一场席卷全球的勒索病毒揭开了暗网、比特币和美国国家安全局的惊人内幕

✎编者按

频发的勒索事件背后，依托的是一条完整的病毒制造、代码混淆、传播的黑色生态链。 更令人不寒而栗的是，美国国家安全局等本应保护网络免受攻击的机构，却制造出无数破坏力巨大的武器来追踪和破解信息。 我们的网络安全到底掌握在谁的手中？

“永恒之蓝”勒索病毒在全球范围内的爆发，可能是当今影响最大的公共安全事件。

与以往相比，此次勒索事件最大的亮点在于勒索病毒结合蠕虫病毒进行传播，传播方式使用了前不久美国国家安全局（National Security Agency，美国国家安全局）泄露的MS17-010漏洞. 在美国国家安全局泄露的文件中，WannaCry传播方式的漏洞利用代码被称为“永恒之蓝”，因此一些报道称此次攻击为“永恒之蓝”。

自上周五晚上以来，勒索软件爆发的消息一直在流传。 当时，病毒感染大多发生在校园网范围内。 临近毕业季，不少实验室、学生的毕业设计和论文惨遭屠杀。 刚刚过去的周末，不少人被拉回公司或单位加班加点打病毒，以防周一工作日“开机潮”造成的大规模感染。

尽管如此，在新闻报道中，我们看到了国内多所高校、加油站、火车站、自助终端、医院、政务服务终端等都感染了这种病毒的消息。

中石油有机

▍活动

关于病毒爆发的原理，相信大家这几天已经看了很多文章了。 简而言之，这款蠕虫勒索软件是通过针对Windows的一个漏洞攻击用户，对电脑中的文档、图片等进行高强度加密，并向用户索要以比特币支付的赎金，否则之后会“撕票” 7天，即使支付赎金也无法恢复数据。 它的加密方式非常复杂，每台电脑都有不同的加密序列号。 以目前的技术手段，想要解密几乎是“不可能”的。

在全球网络互联互通的今天，受害者当然不仅限于中国。

据360威胁情报中心统计，自12日疫情爆发以来，全球近100个国家超过10万个组织机构遭到入侵，其中美国1600个组织、俄罗斯11200个组织、中国29000多个IP被入侵。被感染。 .

勒索软件正在全球蔓延

在西班牙，电信巨头Telefonica、电力公司Iberdrola、能源供应商Gas Natural等多家公司网络系统瘫痪； 葡萄牙电信、美国运输巨头联邦快递、瑞典某地方政府、俄罗斯第二大移动通信运营商Megafon均被曝光。 受到攻击。

据欧洲刑警组织称，此次袭击影响了 150 个国家和地区。 随着病毒版本的更新迭代，具体数量可能会增加。

那么，问题来了：这是谁干的？ ！

▍黑手

没有答案。

据360核心安全团队负责人郑文斌介绍，勒索病毒溯源一直是一个比较困难的问题。 FBI曾悬赏300万美元寻找勒索病毒的作者，但一直没有结果。 目前，世界上还没有任何国家找到该勒索病毒的作者。

但从勒索方式来看安卓比特币钱包，电脑感染病毒后，会有包括中文在内的15种语言的勒索提示，全程通过比特币和匿名网络进行支付，极难追踪，而且极有可能是在黑色产业链下。 组织行为。

电脑中毒页面截图

勒索病毒是2013年才开始出现的新型病毒，从2016年开始，该病毒进入爆发期。 截至目前，已有100多种勒索病毒通过这种行为模式获利。 例如，去年，CryptoWall 病毒家族的一个变种收到了 23 亿的赎金。 近年来，苹果电脑、安卓和iPhone手机上也出现了不同类型的勒索软件。

虽然现在还没有找到肇事者，但他们使用的工具明显指向一个组织——NSA。

这个机构又称国家特工局，隶属于美国国防部，是美国政府机构中最大的情报部门。 它负责收集和分析国内外通信数据。 黑客使用的“永恒之蓝”是美国国家安全局针对微软MS17-010漏洞开发的网络武器。

