揭秘 | WannaCry勒索病毒“变种”来袭及后续真相（图）- 大数跨境

物联网安全号

2017-05-16

导读：在过去的两天时间里，关于WannaCry勒索病毒的报道铺天盖地。据欧盟刑警组织负责人温赖特昨天表示，这

编者按

在过去的两天时间里，关于WannaCry勒索病毒的报道铺天盖地。据欧盟刑警组织负责人温赖特昨天表示，这次勒索软件网络袭击目前已经波及150多个国家的10万多家机构，至少20万人受害，导致大量政府机构和企业的业务瘫痪，未来还可能进一步升级。国家网络与信息安全信息通报中心前天（14日）发出紧急通报称，据监测发现，近日在全球范围内爆发的名为“WannaCry”的勒索病毒开始出现了变种，也就是它的2.0版本。

5月14日，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。希望广大网民尽快升级安装Windows操作系统相关补丁，对于已感染病毒的机器请立即断网，避免进一步传播感染。

北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出，有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

第一波“永恒之蓝”如何被关闭的？

“永恒之蓝”第一波虽然来势凶猛，但发展速度很快就缓解下来。原来是一位英国网络安全人员无意中阻止了第一波的发展势头。和许多安全人员一样对病毒代码进行了分析，他发现在代码的一开始，有一个特殊的域名地址（ www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com），完全不像一个正常的域名。

与此同时，地球另一端思科的网络安全人员也发现了这个域名。通过分析，他们发现，在之前网络上完全没有针对这个域名的访问，而从勒索病毒爆发开始，这个域名的访问量激增，峰值达到了每小时1400多次。

发现这个域名之后，这位英国网络安全人员照例进行了搜索，发现那个域名地址并没有被注册，出于职业习惯，他花了一点小钱就这个域名进行了注册。在注册成功后，他发现这个域名几乎连接到了世界各个国家的电脑。当时，他自己不知道发生了什么事，只知道这个域名不简单。事后才发现，他当时随意的注册，简直立了大功！

因为后来，随着对病毒代码的进一步分析，安全人员发现，这个域名看起来像是病毒作者给自己留的一个紧急停止开关（防止事情失去他自己的控制）。

在代码里，安全人员找到了一段代码。这段代码的逻辑是这样写的：

访问这个域名

如果这个域名存在

那么退出一切

反之如果这个域名不存在

那么开始继续攻击...

也就是说，每一个感染了病毒的机器，在发作之前都会事先访问一下这个域名，如果这个域名依旧不存在，那就继续传播，如果已经被人注册了，无论是被病毒作者本人还是被其他人，那就停止传播。

就是这个简单的域名，经英国那位网络安全人员不经意间的注册，就触发了病毒作者留给自己的紧急停止的开关……

事后，这位安全人员在Twitter上自嘲道：“我坦白，在我注册这个域名之前，完全不知道他能停止这次病毒的传播，这发现完全意外……所以以后我简历上大概可以加一句 ‘ 一不小心阻止了一场全球性的网络攻击...'”

后来，这位安全人员通过连接该域名的世界各地电脑开发出了一个攻击地图。该地图上的每一个蓝点，不止代表着一台被感染了病毒的机器，它还代表着这是一台访问了该安全人员注册的域名，决定停止继续攻击的其他电脑的机器。

“永恒之蓝”为何如此利害？

据英国金融时报报道，该病毒的发行者利用了去年被盗的美国国家安全局（NSA）自主设计的 Windows系统黑客工具 Eternal Blue，把今年2月的一款勒索病毒进行升级后之后就成了WannaCry。

今年4月14日，一个名为“影子中间人”的黑客组织曾经进入美国国家安全局(NSA)网络，曝光了该局一批档案文件，同时公开了该局旗下的“方程式黑客组织”使用的部分网络武器。

实际上早在去年，“影子中间人”就已经窃取了美国国家安全局的网络武器。2016年8月13日，黑客组织“影子中间人”通过社交平台称，已攻入美国国家安全局(NSA)的网络“武器库”——“方程式组织”，并泄露了其中部分黑客工具和数据。

