谁在勒索全世界

这次网络攻击给全世界带来了巨大的损失——至今已经有超过150个国家和地区的20万台计算机受到感染。人们意识到：首先，计算机远没有我们认为的那么安全；其次，国家级的网络战军火也有可能会流入民间；最后，心怀不轨的黑客们，哪怕技术水平并不很高，也可以用网上找到的工具，在这个时代发动属于自己的战争。

这是这个时代的新常态。

南方周末特约撰稿 陈谷

一夜之间，世界变得更不安全了。

北京时间2017年5月12日20点左右，许多人发现电脑的屏幕上弹出了一个倒计时窗口。他们发现自己电脑中的大部分文件都被锁定，被告知要支付价值300美元的比特币才能解锁；若是一周内不支付赎金，所有文件都将不可恢复。

一场新的互联网攻击爆发了。

一种叫做“Onion”（洋葱）和另一种叫做“WannaCry”（想哭）的勒索软件传播得很快。按照欧洲刑警组织的计算，至今已经有超过150个国家和地区的20万台计算机受到感染：英国部分医院、中国的部分大学和政府机构、西班牙的几家电信与电力公司、美国的联邦快递公司等等都成了受害者。

短短几天之内，这些恶意软件出现了许多变种，继续在互联网上肆虐。谣言四起，人心惶惶。

而这还只是开始。

在自己家里被勒索

“想哭”已经成了迄今为止最大的勒索软件攻击事件，但它并不是历史上的第一次。

这类蠕虫病毒通过某些方式侵入用户计算机中，获取文件系统的使用权限，然后将特定类型的文件加密；加密方式往往很复杂，复杂到受害者自己无法解开。受害者只有两个选择：或者乖乖缴纳赎金——以比特币方式；或者眼睁睁看着自己计算机里的文件和资料就此消失。

从2005年起，勒索病毒就成了互联网世界中最大的安全威胁，但世界上第一款勒索病毒出现在1989年。早期的勒索病毒采用对称加密方式，相对容易破解，但是它的后继者们就没有那么好对付了。2006年出现的一款木马病毒会将用户“我的文档”中的所有文件采用非对称方式加密，解密要比加密难度大得多。

非对称加密，指的是一些加密容易但解密困难的加密技术，目前已经广泛应用在网络安全领域，保护着我们的个人信息和财产安全。这类加密技术中最广为人知的是 RSA加密算法，它的基本构想很简单：我们可以很容易地将两个大素数乘起来，计算它们的积；但是若把一个很大的数字拆解成两个素数就会困难得多。利用这种特征，就可以创造出在当前计算原理下几乎不可破解的加密方式。

后来的勒索病毒们也都采用了非对称加密方式，让恢复文件变得更加困难。在2006到2015的10年中，这类恶意软件出现了多个变种的多个版本，偶尔会听到受害者在社交网络上的哀嚎，但是并不广为大众所知。

早期的勒索软件往往要求受害者使用不记名充值卡支付赎金，但是最近则大都转向比特币之类的虚拟货币。这类货币往往使用区块链技术构建，没有政府的信用担保，没有中央发行方，每一笔交易都可追溯，可以兑换成其他货币，但是却难以定位到真正的持有人。这种在网络世界中通行的货币简直是支付勒索赎金的最好方式——而且它的价值还在看涨。

这次发起攻击的“想哭”勒索病毒也是如此。勒索者让受害者在3天内支付价值300美元的比特币，否则赎金就要上涨到价值600美元的比特币。若是一周内都不支付赎金，文件将永远无法找回。

面对这样的威胁，受害者们往往只能乖乖支付赎金了事。一些公司甚至已经为了预防这类勒索专门开设了比特币钱包，随时准备支付赎金。被加密的文件往往价值连城，而这些勒索者们隐身在网络后面，并不容易被抓到。

勒索病毒本来只是互联网安全圈子里的话题。“想哭”勒索病毒这次之所以引起这么大的关注，是因为它的传染力度堪称疯狂。赋予它这种传播能力的，是名叫“永恒之蓝”的黑客武器。

而“永恒之蓝”，则普遍认为与美国国家安全局（NSA）有关。

为什么全世界“想哭”

2009年6月或者更早的时候，震网（Stuxnet）病毒就已经在伊朗的核设施工业控制系统中传播开来。这是第一个攻击关键工业基础设施的计算机病毒，目的可能是破坏伊朗的核武器开发计划。

俄罗斯计算机安全厂商卡巴斯基实验室认为，震网病毒是可怕的网络战武器，“除非有国家的支持，否则很难发动如此规模的攻击”。2012年，《纽约时报》获悉，震网病毒是美国国家安全局开发的网络战武器。

几年之后，卡巴斯基实验室发现，开发了震网病毒的黑客组织依然在活跃中。这个组织被叫做“方程式组”（Equation Group），因为他们在自己的软件中喜欢使用复杂精巧的方程式。卡巴斯基实验室认为，这个组织很可能和美国国家安全局有关：或者是受到NSA的资助，或者干脆就是NSA的一部分。这一观点得到许多网络安全人士的认同，但是NSA当然没有承认。