病毒利用445端口漏洞潜入计算机

事情是这样的：NSA本身就掌握着大量发达的网络武器，但在2013年6月，“永恒之蓝”等十多件武器被黑客组织“暗影破坏者”（Shadow Breakers）窃取。

今年3月，微软已经发布了针对该漏洞的补丁，但一是因为部分用户没有及时打补丁的习惯，二是全球仍有不少用户还在使用Windows XP等低版本停止更新服务，无法获取补丁，从而在全球范围内广泛传播。 再加上“蠕虫”不断扫描的特点，很容易在互联网和校园、企业、政府机关的内网进行连续的重复感染。

另一个问题来了：为什么NSA知道微软的漏洞，专门制造了网络武器，然后其中一些武器落入了黑客的手中？

▍国家安全局

实际上，Windows作为操作系统之一，由数亿行代码组成，它们之间的逻辑关系不是一个人能确定的，漏洞很难消除。 而Windows是世界上最常用的操作系统，所以黑客研究漏洞、攻击牟利是“正常”的事情。

但是作为美国的国家安全局，无非是盯上了这个系统的漏洞，而且还专攻武器。 这是什么原因？

事实上，在黑客组织曝光之前，微软自己并不知道该漏洞的存在。 也就是说，只有NSA知道这个漏洞的存在，至于他们知道多久，也只有他们自己知道。

在网络安全专家看来，NSA很可能早就知道这个漏洞，并且利用了很长时间，但这一次却被犯罪团伙利用，造成了如此大的危害。

从这一点可以看出，美国的技术确实很强，在网络安全领域领先于世界； 与此同时，“漏洞”也成为兵家必争的宝贵战略资源。

也就是说，通过网络攻击现实，不再是科幻电影的场景专利安卓比特币钱包，而是已经发生的现实。 不信我给你讲一个真实的故事——

揭露美国政府全球监控“棱镜计划”的斯诺登，是美国国家安全局的前雇员。 他证实的一条消息是，2009年，奥巴马政府下令使用代号为“Stuxnet”的网络攻击武器攻击伊朗的核设施。

原因很复杂。 简而言之，以色列设法让伊朗通过一家马来西亚软件公司购买了带有病毒的离心机控制软件； 2010年，病毒爆发，控制并摧毁了伊朗核设施的离心机，最终对1000多台离心机造成永久性的物理损坏，不得不暂停铀浓缩进程。

这也是历史上首例通过虚拟空间对现实世界进行攻击破坏，达到了以往只有实地军事行动才能达到的效果。 去年，乌克兰的电网系统也遭到黑客攻击，导致数百户家庭断电。

美国国家安全局目前掌握了多少网络武器，这当然是美国的秘密。 但据维基解密称，不仅 NSA 有，CIA 也有。 他们的网络情报中心创造了1000多种计算机病毒和黑客系统——这是斯诺登在2013年确认的数字。

因此，在“永恒之蓝”事件爆发后，《纽约时报》的报道称，“如果证实这起事件是由国家安全局（NSA）泄露的网络武器引起的，那么政府就应该受到指责，因为美国政府让许多医院、企业和其他政府变得脆弱。”

按照美国国家安全局的说法，它的职责应该是“保护美国公民免受攻击”； 他们还指责许多国家对美国进行网络攻击。 但事实恰恰相反。 他们指责的国家都是病毒的受害者，他们用来“防御”的网络武器，却成了黑客手中攻击美国公民的武器。

用国家公共广播电台 (NPR) 的话说，“这次攻击指向了安全领域的一个根本问题，即 NSA 的监视是在保护人们，还是在造成更多不可预见的损害，甚至超出其限度的利益”。

