比特币病毒不就是“三思而后行”这么简单吗？ 江浙粤两地抓获国内机构2.8万家，更严重！

扩散！ 让更多人知道~~

阻止比特币病毒的小哥：这还没完！十级中国人的勒索可不是“三思而后行”这么简单

昨天，我紧急通知了我的朋友们 NHS 系统被勒索软件袭击了，最终范围远超当时的想象。

没几个小时，世界地图就被“点亮”成这样▼

据BBC新闻网最新消息，这种在中国被称为“比特币病毒”的恶意软件已经攻陷了99个国家，大型机构和组织是头号目标。

紧接着英国NHS中招，位于桑德兰的日产汽车厂也宣告“沦陷”。 在西班牙，除了最先被黑的通讯巨头Telefonica外，能源公司Iberdrola和天然气公司Gas Natural也未能幸免。 德国只是为了在火车站“向公众展示”......

据多家外媒报道，俄罗斯是受影响最严重的国家。 被黑的组织从银行到政府卫生部门，从国有铁路公司到移动通信公司，应有尽有……

俄罗斯最具影响力的网络新闻媒体《今日俄罗斯》的报道。 （图自RT）

在中国，“重灾区”是各大高校。 许多小伙伴在写论文的时候被要求支付300美元等值的比特币。 快到年底了，也是毕业的高峰期。 你不看看时间，努力吗？ ！

而且黑客是有备而来，勒索信息的中文很接地气，什么“就算有上帝在”“我用我的人格保证”“这要看你的运气”……就算不是中文母语的人写的，也一定是过中文十级的老外写的▼

（图片来自新浪微博）

果然，微博上已经有不少小伙伴表示“慎思畏惧”▼

（图片截取自新浪微博）

大家都在猜测是否有华人参与幕后黑手，但实际上，这次比特币病毒的“多语种”现象不仅有中文版，还有韩文和日文……

早在昨日刚刚爆发时，专业科技网站Wired的知情人就撰文解释了这一现象：这意味着比特币病毒背后的团队不仅早有准备，有备而来，而且是也很可能处于休眠状态并等待收养。 升级版勒索病毒第二波大规模攻击时机已到！

“情况会变得更糟，非常糟糕”

首先，被称为“比特币病毒”的勒索病毒英文名为WannaCry，还有两个比较常见的昵称，分别是WanaCrypt0r和WCry。

根据科技网站Wired的解释，它是今年3月底出现的勒索软件程序的最新变种，其根源是微软操作系统中一个名为“永恒之蓝”的漏洞。 美国国家安全局（NSA）曾以此为基础研制出网络武器，但在上个月微软发布新补丁时才被“放弃”。

3月底的勒索病毒名为WannaCry，所以如果你在外媒看到WannaCry 2.0或WanaCrypt0r 2.0，就是指这次爆发的勒索病毒。

（图片来自连线）

下面这些大家应该都明白了：微软3月份发布的补丁号是MS17-010。 结果很多大公司和一些个人用户没有及时安装，不知如何获取和改造。 NSA 的网络武器 WannaCry 可能会被利用。 真的“想哭”（想哭）……

昨天看过全哥文章的朋友可能还记得，特蕾莎·梅昨天在即兴采访中一直强调，这次勒索的目标不仅是英国NHS，而是全世界。 不仅仅是英国的医疗体系”，诡异的“解救一个和我一样坏的人”的潜台词。虽然最后证明确实是全世界都受了苦，但WannaCry最先爆发真的只是巧合吗？英国国民健康保险制度？

当然不是！

根据《连线》作者根据行业经验并联系技术专家给出的解释，对于任何一款勒索软件，医院都是最有可能被攻击的“肥肉”：医护人员很可能遇到突发事件，需要使用电脑来应对。系统获取信息（如病历、过敏史等）完成急救任务。 这时候，最有可能被迫支付“赎金”。

医疗保健信息与管理系统协会隐私与安全主管 Lee Kim 也解释说，由于巨大的信息储备和隐私问题，“在医疗和其他一些行业，我们确实会不太及时地处理这些（系统）漏洞。” . 这也是为什么技术界普遍认为WannaCry背后主谋的时机非常巧妙。 毕竟微软更新MS17-010补丁还不到两个月。

（图片来自卫报）

从开发和发布WannaCry的人的角度来考虑这个问题，他们其实并不关心他们要针对哪个行业，因为他们的逻辑是，任何赚钱的领域都是“肥肉”，他们必须发财。 所以他们真的不用找英国NHS的麻烦，这只是一个很好的开始。

