剛剛過(guò)去的一個(gè)周末是對互聯(lián)網(wǎng)安全從業(yè)者的一場(chǎng)大考。

安全從業(yè)者像是在和病毒的始作俑者玩一場(chǎng)“貓和老鼠”的游戲。勒索病毒攻城掠地，襲擊一個(gè)又一個(gè)國家地區，感染醫院、學(xué)校、警察局，甚至連邊檢站也遭到毒手;安全人員像救火一樣研究病毒樣本、提醒用戶(hù)盡快修補漏洞，試圖止住蔓延的趨勢，降低用戶(hù)損失。

情況剛剛好一點(diǎn)的時(shí)候，網(wǎng)上又有關(guān)于勒索病毒2.0版本的消息出現，用戶(hù)“心又提到了嗓子眼”，在這場(chǎng)與勒索病毒的攻防戰中，不少安全人員都徹夜未眠。病毒已經(jīng)可以達到“載入史冊”的量級了，他們的故事同樣值得被記錄。

D1：病毒來(lái)了

從5月12日周五晚發(fā)現勒索病毒開(kāi)始，360安全監測與響應中心負責人趙晉龍就幾乎沒(méi)有合過(guò)眼。

周五晚上，趙晉龍就陸續在論壇上看到有學(xué)校學(xué)生的電腦感染了某種蠕蟲(chóng)病毒，通過(guò)Windows系統的445端口，感染用戶(hù)數據，勒索比特幣。趙晉龍放下困意，起來(lái)開(kāi)始搜集信息，職業(yè)本能告訴他，這場(chǎng)病毒來(lái)頭不小。

凌晨1點(diǎn)半，同事打電話(huà)來(lái)，說(shuō)那邊出事兒了。對方是超大型企業(yè)，同事的電話(huà)堅定了趙晉龍的判斷，這是個(gè)很大的事情，得馬上搞定。

當時(shí)市面上還沒(méi)有任何報道，能做出判斷的原因有兩點(diǎn)：第一，在安全界，蠕蟲(chóng)和勒索病毒是兩個(gè)最大的混蛋。蠕蟲(chóng)會(huì )自我復制、傳播性強，現在有些老蠕蟲(chóng)即使沒(méi)有危害了，但依然在活動(dòng)，一旦發(fā)現就像牛皮蘚一樣難以根除;勒索病毒是這幾年的新興事物，在業(yè)界被稱(chēng)為“數字綁票”，破壞用戶(hù)數據，給掛一個(gè)鬧鐘倒計時(shí)，簡(jiǎn)單粗暴。

現在，這兩個(gè)最大的混蛋聚在一起，簡(jiǎn)直是暴亂。

判斷過(guò)后，客戶(hù)的問(wèn)題是當務(wù)之急。由于趙晉龍的團隊偏后端，在凌晨1點(diǎn)半時(shí)，就有同事趕往“現場(chǎng)”了，他們必須第一時(shí)間出現在客戶(hù)辦公室。

去現場(chǎng)的路上，作為負責人的趙晉龍順帶叫醒了幾個(gè)主力同事。安全團隊的同事有個(gè)習慣，睡覺(jué)不關(guān)機、也不靜音，24小時(shí)隨時(shí)stand by。

周六凌晨3點(diǎn)左右，在客戶(hù)那里，趙晉龍的團隊拿到了病毒樣本。在另一頭，360企業(yè)安全集團總裁吳云坤成立了一個(gè)臨時(shí)的指揮中心，一部分人趕到辦公室、另一部分先在線(xiàn)上辦公、遠程協(xié)助。

爭分奪秒。凌晨4點(diǎn)多時(shí)，360已經(jīng)給出了用戶(hù)材料和簡(jiǎn)單的措施建議。比如，這么大樣本量怎么能抑制住它的傳播?怎么能保證主機不被它控制?已經(jīng)中毒的怎么清理?怎么恢復核心業(yè)務(wù)?

