蜜04 勒索病毒啟示錄

本文首發於個人公眾號：《蜜04 勒索病毒啟示錄》

一種名叫「永恆之藍」的電腦病毒正在肆虐，它將硬碟里的文件加密，讓你無法讀取，除非支付贖金解鎖。很多用戶關閉了自動更新，錯失防範良機，最終釀成大量計算機癱瘓的悲劇。其實，保持人體健康也有相似之處...

↑勒索病毒，Hacker新聞網

輪大@互聯網界：這次勒索病毒在國內爆發，你們還好吧？

杏林小草：托您的福，安好??

輪大@互聯網界：教育網不是哀鴻遍野？

杏林小草：??反正我帶的組全用正版Win 10，自動打補丁，普通用戶沒有管理員許可權，並且設置強密碼。

輪大@互聯網界：噗～潔癖！

杏林小草：是啊，當初個個這麼說，現在人人都用充滿感激的眼神看我??

輪大@互聯網界：看來你是做了不少工作，畢竟安全與方便存在矛盾，要說服大家行動起來還是有難度的。

杏林小草：確實如此，幸好我會總結經驗，提高工作技巧。

輪大@互聯網界：比方說呢？

杏林小草：正版Windows不便宜，要求人手一台正版確實肉痛。

後來我想通了，既然我們小組日常工作用的軟體都不吃硬體性能，那就乾脆買二手Windows商務主機。

雖然原廠帶的是Win 7（畢竟上兩代的產品），但是格式化重裝Win 10照樣能夠聯網激活，親測有效。

[ 回復M04，查看蹭微軟福利的方法 ]

輪大@互聯網界：商務用戶是微軟收入的大頭，他們還是很照顧滴...

杏林小草：沒錯，「給過錢你就是大爺」，這話難聽卻是真理。

輪大@互聯網界：我發現你對IT了解還挺多。

杏林小草：電腦是我們這個時代最偉大的發明，不用好它怎麼行？

輪大@互聯網界：有那麼多時間嗎？

杏林小草：融會貫通。

輪大@互聯網界：舉例？

杏林小草：就拿「永恆之藍」來說吧，它通過445埠入侵，這不就是計算機版的「病從口入」嘛！

醫生守護人類健康，預防病原體入侵，其中一種套路也是「封埠」：

↑傳染病的預防，杏林小草

輪大@互聯網界：擦，還真是......

杏林小草：你們有殺毒軟體，我們有免疫系統，而且原理彼此相通：

↑免疫系統和殺毒軟體比較 1，杏林小草

[ 回復M04，揭開圖片所配文字的小瑕疵 ]

輪大@互聯網界：殺毒有好幾種方法，你這個圖只展示了其中一種——利用掃描器識別特徵代碼（signature）。

雖然特徵代碼只是病毒程序的某個小片段，但它可以代表這類病毒的共同特性。因此，某程序出現了這個片段，那它是病毒的可能性極高。

殺毒軟體生產商有專門的團隊搜集世界各地的計算機病毒，分析出這些代碼的共同點，從而提取出特徵代碼。

杏林小草：殺毒軟體只識別病毒代碼的某個小片段，免疫系統也如此，它只識別某個局部結構，這個局部結構就叫抗原表位（epitope）。

提取抗原表位的過程叫做「抗原處理和提呈」（antigen processing and presentation），我們對此很感興趣但是謎團遠未揭開。

↑免疫系統和殺毒軟體比較 2，素材：《自然》雜誌、卡巴斯基實驗室

[ 回復M04，查看Nature原版高清圖 ]