个人电脑用户被攻击的比例远低于企业和大型机构。 这不仅是因为给个人电脑打补丁更容易、更快捷，还因为这种攻击不仅效率低下，而且获利的可能性更小。 WannaCry的运行机制基本上是为局域网内的大规模攻击而设计的。

从这个角度来看，世界上其他上述被攻击的大公司和组织，无论是交通、制造、通信行业，还是中国比较惨烈的学校，确实是需要从数据库中检索信息的典型领域及时。 难怪微博上有小伙伴这样评论▼

（图片截取自新浪微博）

至于勒索信息的语言，连​​线网在搜集各方信息后发现，WannaCry实际上可以运行和勒索的语言共计27种语言，而且每种语言都相当流畅，这绝对不是简单的机器翻译的结果. 截至全哥发稿，WannaCry病毒的来源尚未得到证实。

Wired 的作者认为，与其说 WannaCry 是某种个体“黑客”的幕后黑手，不如说它是一个从多个国家招募人员的大团伙，而且极有可能是“醉汉”并不意味着喝酒。” 毕竟，想要简单获利的人，没有理由制定如此周全的全球敲诈计划。

WannaCry 在隐藏其操作者的真实身份方面做得很好。 不仅仅是语言系统的问题，使用比特币索要赎金的原理其实是一样的：防止在实币转账后通过汇款账户“跟风”的可能性。

（图片来自Avast博客）

综上所述敲诈邮件 有你的视频 比特币，此次勒索病毒的作案手法，似乎并没有什么“好就收”的意思。

难怪《连线》文章的作者得出结论，WannaCry 的开发人员已经制定了一个广泛的长期计划：“情况会在好转之前变得更糟——非常糟糕。” （在好转之前，情况会变得更糟——更糟。）

22岁英国小哥拯救世界？

不管Wire的作者怎么分析，也只是从目前可见的行为来看，WannaCry已经侵犯了全世界。 这篇文章还没有来得及引起广泛关注，一名22岁的英国程序员似乎已经“误打误撞”阻止了WannaCry的进一步传播。

这部分故事被英国媒体和其他一些公众号炒得沸沸扬扬。 看过的朋友可以直接跳到下一个小标题，不过我先声明一下：事情并没有那么简单。

英国《独立报》和《英国电讯报》等媒体对这位小哥“拯救世界”的行为进行了专题报道。 （图片截自独立报）

小哥在社交网络上的昵称是MalwareTech（中文意思大概是“恶意软件技术”，听起来更像黑客）。 在阻止WannaCry在全球范围内进一步肆虐后，他在自己的博客上写下了整个过程，就连英国情报机构GCHQ也在其官网上转载了这篇博文。

MalwareTech 本来应该去度假的，但他反应很快，找到了 WannaCry 软件的样本。 在读取代码时，他发现了一个尚未注册的域名。 下面这段代码的意思是WannaCry在黑点电脑前运行时会先尝试访问该域名。 访问失败则系统被黑，成功则自动退出。

于是 MalwareTech 注册了这个域名。

（推特原图）

随后，在一些中国媒体的报道中，小弟此举被强调为“心血来潮”或“下意识”之举。 正是因为注册了无效域名，被WannaCry感染的计算机后来在访问该域名时得到了正的返回值，所以才没有锁定信息，开始敲诈勒索。

但 MalwareTech 自己的解释并非如此。 注册域名是他作为一名网络安全工作者的“标准做法”，他在博客中写道。 在过去的一年里，他会把短时间内访问量激增的无效域名全部注册并扔进上图所说的“sinkhole”，这个“sinkhole”的作用就是“Catch Malicious Traffic” ”。

WannaCry 样本中的域名在昨天全球攻击开始后立即出现访问量激增，但之前没有访问迹象。 （图片来自MalwareTech个人博客）

然而，MalwareTech 的专业敏感性让他考虑 WannaCry 是否定期或在特殊情况下修改程序中的无效域，因为如果是这样，简单地注册他发现的域并不能阻止未来的攻击。

即使软件中没有这部分，开发者仍然可以手动更新WannaCry并再次传播，他们只需更换一个新的无效域名即可。

还有一种更糟糕的情况：如果WannaCry程序中还有一层自我保护机制，那么无效域名的注册很可能会导致当前所有被感染的计算机自动加密所有信息，不可逆。

（图片来自BBC新闻）

为了排除后一种情况，MalwareTech干脆修改了他的一台电脑的host文件，使其无法连接到之前注册的无效域名。

电脑成功蓝屏。

MalwareTech 写道：“你可能无法想象一个成年人会因为他的计算机被勒索软件瘫痪而兴奋地跳来跳去。但我做到了。” 测试结果表明，他的“标准做法”确实阻止了 WannaCry 的进一步传播。