勒索病毒再次证明，NSA等机构拥有攻破全球互联系统的“软件”，培养出更多类似的“木马”来应对各类跟踪破解信息。 “永恒之蓝”只是功绩之一，却能造成如此大的伤害。

犯罪行为的发展实际上与人类科技的发展是同步的。 有了手机，不法分子就会利用手机作案，有了互联网，不法分子就会利用网络犯罪。

▍暗网

这一切都源于互联网另一个非常人可及、需要通过匿名浏览器登录的维度——暗网的存在。

暗网又称深网，是指存储在网络数据库中，无法通过超链接访问，需要通过动态网页技术访问的资源集合。 它们不属于可以被标准搜索引擎索引的表面网络。

互联网的另一个世界——暗网

知名安全公司火绒联合创始人马刚提供的调查报告显示，频发的勒索事件背后，依托的是一条完整的病毒制造、代码混淆（对抗）、传播和传播的黑色生态链。最终实现。 随着病毒制作门槛的降低，代码对抗和混淆技术的成熟，病毒传播方式的丰富，货币化模式（比特币）的“优化”，可以预见勒索病毒会越来越多在将来。

“勒索病毒在2014年大规模爆发，未来还会持续很长一段时间，原因是黑市会继续发展勒索病毒。” 《勒索终结者》作者、福建评石科技创始人倪茂志说。

2016年，全国至少有497万台计算机被勒索病毒攻击，勒索病毒作为新型网络犯罪的新生力量已经猖獗。 2016年，中国仅通过网页链接（URL）传播的勒索病毒数量增长了60多倍，迅速成为勒索病毒感染最严重的10个国家之一。

一般来说，在互联网上，我们可以通过百度、谷歌搜索引擎搜索热点新闻、各大公司的一些数据等，但这些只占网络信息的5%到20%。 其余的网络内容是搜索引擎搜索不到的，它们是网络中的“暗网”。

据统计，每天约有250万访问者访问暗网。 几乎任何你能想到的东西都可以在上面出售。 你可以找到假的欧盟和美国护照，各种毒品，甚至名人的裸照等等。

暗网上的大型勒索软件交易

在病毒交易、邮件传播等​​方面日趋成熟的暗网，已经形成了包括制作、传播、交付赎金在内的一整套黑色产业链。 不同身份的黑客在这个链条上协同工作，交换资源和数据。

很多网络专家都对暗网进行过调查，他们判断暗网上有很多活跃的黑客社区，而且没有一个是开放的。 您必须收到加入讨论组的邀请。 通常情况下，这些黑客组织的主要攻击领域也有细分，例如，对社交媒体的攻击、数据窃取、恶意软件和漏洞攻击，以及“即跑即打”攻击（即DDoS攻击、入侵网站等）。 ).

从上游的角度来看，即使你不会编写程序，也会有人出售勒索软件程序模块，并提供给任何人竞标。 购买它们的用户只需稍作修改即可制作勒索软件的变体。 对于付钱的“顾客”，黑市上也有各种辅导培训服务。

这些培训教会犯罪分子如何窃取企业的信用卡数据、窃取利用准备信息、进行垃圾邮件和网络钓鱼活动，或组织 DDos 攻击。 “这些教程不仅会解释什么是基本的加密程序，什么是远程访问木马（RAD），什么是漏洞利用工具，还会解释这些工具的使用方法，常用的工具有哪些，价格是多少。 “

▍比特币

勒索软件最终形成了完整的黑色产业链中的另一个重要环节，那就是赎金的交付。 可以说，比特币的出现加速了勒索软件的传播。

用比特币收钱，不需要去金融机构实名开户，也不需要通过任何第三方机构，比如大家说的第三方支付目前用的最多，都不是必须的。 要使用比特币收款，您只需下载并注册一个独立的比特币钱包。

比特币是勒索软件交易的重要组成部分

今年以来，比特币交易价格一路飙升。 5月10日，国内比特币价格暴涨至10000元，2小时内最高涨幅达5%，创国内比特币历史新高。 海外比特币报价一度触及1700美元，约合人民币11737元，涨幅达70%。

比特币是一种点对点网络支付系统和虚拟定价工具，俗称数字货币。 比特币的一个很重要的特点就是它的使用者是匿名的，很难通过比特币的支付地址追查到对应的拥有者。 因此，很多地下交易商慢慢开始使用比特币来接收支付，这样不仅可以通过互联网在全球范围内进行支付，也避免了安全人员追踪支付地址的线索。

