從5月12日開始,一款名為“WannaCry”的比特幣勒索病毒席卷全球。該病毒先是從歐洲爆發,在相繼襲擊了西班牙電信、英國國民衛生服務體系、聯邦快遞等大型機構的計算機后迅速蔓延至全球。在國內,部分高校和企事業單位的計算機成了WannaCry的第一批受害者。
根據報告,截至2017年5月15日零時,全球近百個國家超過10萬家組織和機構被該病毒攻陷。在我國國內,僅12~13日兩天時間就有29000個公網IP地址遭到感染,而更多非聯網IP還是暫時無法監測的,這也意味著潛在受害者可能更多。
仿佛是在一夜之間,我們似乎又回到了那個不敢隨便登錄不明網站、在電腦上插入一個U盤就要擔驚受怕的時代。這也警示電腦用戶,所謂互聯網“變得更安全了”可能只是一種錯覺——互聯網并沒有越來越安全,只是危險變了花樣。
在WannaCry爆發之后,很多人提到了“熊貓燒香”病毒。在國人的經驗里,似乎自“熊貓燒香”之后,再沒有一款病毒像剛剛爆發的WannaCry那樣引起社會的廣泛關注了。
的確,過去數年來,蠕蟲病毒數量一直在下降。根據國家互聯網應急中心(CNCERT)《互聯網安全威脅報告》2016年12月(總第72期)顯示,當月中國境內總計感染終端281萬個,其中蠕蟲病毒66萬,木馬病毒有215萬之多。
蠕蟲病毒逐漸減少的最重要原因是:制作蠕蟲病毒的作者無法從蠕蟲感染中獲得利潤。
在“熊貓燒香”事件之后,中國的黑客們意識到制造和傳播病毒所存在的巨大風險,因此紛紛轉向灰色產業和黑色產業以尋求更高的收益,而病毒也不再以“破壞用戶電腦”為主要發作形式。中了蠕蟲病毒之后,電腦會變慢、文件會打不開、程序會崩潰,可木馬病毒十分追求“用戶體驗”——它靜默地運行在后臺,可以做到讓用戶毫無察覺。
木馬病毒可以控制感染者的電腦,使整個電腦都為黑客所用。在木馬病毒的整個黑色鏈條中,一臺肉雞(被感染的電腦)宛如在一個現代化的雞肉加工流水線上:會有專門的人判斷機器性能如何,是否可以用于攻擊他人的電腦、是否可以用于搜集某些數據、是否可以直接盜取機主的銀行或理財信息等。
木馬病毒背后的產業鏈要做到的是“物盡其用”,在剩余價值被完全榨干之前,病毒一般不會選擇“盜取賬戶”這種會直接引起用戶警覺的行為。這正是讓許多用戶誤以為“自己很久沒中過毒”的原因。甚至于,在WannaCry之前,可能已有其他的木馬病毒入侵了用戶的電腦,但卻沒有引起廣泛注意,因為他們不會影響電腦的正常使用。
在2013年以前,涉及勒索、轉賬、匯款的病毒并不是一個好主意。因為黑客在銀行的每一筆支取都是有據可循的。這會直接讓黑色產業鏈曝光于陽光之下。直到比特幣出現。
“比特幣勒索病毒”這個媒體創造的名稱,其實很有誤導性。這個名字好像在說“是比特幣勒索了你”,但這個病毒的實質是——病毒的生產者勒索了你,它索要的贖金是比特幣——一種可以完全隱藏收款賬戶身份的虛擬貨幣。正是由于比特幣的存在,讓全球勒索相比盜刷信用卡之類的犯罪,變得更加低成本和低風險。
比特幣社區并不想替黑客背這個黑鍋,但也承認這次勒索病毒肆虐的原因與比特幣的特點有很大關系。比特幣并不由任何特定機構發行和管理,它像是一個完全透明的銀行機構。我們可以從區塊鏈賬簿(記載著有史以來所有比特幣交易的數據庫)中看到有多少人向黑客繳納了“贖金”,但卻無法知道黑客是誰。
