勒索病毒「突襲」互聯網，網路安全戰爭就在我們身邊

10年前的2007年，瘦高個的李俊垂著腦袋，一臉懊喪的站在法庭上。在那一年的新聞里，他所製作的病毒「熊貓燒香」被媒體稱作「毒王」。正是這麼一個不起眼的小夥子，讓一隻手握焚香、憨態可掬的熊貓出現在無數電腦的屏幕上，使得億萬用戶叫苦不迭。當年「熊貓燒香」的惡化蔓延並不在李俊的計劃內，在病毒失控的時候，他也及時提供了專殺軟體，才讓這一場沸沸揚揚的「病毒」風波及早收場。

10年後的2017年5月12日，當人們已經遺忘上一次大規模的蠕蟲病毒帶來的「傷痛」時，一款危害大於「熊貓燒香」數倍的病毒「WannaCry」悄然而至。僅12日當天，全球就有99個國家約7.5萬台電腦受到侵蝕，其中包括英國、美國、中國、俄羅斯、西班牙和義大利等國家。感染了勒索病毒的用戶，電腦中數十種類型文件將被惡意加密，只有通過支付高額贖金才能恢復。據全球領先的安全服務提供商360提供的相關數據統計（覆蓋非360用戶），在5月12日至5月13日間，國內共出現29000多個感染「WannaCry 」勒索病毒的IP，感染領域覆蓋教育、商業、交通運輸、政府機關等多個行業，範圍之廣令人咋舌。

5月14日，「WannaCry」已出現感染速度更快、病毒危害更加不可逆的變種「WannaCry 2.0」，且攻擊速度呈快速增長趨勢。

「狼煙」何起？—揭秘勒索病毒起源

其實早在2013年，比特幣風靡的時候，這種新型的病毒模式就早已出現。不法分子通過加密用戶電腦中的文件來勒索高額贖金。由於這些案件多為比特幣勒索，使警方在追蹤過程中遇到了不小的困難。到了2015年，勒索病毒開始進入爆發期，不少黑客組織靠此獲得了上億的不法收入。但當時的勒索病毒仍依靠郵件和掛馬等方式傳播，無法形成全球範圍內的感染。

「WannaCry」明顯具有與以往不同的傳播速度和傳播路徑，而這一切都是一款名為「永恆之藍」的惡意代碼造成的。這款惡意代碼會自動掃描用戶Windows系統下的特定漏洞（微軟對應補丁為MS17-010）,通過開放的445文件共享埠釋放加密程序。也就是說，用戶只要處於聯網環境下且未打MS17-010補丁，就有極大風險被感染。這次肆虐全球的「WannaCry」，就是不法組織利用「永恆之藍」製作的。

「永恆之藍」這麼危險的惡意代碼又是怎麼來的？在去年的8月份，一個名為 「Shadow Brokers（影子經紀人）」 的黑客組織費了老大的勁兒，入侵了另外一個黑客組織「Equation（方程式）」。當時，「Shadow Brokers（影子經紀人）」號稱竊取了大量機密文件，其中就包括「永恆之藍」。而在這個事件中很是受傷的「Equation（方程式）」，就是 NSA（美國國家安全局）下屬的黑客組織，這個組織一直對Windows系統漏洞有著深入的研究。所以，「永恆之藍」並不是什麼誕生於「市井」的「野孩子」，而是美國國家安全局（NSA）專門研發的網路武器。NSA在發現Windows多項埠漏洞後，並未通知微軟進行補救，而是隱瞞下來針對這個漏洞開發出了包括「永恆之藍」在內的一系列攻擊程序。這些網路武器一經「出生」就被用來攻擊特定的政府和企業目標，其中最典型的例子，就是NSA曾利用「永恆之藍」控制了幾乎整個中東的銀行和金融機構。

此後，「Shadow Brokers（影子經紀人）」把竊取到的攻擊代碼一部分開放下載，一部分公開出售，標價100萬比特幣，按行情來計算，高達100億人民幣。這些惡意代碼工具的流通，開始讓整個互聯網陷入巨大的風險中。此次「WannaCry」勒索病毒的肆虐，就是這些網路武器釀下的「惡果」。

「坐以待斃」還是「奮起抗爭」？—360「亮劍」受稱讚

2016年11月16日，世界互聯網大會火熱開幕。作為中國最大的互聯網安全公司，彼時的360已經完成私有化。在會上，當被問及360回歸的相關事宜時，360董事長周鴻禕坦言，「網路安全公司一定要和國家利益保持一致。回歸中國能讓360更好地投入到國家網路安全建設中。」響應國家號召，成為360決心「回歸」的不二動力。

僅僅在半年後，當「WannaCry」開始「血洗」互聯網的時候，360不負眾望的站了出來。5月12日下午3時，當「WannaCry」剛露苗頭時，360就領先絕大多數安全廠商公布了該病毒，並預測到它會利用NSA「永恆之藍」黑客武器大規模傳播。次日微軟推出針對舊系統的專項補丁，360進行了推送。之後，360還針對研究中發現的病毒「漏洞」，發現被感染文件的恢復可能，並在5月14日凌晨於全球首發了勒索病毒文件恢復工具，搶救用戶被加密勒索的文件。此外，針對「WannaCry」一聯網就感染的特點，360還開發出離線救災包，使用戶在斷網環境下一鍵解決勒索病毒「WannaCry」免疫和防護的問題。經過72小時的緊急處理，在以360為代表的安全行業努力下，終於將「WannaCry」的猖狂勢頭遏制了下來。

此次事件中，360極其迅速的反應，歸功於其長期在病毒監控和防禦領域的積累和探索。4月14日，當黑客組織「Shadow Brokers（影子經紀人）」公開放出「永恆之藍」攻擊程序的時候，360迅速在次日發布了漏洞預警、蠕蟲預警和獨家免疫工具。並且在4月27日，360還首次監測到「永恆之藍」用於傳播勒索病毒「洋蔥」。這一系列具有極強前瞻性的行為，正體現了360在行業內深厚的技術積累和強烈的網路安全責任感。在此次網路大災難中，尤為值得一提的是，國內5億360的用戶在勒索病毒的攻擊下並未受到影響，這完全是360安全衛士多重保護防禦措施的功勞。

此外，這次360能在第一時間首發多項專殺軟體和防護措施，還有賴於其內部全球頂級的漏洞研究和防禦團隊。這支擁有深厚技術積累的精銳部隊，對系統和應用軟體漏洞有著深入和獨到的研究和技術能力，曾獲得攻防世界「奧林匹克」的總冠軍，並多次受到微軟、Adobe、蘋果、谷歌等巨頭的認可和致謝。

此次事件，360贏得了廣大人民群眾的認可和稱讚。這次全球性的網路攻擊，再次凸顯了網路安全領域需要更多能力型的安全廠商，需要能夠真真正正的站在一線解決問題的企業。子超認為這次事件也讓我們對安全有了更深的認知，內網的安全其實也需要更多的關注。未來的IOT時代，數據更為重要，尤其是關聯性的大數據，手機的安全問題要比PC更為重要。未來真正能夠做好安全的企業，也一定是更具有社會責任感的企業。

推薦閱讀：