比特币的每一笔交易都记录在p2p全网的数据节点中。 只要地址公开了，身份也就公开了。 然而，只要将比特币充入交易平台、赌场和在线钱包，这条链就会被打乱。

为打通这条链条，相关平台必须提供现场数据、数据库记录等，这样每增加一个流程，都增加了记录核对的难度。 环游世界，恐怕只有联合国牵头的国际合作才能一探究竟。

举个例子：你成功黑进了某个网站，然后卖掉了网站数据库，赚了100个比特币。

然后，充值到-某欧洲交易平台，再转账到-某亚洲交易平台-某南美比特币赌场-当地比特币钱包-某美国交易平台。 最后——切换回国内平台。

这是多年来最大的网络安全事件

当最后一步完成后，从国内交易平台来看，只是一个充值了100个比特币的陌生地址，来源完全不明。 正如一些媒体的结论是：比特币的价值不是凭空吹出来的泡沫，而是有全球黑产支撑的！

在比特币的加持下，勒索病毒在网络世界大行其道，并呈现出如此爆发式的增长。

比特币助长了勒索软件的繁荣

▍警告

首先，NSA当然应该反思，虽然他们还没有出来回应。 但更值得反思的是一个必不可少的话题：网络安全到底掌握在谁的手中？

就这一次而言，美国政府内部的决策过程更值得诟病。 它有一个流程，简称VEP（Vulnerability Equity Process）。 它的用途是当NSA或其他美国政府部门发现软件漏洞时，必须经过这个过程来决定是否公开漏洞。

如果漏洞被公开，微软等厂商很容易打补丁，漏洞就会消失； 如果漏洞不被披露，这些政府部门可以保留它们用于“执法、情报收集或其他‘进攻性’用途”。 虽然既不是法律也不是总统命令，但奥巴马政府创建的程序自 2008 年以来一直在实施。

在美国以外的其他国家民众看来，这个过程显然是有问题的：这个过程几乎可以称为“黑匣子”。 不必要地暴露于风险之中。

对此，微软总裁布拉德·史密斯也在其博客中愤怒表示，“如果这些政府部门继续躲在暗处挖全球计算机系统的漏洞，然后制造所谓的‘武器库’来攻击其他国家”国家或‘企业’，那么你们就是网络犯罪的帮凶！”

从这个意义上说，习总书记多次说“没有网络安全就没有国家安全”，说的一点没错。 试想，这一次病毒还在可控范围内，万一下次网络攻击更大、目标更明确怎么办？

站在中国的角度，在大多数人的印象中，上一次如此规模的病毒爆发，大概还要追溯到十多年前的“熊猫烧香”。 而像这次的病毒，很少会面临一旦被坑，自己的重要数据被“绑架”的严重情况，几乎没有解决办法。

从各地的反应来看，对网络安全的重视程度明显不同。 国家网信部门，以及上海、北京等省市几乎13日就发布了紧急通知； 15日上午发生的感染人数中西部省份较高。

也有业内专家指出，在政府、企事业单位、校园等机构，很多领导对网络安全的概念还停留在“电脑中毒找人杀毒”的地步，很多还感觉“有了内网的物理隔离就可以了”，理念和防护措施相当落后。

最后，需要反映的是，很多人的注意力停留在比特币上，而不是更深层次的问题。 此次勒索病毒大规模爆发的时机十分诡异，因为比特币市场目前正经历着一件大事。 美国证券交易所（SEC）正在重申比特币ETF基金，SEC将很快公布审核结果。 如果比特币ETF基金一旦获批，比特币将正式进入主流金融市场，其在美国的合法地位将更进一步。

从全球货币竞争的角度来看，未来能够与美元竞争的货币一定是一种新型货币，而不是另一种主权货币。 比特币从几毛钱涨到一万多元，充分说明它逐渐被认可为一种新的货币形态，对美元构成战略威胁。

在事情结束之前，已经有足够多的问题和冲击。 这就像一起公共卫生事件。 通常对安全的重视程度和组织程度决定了瘟疫可以传播的程度。 不得不说，这是一堂非常生动深刻的网络安全教育课。 毕竟，今天我们的个人信息、资产、资料等越来越多地与计算机和网络连接，而且这个过程是不可逆转的。