在此次“勒索”事件中,目前情況顯示比特幣并沒有大量流入黑客的賬戶,而且這一數字貨幣的“安全性”確保了沒有人能追回這些贖金。盡管如此,比特幣圈內對“直接勒索用戶”這種黑客的新興變現渠道并不看好,原因主要有兩點:其一,對普通人來說,繳納贖金的過程太為復雜;其二,目前很多國家(中國、美國和歐盟一些國家),對比特幣與實體貨幣之間的兌換設置了實名制關卡,在比特幣提現過程中會存在一些風險,這對黑客來說并不真的“安全”。
其中第一個問題是比特幣圈內認為這次黑客勒索資金規模并不算大的主要原因——黑客這次按照不同的地區定制了不同的價格,希望廣撒網“薄利多銷”。但對于普通用戶而言,沒有那么多數據重要到能驅動他們從頭到尾學習如何交易比特幣。而會用比特幣的用戶往往都是“極客”,對電腦的防護比較到位。
在病毒爆發的第一時間,有人將這次病毒的爆發指向了落后的操作系統——在最初的報道中,不乏學校機房、企事業單位的公用電腦成為最早被感染的受害者。病毒爆發后不久,微軟破例針對已經終止后續維護的Windows XP發布了修復漏洞的補丁,但對XP以后的系統卻并沒有推出專門的補救措施,原因很簡單:所有在微軟生命周期內的Windows系統都已于今年3月的月度安全更新中,修正了這次病毒賴以傳播的漏洞。
這也解釋了國內第一批受感染的電腦為什么出現在學校和機關單位:出于統一部署服務和軟件的需要,這些電腦大多運行著落后的操作系統(XP),安全維護無法做到及時全面。因此,它們的漏洞修補只能是“亡羊補牢”。
但是,Windows7、8的中毒用戶也不在少數,這又是為什么呢?原因竟然是這些用戶主動、或者在安全軟件的“幫助”下關閉了微軟的自動更新。
許多用戶“沒有及時升級系統”的原因恰是因為“善解人意”的殺毒軟件在看準用戶不想更新系統這個需求,提供了“關閉Win10系統更新”和“關閉Windows Defender”等功能——許多殺毒軟件摧毀了系統廠商建立的長城,然后用泥巴糊了一道土墻,讓用戶的系統“看起來”安全。
微軟作為操作系統廠商,比任何第三方殺毒軟件都能更早發現運行于Windows平臺上的病毒以及系統自身的漏洞,并與系統內置的權限組功能配合對安全問題進行修正。從Windows10開始,微軟強制打開所有用戶的自動更新功能,這也導致了在微博和朋友圈里我們總能看到曬“升級”——Windows不合時宜的系統更新為用戶帶來了不少的困擾,但這確實也帶來了全方位的保護。
另外,微軟早在Windows 7開始便在系統內置了名為Windows Defender的殺毒軟件。初期的Windows Defender效果并不是很好,但經過幾年的發展,它已經成為Windows平臺上最有效的殺毒軟件之一。
其實,普通的正版Windows用戶只要同時開啟自動更新、內置防火墻和Windows Defender,其實很難說是否有安裝第三方殺毒軟件的必要。
可無論是自動更新還是這款免費的殺毒軟件,都不受中國用戶的歡迎——在百度上,你能夠搜到許多關于“如何關閉Windows Defender”的提問。在普通用戶的認知里,國內的一些安全軟件是可以加速并保護電腦的——因為他們會在右下角彈出提示框展示自己的加速功績。而默默在后臺工作的Windows Defender則成為“電腦卡”的罪魁禍首。
那么國內這些安全軟件對這次WannaCry的抵御效果到底如何呢?專業人士在模擬離線環境(不更新病毒庫)下,對國內多款軟件的公眾版本進行了查殺測試,結果無一攔截成功——而本次受到WannaCry感染電腦中剛好有大量長期不聯網的內網電腦,而這些電腦又沒有做專門的離線殺毒部署。
從這個意義上講,讓我們暴露在WannaCry病毒之下的,其實很可能正是我們自己。