結合用戶(hù)提出的具體問(wèn)題，在凌晨5點(diǎn)左右，整個(gè)團隊拿出了一個(gè)可落地的執行方案。同時(shí)，一個(gè)臨時(shí)的免疫工具出臺。8點(diǎn)左右，官網(wǎng)信息發(fā)布。

據360企業(yè)安全集團總裁吳云坤介紹：“截至15日上午9點(diǎn)，360推送給政企客戶(hù)的預警通告更新了8個(gè)版本，提供了7個(gè)修復指南，6個(gè)修復工具。出動(dòng)近千人，提供上萬(wàn)次的上門(mén)支持服務(wù)，超兩萬(wàn)多次電話(huà)支持服務(wù)，我們還制作了5000多個(gè)U盤(pán)和光盤(pán)發(fā)放到客戶(hù)上手上，手把手教會(huì )客戶(hù)修復電腦，配置網(wǎng)絡(luò )。”

一些大型企業(yè)也在第一時(shí)間重視了該病毒，避免了周一上班時(shí)的大規模感染。之前大家擔心，周一上班，將會(huì )迎來(lái)電腦開(kāi)機高峰，如果沒(méi)有做好預警和安全措施，后果不可想象。

好在各地的配合也都高效積極。某銀行在上周六上午六點(diǎn)半就建立了響應群，將免疫工具下發(fā)，八點(diǎn)半部署全國防護策略，從網(wǎng)絡(luò )、服務(wù)器、終端360度無(wú)死角，到5月15日早晨十點(diǎn)半，全行無(wú)一例感染;南寧市網(wǎng)信辦聯(lián)合發(fā)改委信息中心、南寧公安局網(wǎng)安支隊在13日下午召開(kāi)緊急會(huì )議，由網(wǎng)安支隊提供360的第七套解決方案，并由網(wǎng)安支隊刻了600張光盤(pán)，由發(fā)改委、網(wǎng)信辦、網(wǎng)安支隊一起發(fā)放全市各政府企事業(yè)單位，整個(gè)南寧的病毒感染率極低。

對付電腦病毒，頭24小時(shí)是戰爭的最關(guān)鍵時(shí)間。

“同行競爭也是存在的。大家都在比誰(shuí)跑得快，誰(shuí)會(huì )脫穎而出。所以你會(huì )看到，很多公司都在輸出各種版本的報告和病毒防治方法。”互聯(lián)網(wǎng)安全創(chuàng )業(yè)公司白帽匯員工吳明告訴界面新聞?dòng)浾摺?/p>

吳明認為，做安全企業(yè)，一定要對自己和用戶(hù)負責。報告一定是要自己驗證過(guò)的才能發(fā)布出去。所以在發(fā)現勒索病毒后，吳明和他的團隊第一時(shí)間做的工作是搭建測試環(huán)境、搭建攻擊環(huán)境、反反復復做樣本測試。

“團隊最開(kāi)始也是在網(wǎng)上先交流信息，也通過(guò)一些圈內朋友了解樣本資源，雙方互相交換。周六開(kāi)始樣本測試。我們在后來(lái)運行樣本時(shí)發(fā)現，很多細節并不像網(wǎng)上說(shuō)的那樣。”吳明說(shuō)。

每個(gè)樣本文件都有特定的“哈希”(hash)，安全術(shù)語(yǔ)特定字符串的意思，有點(diǎn)類(lèi)似一個(gè)唯一識別碼。根據不同文件的哈希，吳明的測試在不同平臺上展開(kāi)。

毫無(wú)疑問(wèn)的一點(diǎn)是，這樣反復驗證反復測試，會(huì )影響報告發(fā)布的時(shí)間。“準確度是會(huì )影響時(shí)間，我們是為了驗證與其他人不同的地方，找出差異性。”

在最后的報告里，吳明他們對勒索病毒的重要時(shí)間線(xiàn)進(jìn)行了梳理——從不同時(shí)間跨度到各種里程碑事件，那些圈內圈外知道不知道的事情，都被一一盤(pán)點(diǎn)了出來(lái)。也解答了用戶(hù)對微軟的抱怨——微軟早在今年3月份就推過(guò)一輪補丁了。

D2：2.0版本是個(gè)偽命題

周六結束，在大家覺(jué)得可喘口氣的時(shí)候，病毒的2.0版本來(lái)了。

白帽匯吳明最早看到2.0版本的病毒是周六晚上。1.0版本的病毒有個(gè)最明顯的特征，它有個(gè)“隱蔽的開(kāi)關(guān)”，在樣本運行分析完后，吳明發(fā)現，通過(guò)域名解析后，就可以避免感染發(fā)生。但是周日凌晨發(fā)現的病毒，域名解析已經(jīng)沒(méi)有效果了。

