NSA網路武器的WannaCry有機可乘。還真是「想要哭」（wanna cry）……

看過圈哥昨天文章的小夥伴可能記得，昨天特雷莎·梅在接受臨時採訪的時候就不斷強調，這回的勒索軟體目標並非只有英國NHS，而是遍布全球，總覺得有種「人家不是只針對英國醫療系統」一樣、奇怪的「有人跟我一樣糟就放心」了的潛台詞。雖然最後事實證明確實全球遭殃，但WannaCry最早從英國NHS開始爆發，真的只是巧合嗎？

當然不是！

根據Wired作者根據行業經驗和聯絡技術專家之後所給出的解釋，對於任何勒索病毒而言，醫院都是最有可能被攻擊的「肥肉」：醫護人員很可能遇到緊急狀況，需要通過電腦系統獲取信息（例如病人記錄、過敏史等）來完成急救任務，這種時候是最有可能被逼無奈支付「贖金」的。

醫療信息與管理系統學會的隱私和安全總監Lee Kim也解釋說，出於信息儲備過於龐大以及隱私考慮，「在醫療和其他一些行業，我們在處理這些（系統）漏洞方面確實會不那麼及時」。這也是為什麼科技領域普遍認為WannaCry幕後黑手的時機把握得非常巧妙，畢竟微軟更新MS17-010補丁還不到兩個月。

（圖片來自Guardian）

從開發並釋放WannaCry人士角度來考慮這個問題，他們其實並不在乎具體要把哪個行業作為攻擊目標，因為他們的邏輯就是任何有利可圖的領域都是「肥肉」，都要上手撈一筆。所以他們確實並不是非要跟英國NHS過不去，只不過是好下手罷了。

個人電腦用戶被攻擊的比例比企業和大型機構低很多，這不僅僅是因為個人電腦打補丁比較方便快捷，也因為這樣攻擊不僅效率不高、獲利的可能也更小。WannaCry的運作機制，根本就是為區域網大規模攻擊而設計的。

這樣看來，前面提到的全世界其他受攻擊大型企業和組織，無論交通、製造、通訊行業，還是國內比較慘烈的學校，確實都是典型存在需要及時從資料庫調取信息的領域。難怪微博上有小夥伴這樣評論

（圖片截取自新浪微博）

至於敲詐信息的語言問題，Wired在多方搜集信息後發現，WannaCry其實能以總共27種語言運行並勒索贖金，每一種語言也都相當流利，絕對不是簡單機器翻譯的結果。截至圈哥發稿前，WannaCry病毒的發源地都還沒能確認下來。

Wired作者認為，與其說WannaCry幕後是某種單兵作戰的「黑客」，倒不如說更有可能是招募了多國人手的大型團伙，並且很有可能「醉溫之意不在酒」。畢竟想要簡單撈一筆的人，根本沒有理由做出如此周全的全球性敲詐方案。

WannaCry在隱藏操作者真實身份這方面，提前完成的工作相當縝密。不僅僅在語言系統上聲東擊西，利用比特幣來索取贖金的道理其實也是一樣：杜絕現實貨幣轉賬後被通過匯入賬戶「順藤摸瓜」的可能。

（圖片來自Avast Blog）

總結起來這次勒索軟體的作案手段，根本就不像是有任何要「見好就收」的意思。

難怪Wired的文章作者總結說，WannaCry的開發者早就有了一個範圍寬廣、長期作戰的策劃：「在情況好轉之前，它會先變糟糕的——相當糟糕。」（This』ll get worse—a lot worse—before it gets better.）

22歲英國小哥救了全世界？

Wire作者再怎麼分析，也是僅僅基於目前WannaCry已經侵犯全球的可見行為。這篇文章還沒來得及引起廣泛注意，一位22歲的英國程序猿小哥就似乎「誤打誤撞」阻止了WannaCry的進一步擴散。