据CNN报道，该黑客组织曾经尝试在网络上出售这批网络武器，但是未能成功。据报道，该黑客组织曾经宣称如果他们收到100万个比特币(总价值约为5.68亿美元)，就会公布所有工具和数据。

据媒体报道，“方程式组织”开发机构实际上与美国国家安全局关系密切，是一个该局可能“不愿承认的”部门，这在黑客圈几乎是尽人皆知的秘密。“方程式组织”的开发机构已经活跃近20年，是全球技术“最牛”的黑客组织。

当前多数病毒需要诱导用户主动点击附有病毒攻击代码的附件或者相关木马链接才能中招，WannaCry病毒的可怕之处是，它无需用户做任何操作，就可以在同一个网络的计算机之间传播并且进行复制，形成链条式的传播扩散。但事实上，根据当前多数安全专家的观点是，被病毒加密的文档基本不可恢复，无论交不交赎金。除非你拿到病毒加密的密钥，但这基本是不可能的。

而我们也有必要了解下美国国家安全局(NSA)，据说NSA旗下的“方程式黑客组织”使用的网络武器有十款工具最容易影响Windows个人用户，包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。

这其中的网络武器，包括可以远程攻破全球约70%Windows机器的漏洞利用工具。这次事件是美国国家安全局(NSA)黑客武器库泄露出来的永恒之蓝实现的，实现方法是加密重要文件，这个加密算法以目前的科技水平基本上没法破解。无需任何操作，只要联网就可以入侵电脑，瞬间血洗互联网。

那么这次只是黑客无意间拿到了NSA其中的一款工具——永恒之蓝牛刀小试，就已经血洗全球互联网。这无疑在告诉大家，全世界的电脑这么多年其实一直都在裸奔，直到这次黑客终于把这些黑客工具从美国国家安全局（NSA）偷了出来加以利用，人们终于意识到了这种裸奔的风险。

那么如果没有这次黑客的行动，我们是否可以认为，人们的网络安全其实也是被捏在NAS手里？只不过，人们愿意相信，NAS是不作恶的。

但这依然无法回避的一个事实是，许多大规模杀伤性网络武器事实上是掌握在NAS手里，因为全球PC互联网基本上都在Windows操作系统的覆盖之下，手握大量漏洞攻击工具的NAS它如果要作恶，全球的互联网安全会是多么脆弱？

“永恒之蓝”带来的思考

这次中招的用户均为 Windows 用户，很多都是使用 Windows 7 的用户，尽管其它操作系统如 Mac OS、Android、iOS 均未中招，但我们依然可以看到系统层面的漏洞病毒攻击波及范围往往是全球性的。

这次事件是一个警醒，也提醒国内的互联网巨头甚至国家安全机构自主操作系统的重要性。有网友提到，如类似漏洞在战时被利用，破坏力无疑相当于在敌国首都扔一颗核弹。

众所周知，当前从桌面到移动端，所有的操作系统巨头都掌握在硅谷巨头手里，在一个日渐信息化的世界里，未来各国之间爆发网络战的可能性也并非为0。然而，在操作系统受制于人的情况下，拥有全球性自主操作系统权限的一方若发动信息网络战，其攻击力与杀伤力事实上是远大于传统战争。

目前国内的操作系统尽管有麒麟、红旗等开源的桌面操作系统，但开源系统因为内核是别人的，也没做过架构上面或者某些方面特殊的优化，所以并不是完全自主的操作系统。而国产操作系统起步比较晚，而且建立一个完整的软硬件融合的生态系统并不是一朝一夕之功，周期太长，设计、研发、资源、技术上要投入大量的人力，况且一个新的操作系统没有应用软件生态来支撑，是没有价值与意义的。

总的来说，这次病毒事件可能是一次警醒，对于用户来说，定时备份重要文件与资料或者使用云存储服务存储资料的重要性。同时也提醒国内在互联网操作系统方面的政策顶层设计层面要有一定的长远战略规划，尤其是要关注国家重要机构、公共安全、医疗机构与机密单位的网络安全与自主操作系统的建设与推进，也需要在顶层政策方面整合各方资源，为国产操作系统做些准备与考虑，避免在特殊极端情况下受制于人。