來(lái)勢洶洶的2.0版本基本沒(méi)有域名，可以直接感染，唯一制止的辦法就是裝補丁。

騰訊電腦管家反病毒安全專(zhuān)家徐超認為，人們對2.0版本的病毒有誤解，外界有夸大的成本。最開(kāi)始說(shuō)的關(guān)于“隱秘的開(kāi)關(guān)”這個(gè)問(wèn)題也并不準確。

騰訊的團隊也確實(shí)發(fā)現了被人改過(guò)的樣本，但根本沒(méi)有所謂2.0的出現。這個(gè)更像一個(gè)國外安全人員的口誤，他在推特上發(fā)布了所謂2.0的病毒，后來(lái)有人站出來(lái)辟謠。

根據徐超團隊監控到的內容，原先版本的開(kāi)關(guān)確實(shí)是失效了，但并沒(méi)有外界說(shuō)得那么邪乎，只不過(guò)是開(kāi)關(guān)被人改動(dòng)了。

杭州電子科技大學(xué)學(xué)生James給界面新聞?dòng)浾咛峁┝艘粋€(gè)很有意思的觀(guān)點(diǎn)，根據他的觀(guān)察，病毒最開(kāi)始提供的那個(gè)域名開(kāi)關(guān)，會(huì )嘗試連接一個(gè)不存在的網(wǎng)站，是病毒開(kāi)發(fā)者為了怕病毒完全失控特意留下的bug，如果連上了就不是加密文件。

后來(lái)網(wǎng)站被注冊，再后來(lái)，病毒2.0版本沒(méi)有了這項機制，在任何情況下都會(huì )執行加密。

最奇怪的是，這個(gè)變種病毒是直接修改病毒可執行文件改出來(lái)的，并不是把代碼改了重新編譯的。所以James猜想的是，這個(gè)2.0版本的人可能不是原作者。極有可能是有人利用了1.0版本聲勢，想趁火打劫。

James是在校大學(xué)生，他沒(méi)有參與任何商業(yè)團隊，這種猜測只是憑個(gè)人研究興趣。最開(kāi)始的時(shí)候，是隔壁學(xué)校做畢業(yè)設計的大四同學(xué)找到他，文件沒(méi)了，James第一反應是很正常，不就是勒索病毒嘛。在網(wǎng)絡(luò )工程人員的眼中，見(jiàn)多了。

不久前，James剛剛破解了一個(gè)勒索病毒。上一次比較好破解是因為解密秘鑰存在本地，直接寫(xiě)個(gè)程序就解密了。這次它把解密用的密鑰通過(guò)Tor上傳了，本地沒(méi)有保留，喪失了通用的解決辦法。但James沒(méi)想到這次會(huì )形成如此大范圍的傳播。

勒索軟件追兇者：我不是第一次見(jiàn)比特幣勒索了

勒索軟件追兇者唐平的第一次實(shí)戰勒索病毒是在2014年夏天。你現在上網(wǎng)搜索，依舊可以看到一種名為CTB-Locker的勒索病毒曾經(jīng)兇猛襲擊過(guò)網(wǎng)絡(luò )的戰亂現場(chǎng)：“可怕”、“病毒式襲擊”是當年常見(jiàn)的關(guān)鍵詞?？僧斈暝?jīng)“兇猛”的CTB-Locker如果碰上現如今的WannaCry才是真的小巫見(jiàn)大巫。

2014年，唐平幫一個(gè)NGO組織里的女性朋友支付了比特幣，即使當年病毒來(lái)自于郵件，支付比特幣仍然是有效的方法。

所有的勒索病毒都長(cháng)一個(gè)樣子，第一綁架你的文件;第二，留下信息索要比特幣。對于病毒制造者而言，綁架用戶(hù)文件成本太低了。那位NGO的朋友一定要付錢(qián)，因為她需要文件，黑客索要一個(gè)比特幣，大約價(jià)值500美元。