小哥亲口警告：“这件事没完没了”

与一些信息平台大肆炒作MalwareTech“拯救世界”不同，英国《卫报》和《英国电讯报》都在头条明确告诉大家，小哥自己已经警告过：“这件事还没完呢！”▼

（图片取自《卫报》&《英国电讯报》）

根据MalwareTech的解释，注册域名后阻止WannaCry的传播在他看来只是病毒制作者不成熟的自我保护机制。 对方的真实意图并不是通过域名是否可以连接来“指挥”病毒的运行，而是通过这种方式来判断病毒是否已经被计算机安全专家抓到。

一旦WannaCry发现域名响应，真正的响应并不是“善意”地停止攻击，而是避免被扔进“沙盒”（sandbox）安全机制被他人充分分析，干脆退出计算机系统收到域名响应。

也就是说，虽然MalwareTech功不可没，只是阻止了当前“比特币病毒”样本的传播，但开发者也意识到了这一弱点，随时可能以升级版勒索程序卷土重来。

（图片来自BBC新闻）

这又回到了上一篇《连线》文章作者所表达的推论：WannaCry 病毒的开发者绝对不是发了财，他们很可能正在策划新一波的攻击。

其实说了这么多，最终的目的是提醒大家，虽然WannaCry的进一步蔓延看似得到了控制，但现在确实不能掉以轻心！ ！ ！

还没有安装微软补丁的小伙伴们，是时候动动手指把本尊请回来了，复制下方链接到地址栏，或者点击“阅读原文”直接前往▼

（图取自微软官网）

Wired 还建议，由于 MS17-010 是服务器级别的补丁，企业或组织级别的用户最好请其系统管理员安装。

个人用户注意：

信息安全手段真的太多了。 始终有必要尽可能地保护您的计算机和文件。 毕竟就算WannaCry不卷土重来，以后也难免会出现其他病毒。

希望这场高科技灾难尽快结束。

（英圈综合编辑，编辑：Moo，内容参考连线、独立报、BBC新闻、电讯报等，除标注外图片均来自网络，转载请注明。）

比特币病毒：互联网的阳光大道及其投下的阴影

网络病毒目前具有营利性、传播速度快、形成产业链、矛盾重重等特点。

牟利

这种比特币病毒通过加密计算机文件来索取“赎金”，因此也被称为“勒索软件”。 该病毒的发布者使用去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具“永恒之蓝”，在今年2月对一款名为WannaCry的勒索病毒进行了升级。 该病毒会扫描打开端口 445 进行文件共享的 Windows 设备。 只要用户的设备开机并连接到互联网，黑客就可以将勒索软件、远程控制木马、虚拟货币矿机等恶意程序植入计算机和服务器中。

传播速度快

这个病毒可以通过网络进行自我传播和复制，所以这次涉及的国家和范围都很广。

互联网媒体是人类历史上发展最快的传播方式。 它对人们的影响是全方位的，从微观到宏观，从每个家庭成员的日常生活到国家间的信息传播。 网络媒体无处不在。 网络媒体改变了传播者与受众之间的关系。 传播学认为，任何传播行为，尤其是大众传播，都应该是双向的敲诈邮件 有你的视频 比特币，只有及时获得受众的反馈，才有可能获得理想的传播效果。 由于技术条件的限制，传统媒体的传播方式基本是单向的，受众处于被动接受的地位，而网络的交互性使得网络媒体的传播过程成为一个闭环，有利于媒体方便，低成本收集受众反馈信息，从而提高传播效果。 正因为如此，第四种媒体——网络媒体完全有可能超越报纸、电视等传统媒体，让后来者迎头赶上。

形成产业链

2006年的“熊猫烧香”蠕虫病毒被《瑞星2006安全报告》列为十大病毒，被《2006年中国大陆计算机病毒流行与互联网安全报告》称为“毒王”。

病毒制造者已经从个人行为发展为组织犯罪和经济犯罪。 编写病毒——攻击网站并植入病毒——感染用户（机器被黑客控制，形成僵尸网络Botnet）——窃取用户信息——网上销售——危害互联网用户生产、销售、交易、传播全产业链，利用“一站式”，最终会损害网络用户的利益，谋取经济利益。

