一場互聯網領域的“生化危機”正在全球上演。令人不安的情況仍在繼續：WannaCry病毒還在擴張自己的領地。

這大概是世界上成名最快的一款互聯網程序，從5月12日開始，在短短24小時內，由于罕見的傳播速度以及嚴重的破壞性，勒索病毒WannaCry已經成為全球關注的焦點。

型號：5AGTFC7H3F35I3N

產家：ALTERA

封裝：BGA

備注：代理旗下分銷產品原裝正品！價格優勢！

深圳市毅創騰電子科技有限公司

電話:(86)-755-83210909 83616256 83210801 83213361

企業QQ: 2355507165 / 2355507163

2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發，感染了大量的計算機，該蠕蟲感染計算機后會向計算機中植入敲詐者病毒，導致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元（約合人民幣2069元）的比特幣才可解鎖。目前已經波及99個國家。

在WannaCry攻城拔寨的傳播過程中，5月13日晚間，由一名英國研究員于無意間發現的WannaCry隱藏開關（Kill Switch）域名，意外的遏制了病毒的進一步大規模擴散。

獲知此消息的云縱首席科學家及研發副總裁鄭昀忍不住在微博感嘆，“這個事件從頭到尾都像是一部電影，開始的離奇，結束的詭異。”

但事情遠未結束，現實證明Kill Switch的發現只是一個插曲。

5月14日，在停止開關被發現18小時后，國家網絡與信息安全信息通報中心發布新變種預警：WannaCry 2.0即將來臨；與之前版本的不同是，這個變種取消了Kill Switch，不能通過注冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

截至14日10時30分，國家互聯網應急中心已監測到約242.3萬個IP地址遭受“永恒之藍”漏洞攻擊；被該勒索軟件感染的IP地址數量近3.5萬個，其中中國境內IP約1.8萬個。

型號：5AGTFC7H3F35I3N

產家：ALTERA

封裝：BGA

備注：代理旗下分銷產品原裝正品！價格優勢！

深圳市毅創騰電子科技有限公司

電話:(86)-755-83210909 83616256 83210801 83213361

企業QQ: 2355507165 / 2355507163

同時，由于WannaCry大規模爆發于北京時間上周五晚8點，國內還有大量政企機構網絡節點尚在關機狀態。因此，今日周一開機已經是一場安全考驗。

新的危險正在步步逼近，而人們目前對WannaCry病毒本身所知依然有限。

神秘謎團

WannaCry的傳播路徑是個謎團，互聯網安全廠商們仍無法確切還原。

病毒最先在英國大規模爆發，影響范圍波及醫療體系，一些手術被迫中止。國內，在病毒感染數據達到被監測機構注意到的閾值之前，首先讓外界注意到這一病毒的，是國內社交網絡上不少大學生反映學校網絡故障的言論。

5月12日，多個高校發布了關于連接校園網的電腦大面積中勒索病毒的消息，一位來自桂林科技大學的同學對騰訊科技證實，該校某創新實驗基地幾百臺電腦由于受到勒索病毒的攻擊，已經陷入癱瘓。

感染范圍很快從校園網蔓延出去，根據統計，國內包括校園網用戶、機場、銀行、加油站、醫院、警察、出入境等事業單位都受到了攻擊并且中毒。

騰訊安全團隊在溯源中發現，病毒爆發是在校園網用戶里，但從哪開始不詳。獵豹移動安全專家李鐵軍(微博)則表示，病毒的來源和傳播路徑目前沒有結論，什么時間潛伏進內網的，都需要更多研究來分析。

好消息一度在病毒大肆傳播24小時后傳出，12日晚間8點多，有消息稱WannaCry被互聯網安全人員找到阻止其傳播的方法，這一消息隨后得到國內多家安全廠商的證實。

被意外發現的Kill Switch同樣是個謎團。

沒人能回答病毒作者因何為WannaCry設置了停止開關，安全專家們只能給出如下推測：可能是編碼錯誤，也可能是作者沒想到；可能源于作者擔心病毒無何止傳播。總之，沒有定論。

Kill Switch是WannaCry眾多謎團中的一個，同樣讓人感到困惑的，還有WannaCry的勒索行為本身。

病毒被傳播后，繳納贖金的人數在持續增長，根據騰訊安全團隊提供的數據，截至5月13日晚間，全球共有90人交了贖金，總計13.895比特幣，價值超過14萬，到了5月14日下午四點半，繳納贖金的人數增長至116人。

盡管目前安全專家們仍未找到解密病毒感染文件的方法，但互聯網安全專家們堅持建議受感染用戶不要繳納贖金。

原因在于，“WannaCry的勒索行為似乎無法構成一個完整的業務回路，”反病毒引擎和解決方案廠商安天實驗室創始人、首席技術架構師肖新光介紹，在繳納贖金解密文件這個問題上，“我們的判斷和網上的傳聞（繳納贖金成功解密）有出入，即支付了贖金也無法解密。因為每個用戶都是個性化的密鑰，意味著受害人需要向攻擊者提供標識身份的信息。”

而實際上受害者在繳納贖金的過程中無法提供標識身份的信息，因此，這意味著即使受害者交了贖金，依然無法獲得解密。

型號：5AGTFC7H3F35I3N

產家：ALTERA

封裝：BGA

備注：代理旗下分銷產品原裝正品！價格優勢！

深圳市毅創騰電子科技有限公司

電話:(86)-755-83210909 83616256 83210801 83213361

企業QQ: 2355507165 / 2355507163

對于這種情況，肖新光分析原因可能在于“我們的分析過程中不夠縝密”。但騰訊安全團隊得出了同樣的結論：經驗證，交錢的過程，作者并沒有核實受害者的邏輯，只是收了錢，并沒有幫忙解密。這顯然并非巧合。