唐平嘗試開(kāi)始和黑客對話(huà)了。在暗網(wǎng)里，黑客像現在的客服一樣，開(kāi)放了一個(gè)“人道主義”的對話(huà)窗口，進(jìn)入一個(gè)類(lèi)似sdsdasdwanadnhbfhbagwag.onion這樣的暗網(wǎng)網(wǎng)頁(yè)后，唐平找到了對話(huà)框。暗網(wǎng)地址多由一個(gè)亂碼跟上后綴onion構成。

通過(guò)Tor瀏覽器進(jìn)去后，一般每個(gè)中毒者都會(huì )有一個(gè)ID或者特別的Token，這樣實(shí)際上就等于中毒者有一個(gè)個(gè)人網(wǎng)頁(yè)，與客服的聊天內容簡(jiǎn)直就像菜市場(chǎng)討價(jià)還價(jià)一樣簡(jiǎn)單。

“How much?”“May I have a discount?”雖然沒(méi)有議價(jià)能力，但還價(jià)還是要的。

交易成功后，當年還算守信用的黑客給了一個(gè)軟件和私鑰，可以用來(lái)恢復你的文件。

唐平早年從事互聯(lián)網(wǎng)安全行業(yè)，之前在廣州一家小互聯(lián)網(wǎng)安全公司工作，2013年春天開(kāi)始接觸比特幣，后來(lái)就長(cháng)期持有。漸漸地，他放棄了原有的打工生活，專(zhuān)心做起了“勒索軟件追兇者”的工作，有一個(gè)同名的個(gè)人網(wǎng)站，實(shí)時(shí)更新勒索軟件的最新動(dòng)態(tài)信息。

他現在平時(shí)的主業(yè)是幫助一些愿意出錢(qián)的客戶(hù)解決被病毒侵擾的難題。不管是支付比特幣，還是他自己動(dòng)手解決，反正是對方出錢(qián)，他負責消災。來(lái)找他的人，經(jīng)常有一些IT從業(yè)者和殺毒軟件代理商。

唐平一直按照比特幣市場(chǎng)價(jià)+20%的服務(wù)費來(lái)操作，并逐漸發(fā)現這是一門(mén)可以賺錢(qián)的生意。

2015年，唐平的存幣量有400多個(gè)，當時(shí)比特幣接觸的人還不多。按照當時(shí)的存幣量，唐平的收入顯得非?？捎^(guān)。這兩年，他反倒覺(jué)得自己忙忙碌碌什么都沒(méi)干、人也很焦慮。

2017年5月12日，病毒爆發(fā)時(shí)，業(yè)內人士唐平覺(jué)得見(jiàn)怪不怪。當晚，一個(gè)學(xué)生私信他，想2000塊錢(qián)解決論文問(wèn)題。唐平遠程操作她的電腦。然后唐平就看見(jiàn)了那幅后來(lái)流傳各大媒體的勒索切圖。

半個(gè)小時(shí)后，第二個(gè)人又找上門(mén)了。唐平最近一直蟄居贛州，很久沒(méi)關(guān)注病毒了。他跑到微博上搜了下關(guān)鍵詞，wanna decryptor(劫持病毒解密器)，想尋找黑客的蛛絲馬跡，后來(lái)發(fā)現很多人都在微博發(fā)了被劫持信息。

在那幅關(guān)鍵的劫持圖上，唐平發(fā)現了最關(guān)鍵信息，右下角黑客留下的收款地址，絕大多數和找他求助的學(xué)生收款地址是一模一樣的。根據比特幣的特征，如果使用同一個(gè)收款地址，針對不同的綁架者，收款方根本就不可能判斷出是哪臺電腦付了款。

即使唐平在第一時(shí)間在知乎上發(fā)了信息，還是有很多人上當了。近幾年比特幣的火爆，很多人已經(jīng)掌握了比特幣支付的方法。中間有個(gè)人找過(guò)來(lái)，第一句話(huà)就是，“我剛剛付完了款，下一步該怎么辦?”