2016年8月，一个名为“暗影掮客”（Shadow Brokers）的黑客组织在全球最大的程序员社区GitHub.com上发布了一批经过加密的黑客工具，声称是从“方程式组”盗来的。暗影掮客计划拍卖这些网络武器，要价100万比特币——按照现在的汇率，约等于100亿人民币。不过几天之后，他们就将这些信息全部删除了。

2017年4月，暗影掮客公开了一些工具，其中就包括此次“想哭”所使用的“永恒之蓝”。这是一个可以在Windows操作系统中传播的攻击工具，利用了一个共享文件和打印机协议的漏洞，可以迅速传遍整个网络中的所有计算机。不到一个月，就有人把这些工具和勒索软件整合起来，也就有了这次让全球恐慌的“想哭”攻击。

虽然微软公司已经在2017年3月推出了针对这个漏洞的补丁，但是对于没有及时升级更新的 Windows用户来说，漏洞依然存在。这次攻击的受害者，就是没有及时修补这个漏洞的用户们。

“永恒之蓝”使用了Windows操作系统中的445端口。一些网络运营商在意识到这个漏洞之后，已经关闭了这个端口；但是并非所有运营商都是如此。那些依然开放445端口的计算机将会成为这种传播工具的通道，进而感染网络中的其他计算机。

“想哭”将传统的勒索病毒装在了“永恒之蓝”上，用新瓶装了旧酒。“方程式组”的武器级攻击工具就这样成了勒索大众的道具，感染了未能及时升级操作系统的计算机——而显然，这类计算机为数众多。

这种无差别攻击的效果，可能连组织这次攻击的黑客们也没有想到。当军用武器库泄露到民间，网民们可以自由下载、改造和使用时，每个掌握一定计算机技能的人，就都拥有了可以攻击大量计算机的武器。

这就像是每个人都有了核武器发射开关。

下一次危机已经爆发

“想哭”的消失和出现一样突然。在肆虐了两天后，一位英国网络安全研究人员以戏剧性的方式终止了它的传播。

这位22岁的网络安全人员在查看“想哭”的代码时，发现了一个奇怪的长网址。他发现这个网址并没有被注册，于是自己花了点钱注册了下来。随后他发现，“想哭”不再传染了。

事后分析认为，这是藏在“想哭”中的一个终止开关。每当感染一台新计算机时，勒索病毒都会尝试去访问这个网址。只要这个网址可以访问，就不再感染其他计算机。这位年轻人的本意只是通过这个网址看看“想哭”的传播范围到底有多大，却意外地终止了一次灾难。

但是，人们并没有放松多少。勒索病毒已经成了一种商业模式，成了网络阴暗面的一种获利方式。虽然“想哭”被阻止了，但更大的危机恐怕才刚刚开始。

果然，更多的勒索病毒变种很快出现，这些变种已经没有了终止开关，没有人能够阻止它们的传播。人们只能寄希望于在被感染之前迅速打好升级补丁、关闭可能被黑客工具利用的端口，以及早日将这次攻击背后的黑客绳之以法。

这是近十年来全球最受关注的一次计算机犯罪行为。各国调查人员都在追查幕后黑手，蒙受损失的各个机构也都在加班恢复，尽可能减少损失。但是事后弥补总是来不及。

这次攻击给全世界带来了巨大的损失，也让人们意识到了几件之前曾经忽略的事情。首先，计算机远没有我们认为的那么安全；其次，国家级的网络战军火也有可能会流入民间；最后，心怀不轨的黑客们，哪怕技术水平并不很高，也可以用网上找到的工具，在这个时代发动属于自己的战争。

这是这个时代的新常态。计算机已经成为人们生活中最重要的工具，但大多数用户并不具备保护计算机、保护个人信息安全的意识和知识。人们依赖计算机，但是计算机本身并不坚固——毕竟越复杂的人造物，就拥有越多缺陷。只是大多数时候，我们宁可不去想到这点。

这并不是第一次网络战军火泄露，也不是第一次勒索病毒攻击。世界已经被互联网连成了一个整体，在光纤和网线中奔腾的不仅有我们赖以生存的商务、娱乐、学习和工作资源，还有暗藏的巨大风险。

我们可能没有办法知道，到底是谁躲在这些病毒背后勒索着全世界。互联网上流动的信息纷繁复杂，想要抽丝剥茧找到源头并不容易。当恶意软件和攻击工具可以在互联网上轻易找到时，任何人都可能是某次网络犯罪的始作俑者。也许他们今天就在街上与你擦肩而过，但是没有人知道。毕竟，在真实世界中，黑客们并不会符合电影中的刻板印象——他们并不总是嘴角黏着披萨渣、戴着深度近视镜的宅男宅女，也不总是穿着黑色长风衣戴着墨镜的大帅哥。

虚拟世界和真实世界一样，光明和黑暗永远同时出现。互联网的阴暗面偶尔会冒出头来袭击我们，在今天这样连成一体的世界里，没有人能置身事外。作为普通网民，我们能够做的其实有限，只有尽可能保障自己的设备和信息安全，努力避免成为攻击的目标。