這部分故事，英媒和其他一些公眾號已經熱炒了起來，看過的小夥伴可以直接跳過前往下一個小標題，不過先說清楚：事情沒有這麼簡單。

英國《獨立報》和《英國電訊報》等媒體都對這位小哥「拯救全世界」的行為進行了專題報道。（圖片截取自獨立報）

這位小哥在社交網路上的昵稱是MalwareTech（中文意思大概是「惡意軟體技術」，聽起來反而更像個黑客），阻止了WannaCry的進一步全球肆虐後，他在自己的博客上寫下了全過程，甚至英國情報機關GCHQ都在官網轉po了這篇博文。

MalwareTech本來應該在度假中，不過他還是迅速反應，找到了一份WannaCry軟體的樣本。閱讀代碼時，他發現了一個沒有被註冊過的域名，下面的代碼意思就是WannaCry在黑點電腦前的運行中會先試圖訪問該域名，如果訪問失敗就黑掉系統，如果成功則自動退出。

於是MalwareTech就把這個域名給註冊了。

（原圖來自Twitter）

在後來一些中文媒體的報道中，小哥的這一舉動被強調成是「突發奇想」或者「下意識」之舉。正是因為無效域名被註冊，後來被WannaCry感染的電腦都在訪問該域名時得到了肯定的返回值，於是沒有再鎖定信息、展開敲詐。

不過MalwareTech自己解釋卻不是這樣的。他在博客中寫道，註冊這個域名是他作為網路安全工作人員的「標準做法」（standard practice）。過去一年裡，遇到所有這樣短時間訪問量激增的無效域名，他都會將其註冊後扔進前面圖裡提到的「天坑」（sinkhole）里，而這個「天坑」的作用就是「捕獲惡意流量」。

WannaCry樣本中域名，在昨天全球範圍攻擊開始後訪問量瞬間激增，此前卻沒有任何被訪跡象。（圖片來自MalwareTech個人博客）

然而MalwareTech職業靈敏度，讓他開始考慮WannaCry是否會定期或在特請情況下修改程序中的無效域名，因為如果是這樣的話，僅僅註冊他所發現的這個域名就無法阻止未來襲擊。

即使軟體里沒有這樣的部分，開發者依然能夠手動升級WannaCry後再度把它傳播開來，所需要做的也就僅僅是替換一個新的無效域名而已。

還有一種更糟糕的情況：如果WannaCry程序中還有另一層自我保護機制，那麼無效域名的註冊很有可能導致目前所有被感染電腦自動為所有信息加密，無法復原。

（圖片來自BBC News）

為了排除後一種情況，MalwareTech乾脆修改了自己一台電腦的主機文件，讓它無法連接那個已經被註冊了的前無效域名。

電腦成功藍屏了。

MalwareTech寫道：「你可能無法想像一個成年男人在屋裡興奮得跳來跳去，原因竟然是自己電腦被勒索軟體搞失靈了。但我當時確實就那樣了。」測試結果表明，他的「標準做法」確實阻止了WannaCry的進一步傳播。

小哥親自警告：「這事沒完」

和某些信息平台熱炒MalwareTech「拯救了全世界」的梗不同，英國《衛報》和《英國電訊報》都在標題里明確告訴大家，小哥自己都已經作出警告：「這事沒完！」

（圖片截取自衛報 & 英國電訊報）

根據MalwareTech的解釋，域名被註冊後WannaCry的停止擴散，在他看來只是病毒製造者一個不夠成熟的自我保護機制。對方的真正意圖並非通過域名是否能連接上來「指揮」病毒的運行，而是通過這種方式判斷病毒是否被電腦安全高手捕獲。

一旦WannaCry運行時發現域名有反應，真實反應並不是「好心」地停止攻擊，而是避免自己被扔進「沙盒」（sandbox）安全機制被人全面分析，乾脆退出獲得域名響應的電腦系統。

也就是說，MalwareTech雖然功不可沒，但他只是阻止了「比特幣病毒」現行樣本的擴散，但開發者也已經意識到了這項弱點，隨時可能用升級版勒索程序捲土重來。

（圖片來自BBC News）

這就又回到了前面Wired文章作者所表達的推斷：WannaCry病毒的開發者絕對不是愣頭愣腦撈一筆了事，他們很有可能還在策劃新一波進攻。

其實講了這麼多，最終目的還是要提醒大家，雖然WannaCry的進一步傳播似乎目前得到了控制，但現在真的不可以掉以輕心啊！！！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！