矛盾的

开放和安全是相互矛盾的。 为了实现网络间的互通，人们往往在管理和使用上牺牲一些安全性，以达到更高的开放性。 在很多网络协议的早期设计中，更多地考虑了共享性、开放性和可操作性，而忽略了对安全性和保密性的支持。

网络媒体具有速度快、容量大、多媒体性、交互性、可搜索性等特点，这些技术特点使网络媒体具有传统媒体所不具备的优势，从而拥有自己的生存空间。 但是也带来了新的技术问题，比如交互性，很容易带来安全问题。 网络媒体是以计算机通信网络为基础的。 由于计算机通信网络是以计算机和数据通信网络为基础的应用管理系统，是一个开放的Internet网络系统。 如果不采取安全措施，任何连接到网络系统的终端用户都可以进入并访问网络中的资源。

网络安全风险

互联网先天不足

Internet 在统一的 TCP/PI 协议下运行。 它是一个向世界所有国家开放的网络。 任何团体或个人都可以在互联网上方便地传递和获取各种信息。 由于在制定TCP/PI等网络协议之初并没有考虑网络安全，以方便信息交换，系统本身实际上处于不设防状态，安全防护能力较弱，信息量大安全风险和风险。 隐患。 安全协议分析已经成为最强大的网络攻击手段。

电脑病毒

《爱情虫》、《梅丽莎》、《红色代码》、《熊猫烧香》等相继通过网络，在全球掀起轩然大波，让人心有余悸。 尽管人们想出了各种方法来防范这个“怪物”，但病毒还是层出不穷，四处蔓延，不时威胁着网络终端数据的安全。 这不，“比特币”又来了……

黑客攻击

在计算机发展的早期，黑客是一个非常引以为豪的称号。 只有非常有成就的程序员，或者那些能够对复杂问题提出非常有效、简单明了的创造性解决方案的人，才能被称为黑客。 然而，媒体往往将黑客描绘成“年少无知无能，自学计算机”的魔法少年。 不可否认，大多数黑客都是痴迷于技术的青少年，他们入侵计算机系统纯粹是为了自我挑战，他们有很多时间可以浪费。 大多数人没有犯罪动机，只有好奇心。 但是，无论如何，对计算机系统的入侵必须以系统安全屏障的破坏为条件，而安全屏障的破坏将直接导致系统所有者的物质和经济损失。 或许曾经的侵略者的目的纯粹是为了求知施展才华，并没有企图破坏数据，但这种理想所营造的侠义形象已经被越来越多的幽灵般的破坏活动打破了。 近三年国内外发生的黑客事件证明，出于好奇和恶意的不速之客数量没有增加，反而在下降，而利用互联网进行恶意破坏或谋取私利的人数却在不断增加。福利在上升。 网络黑客事件和计算机犯罪也日益猖獗，严重危害社会发展和网络信息安全。

据统计，网络攻击事件每年以10倍的速度增长，平均每20秒发生一次攻击事件； 黑客的攻击手段多达1000-1500种（派生的手段有几万种，比如这次第一次“中美黑客大战”，据说用了近5000种攻击工具）。 这年头，几乎每天都有各种各样的黑客故事。

“黑客”的泛滥导致了一种新的战争形式的出现，即网络信息战。 这种战争的目的是通过“黑客攻击”来扰乱或破坏一个国家的信息系统。 这个信息系统不仅包括军事通信系统，还包括国家整个经济结构的方方面面。 这种设备的特点是设备成本低，所需设备市场上都有。 据美国官方统计，目前美国国防部95%的通讯都是通过普通电话线进行的，分配官兵的计算机系统也与私人银行的网络系统相连。 特别是，95%的非机密军事信息还通过国际线路传输，军事基地的供电网络也与民用电网相连，这使得军事系统无法采取额外的保护措施，从而给” “黑客”入侵是可乘之机。

这件事充分展示了互联网传播这把双刃剑的B面。 互联网让人类文明在信息高速公路上搭便车的同时，也蒙上了一层阴影。 网络病毒不仅是一个技术问题，更是一个社会和伦理问题。 互联网的开源、开放、个人隐私、安全，一直被视为一对矛盾体，不断在玩游戏……

当然，面对瞬息万变的网络世界，“法律试图跟上技术的步伐，结果总是技术领先，这几乎是永恒不变的规律！......技术如此庞大、如此活跃，以至于法律薄弱，不适合对其进行严格监管。”

或许只能要求法律尽可能拉近网络世界与现实社会的距离，相关部门尽量通过法规、规章、司法解释等适时补充，动态立法，预防和打击网络犯罪，并尽可能克服滞后。