肖新光給出另外兩種可能的推測：“或者可能是作者根本就沒有想解密；還有一種可能是，這是事件本身不是以勒索為目的，而是以勒索者的表現達到其他目的。”

一個謎團接著另一個謎團，解開它們是戰勝WannaCry的關鍵。

互聯網“生化危機”

戲劇般的場景正在由0和1組成的二進制世界中發生，離奇程度堪比電影。

WannaCry來勢洶洶，可能會成為有史以來危害最大的蠕蟲病毒。騰訊安全團隊將WannaCry的傳播方式和影響力與此前聲名大噪的“沖擊波”、“Conficker”對等。

沖擊波病毒（W32.Blaster.Worm）是利用在2003年7月21日公布的RPC漏洞進行傳播的，該病毒于當年8月爆發，由于沖擊波病毒肆虐全球，部分運營商在主干網絡上封禁了445端口。五年后，Conficker蠕蟲病毒于2008年“襲”卷全球的，當時有近200個國家的至少900萬臺電腦被感染。

Conficker爆發后近十年的平靜隨著WannaCry的發作被打破，騰訊安全團隊介紹，WannaCry與“沖擊波”、“Conficker”不同的地方在于，其危害程度遠超當時的病毒，因為該病毒會加密用戶機器上的所有文檔，損失相當慘重。

幾乎所有互聯網安全團隊們都在通宵加班，病毒傳播速度非常快，安全專家們必須爭取時間。

WannaCry的作者看上去野心勃勃，據了解，其設置了27國語言，這并不常見。

肖新光介紹，最早的勒索者就用英文版，后來逐漸的擴散到不同的國家，為了獲得更大的收益，從語言包的數量上對勒索軟件來說是比較多的，是一個漸進的過程。

但27種語言仍舊是不同尋常的。李鐵軍對騰訊科技介紹，很長時間以來，勒索病毒都支持多國語言，但一般的勒索病毒支持的語言為6、7種，大部分在10種以內，“這個版本支持的語言真多。”

中文版本中，WannaCry 以流暢的表述威脅著中毒用戶：“對半年以上沒錢付款的窮人，會有活動免費恢復，能否輪到你，就要看您的運氣怎么樣了。”對于中文解析流暢是否意味著病毒作者可能來自中國的猜測，安全專家們分析WannaCry有可能是團隊作案，團隊成員可能遍布不同國家。據騰訊安全團隊介紹，目前來看受WannaCry危害最大的應是俄羅斯。

WannaCry的實際傳播情況確實沒有辜負其精心準備的27種語言，目前，已經有近百個國家遭遇病毒攻擊。

蠕蟲病毒的特性是WannaCry得以迅速傳播的重要原因，與其他病毒相比，蠕蟲病毒的傳播速度要快太多，因為病毒自身可以尋找傳播下一個可攻擊的目標。

WannaCry得以獲得如此快速傳播的另一個重要原因在于，采用了前不久美國國家安全局NSA被泄漏出來的MS17-010漏洞。

在肖新光看來，WannaCry得以產生如此傳播效果的主要原因在于“使用了一個較新的對多個Windows版本有通吃能力的遠程溢出漏洞，這一漏洞本來是情報機構高度隱秘網絡軍火，但因失竊流失導致被多方利用。”

因此，肖新光對WannaCry事件的定義是“軍火級的漏洞被以非受控的方式使用。”

型號：5AGTFC7H3F35I3N

產家：ALTERA

封裝：BGA

備注：代理旗下分銷產品原裝正品！價格優勢！

深圳市毅創騰電子科技有限公司

電話:(86)-755-83210909 83616256 83210801 83213361

企業QQ: 2355507165 / 2355507163

美國國家情報機關的涉入讓WannaCry變得更加復雜，國家權力機關的涉入已經引發外界對網絡安全的擔憂，逃亡至俄羅斯的NSA前雇員愛德華·斯諾登5月13日發布推特建議國會質詢NSA，“鑒于今日的攻擊，國會需要質詢@NSAgov，看它是否還知道我們醫院所使用的軟件中還有其他漏洞。”

沒有人希望電影生化危機中由部分決策機構私利驅動造成的災難在互聯網世界重復上演。

貓鼠游戲

WannaCry具備了一款超級病毒應有的特點：神秘、快速以及嚴重的破壞。終止這場貓鼠游戲是網絡安全專家們的共同目標。

“估計全球安全人員都想把病毒作者扒出來。”李鐵軍對騰訊科技說道。

采集樣本、進行分析、形成對策建議是安全團隊們的基本應對模式。

騰訊安全團隊在5月12日下午2點多感知到這波蠕蟲病毒、晚上開始爆發后，第一時間對敲詐者病毒進行了攔截防御、對漏洞進行了防御，同時引導用戶去打補丁、關閉高危端口（445端口等），并推出了“文檔守護者”產品；5月14日推出了針對易感的企業客戶推出了一個電腦管家“管理員助手”診斷工具。

監測到WannaCry病毒發作的當天即5月12日晚間八點，安天實驗室立刻啟動了A級即最高級災難響應，此前的同級別病毒或安全疫情有紅色代碼、震蕩波、沖擊波、破殼等。

啟動了A級災難響應后，安天實驗室首先派出一部分人員去現場采集病毒樣本、觀測主機和網絡現象，涉及十個不同的行業，因需保護客戶隱私，安天實驗室未透露中毒的具體企業名稱。

情況顯然相當嚴重，實際上，并非每一次病毒爆發都需要實驗室研發人員前往現場采集樣本，肖新光介紹，上一次出現大面積類似操作的針對IoT僵尸網絡進行的取證分析。而研發人員現場采集回來的樣本接近30個，包含母體和釋放的文件。