唐平只好苦笑。

截至2017年5月16日，有媒體曝光勒索病毒全球共有136人交了贖金，價(jià)值3.6萬(wàn)美元。“我個(gè)人主觀(guān)上覺(jué)得是個(gè)大佬玩膩的工具……讓小弟去做破壞級別，完全沒(méi)有任何經(jīng)濟效應，”唐平不理解這種高風(fēng)險低收益的邏輯。

要知道從2016年底到現在，一種名為wallet的勒索病毒，半年不到時(shí)間勒索比特幣超過(guò)1萬(wàn)個(gè)，而現在比特幣的價(jià)格已經(jīng)接近1萬(wàn)元高位。悶聲發(fā)大財。

經(jīng)驗與總結

在回溯整個(gè)勒索病毒的對抗流程，每個(gè)人都有話(huà)想說(shuō)。唐平認為，這可能只是最普通的一次勒索病毒;但也有從業(yè)者認為，在職業(yè)生涯中難得一見(jiàn)。

360的趙晉龍在采訪(fǎng)時(shí)稱(chēng)，現在自己只想休息。不過(guò)“按這個(gè)規模和影響人群來(lái)看，在很多人的職業(yè)生涯內，可能都遇不到第二個(gè)這樣的病毒”，所以它值得團隊好好反思。

這種大型事件沒(méi)有一個(gè)組織是準備充分的。大家都是匆忙上場(chǎng)，考量的是團隊厚度和執行力、速度。

趙晉龍遺憾的是，在3月份微軟發(fā)布補丁時(shí)、4月影子發(fā)布NSA漏洞工具后，沒(méi)有更嚴重地督促全社會(huì )做補丁修護。當時(shí)同事們還曾就討論過(guò)，如果拿蠕蟲(chóng)做勒索，效果一定空前。

沒(méi)想到同事的話(huà)這么快就應驗了。

騰訊的團隊最遺憾的也是這點(diǎn)。這場(chǎng)病毒狙擊戰不是盲打，它是一場(chǎng)可預見(jiàn)的病毒傳播模式，如果如果3月份初選的時(shí)候人們能更重視一點(diǎn)就好了。不過(guò)人類(lèi)總是健忘的，需要用這么嚴重的事件進(jìn)行網(wǎng)絡(luò )安全教育。

同樣做安全防護的創(chuàng )業(yè)公司漏洞盒子員工Gaba告訴界面新聞?dòng)浾?，在病毒爆發(fā)后的第二天，很多媒體或者微博上關(guān)于這個(gè)事情的報道都是錯誤的，從一定程度上講，它加重了用戶(hù)的恐慌情緒。

漏洞盒子現在還在不停地推出更新包，開(kāi)始跟進(jìn)WannaCry蠕蟲(chóng)的變種樣本。

趙晉龍能回憶起來(lái)的蠕蟲(chóng)編號是微軟2006年、2007年發(fā)布的06040、06035、08067。他們的效果和今天的蠕蟲(chóng)類(lèi)似，只不過(guò)在那個(gè)純真年代還沒(méi)有勒索軟件。這兩年勒索軟件流行開(kāi)，才有了今天頭一回蠕蟲(chóng)加勒索的17010。距離上一次編號已經(jīng)過(guò)去近十年時(shí)間。

上周，谷歌安全團隊剛剛發(fā)布了微軟的一個(gè)內部殺毒程序漏洞，針對的是Win7以后的系統。在securityweek中，標題把這個(gè)新漏洞形容為“worst”，用戶(hù)瀏覽網(wǎng)頁(yè)時(shí)，很有可能受到攻擊者攜帶的惡意代碼的影響。但鮮有媒體關(guān)注。

這場(chǎng)病毒的反擊戰什么時(shí)候是個(gè)頭呢?在360所給出的官方通稿中，使用了“黑色星期一爽約了”這樣的樂(lè )觀(guān)標題來(lái)形容我們對抗勒索蠕蟲(chóng)所獲得的階段性勝利，周一受感染機構的增長(cháng)速度比前兩天明顯放緩。

或許外界有點(diǎn)誤解和妖魔化了這次病毒。“只要按照正確的操作手冊去執行，它還是一個(gè)講道理、講科學(xué)的東西。影響并非不可控。只不過(guò)大部分人看到它的時(shí)候完全是懵的，”趙晉龍強調，未來(lái)這種蠕蟲(chóng)出現的概率仍然存在，只不過(guò)到時(shí)候我們應該有更強大的團隊去應對他們。