輪大@互聯網界：如果工程師選的特徵代碼不幸跟正常程序的某個片段一樣，這就是誤報。

杏林小草：??各大廠商都出過烏龍，還曾因誤判系統程序導致電腦死機。這應該是所有「以偏概全」的檢測方法必然伴隨的副作用。

免疫系統也不例外——某些病原體的抗原表位跟正常組織一樣，在消滅病原體的同時，免疫系統也開始攻擊正常組織。

輪大@互聯網界：這就是傳說中的「自身免疫性疾病」？

杏林小草：是的，正常情況下免疫系統不會攻擊自身組織，它是怎麼出錯的呢？

病原體與正常組織之間的交叉反應就是其中一種解釋。

輪大@互聯網界：Soga...使用特徵代碼還有一個不足，那就是殺毒軟體必須定期連網更新，否則識別不了新病毒。

杏林小草：我們的情況也類似，只不過抗原表位是免疫系統自己處理的，我們能做的只是把病原體打殘或者打死，做成疫苗交給免疫系統自動處理。

有些病原體比較穩定，打一次疫苗可以管很久，比如麻疹；

有些病原體經常變異，需要定期重新接種，比如流感；

當然，還有很多病原體變異太快，疫苗效果不好，比如HIV。

輪大@互聯網界：計算機病毒也存在變種，甚至還有龐大的地下黑產不停製造新病毒，單用特徵代碼肯定力不從心。

行為監控（behavioral detection）就是新一代的殺毒方法——如果某個程序出現了提升許可權、調用特殊功能等等正常軟體不該做的事情，殺毒軟體就會自動阻止並報警。

杏林小草：我們的免疫系統也有類似功能：

↑免疫系統和殺毒軟體比較 3，杏林小草

杏林小草：MHC Ⅰ類分子相當於細胞版的「朝陽區群眾」——它可以把細胞內部的蛋白質帶到細胞表面，舉報給公安機關（免疫系統）。

感染了病毒的細胞不斷製造病毒的蛋白質，藉助MHC Ⅰ類分子的檢舉揭發，免疫系統得以發現並打擊躲藏在細胞內部的罪犯。

阻止細胞產生MHC Ⅰ類分子，就是病毒躲避免疫系統的眾多手段之一，不少病毒在進化過程中獲得了這種能力。

輪大@互聯網界：所以，阻止MHC Ⅰ類分子就是高危行為？

杏林小草：Exactly！自然殺傷細胞（NK細胞）就是這麼工作的，它專門殺死那些不表達MHC Ⅰ類分子的細胞，這些細胞都是可疑分子。

輪大@互聯網界：融會貫通，我也會??

杏林小草：媒體說「永恆之藍」並不是新鮮病毒，現在這麼火主要是很多人沒有養成良好的用機習慣，是不是這樣？

輪大@互聯網界：對啊，用著萬年不更新的系統，肯定漏洞無窮！

杏林小草：人類疾病也有類似案例。最新鮮熱辣的例子應該是你們美帝的明尼蘇達州：

↑明尼蘇達麻疹大爆發，美國哥倫比亞廣播公司

輪大@互聯網界：麻疹不是有疫苗可以預防的嗎？怎麼會搞成這樣？

杏林小草：當地民眾被反疫苗團體煽動起來抵制接種，本來快要絕跡的麻疹不就死灰復燃起來。

輪大@互聯網界：艹，跟那些忽悠小白關閉自動更新的人一樣壞！

杏林小草：在發達國家，整整一代人沒有實質經歷重大傳染病疫情了，以至於疫苗建立的偉大功勛被他們無視。別有用心的人隨便安個莫須有的罪名就能把民眾煽動起來。

輪大@互聯網界：我剛剛搜索一下，好像反疫苗團體的領袖還表示此次疫情爆發跟他無關。

杏林小草：可憐那些聽信讒言的民眾，不知道自己深處危險之中：

↑麻疹非小事，美國疾控中心

[ 回復M04，查看CDC原版高清圖 ]

輪大@互聯網界：祝他們好運。

杏林小草：能讓大家從其它領域、其它國家的教訓中吸取經驗，也不枉陪你聊到凌晨。

輪大@互聯網界：??忘了我們有12個鐘的時差，晚安！

杏林小草：??

本文綜合多個真實對話，保護當事人隱私已對細節做了無礙基本事實的修改，若有雷同，必屬巧合。

回復"M04"你將看到：本文的更新、如何蹭微軟的福利、圖片文字的小瑕疵、Nature原版高清圖、CDC原版高清圖、加入小蜜群的方法。

推薦閱讀：