想哭！上周末，一个被称为“WannaCry”（也有称WannaCrypt）的勒索病毒在全球范围内肆虐。这个传说中属于“网络战武器”的病毒，到底是怎么回事？这篇文章会为你梳理事情的全貌。

什么是WannaCrypt勒索病毒？

北京时间2017年5月12日晚上22点30分左右，全英国上下16家医院遭到大范围网络攻击，医院的内网被攻陷，导致这16家机构基本中断了与外界联系，内部医疗系统几乎停止运转，很快又有更多医院的电脑遭到攻击，这场网络攻击迅速席卷全球。

这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒。

勒索病毒本身并不是什么新概念，勒索软件Ransomware最早出现在1989年，是由Joseph Popp编写的叫"AIDS Trojan"（艾滋病特洛伊木马）的恶意软件。在1996年，哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件，明确概述了勒索软件Ransomware的概念：利用恶意代码干扰中毒者的正常使用，只有交钱才能恢复正常。

最初的勒索软件和现在看到的一样，都采用加密文件、收费解密的形式，只是所用的加密方法不同。后来除了加密外，也出现通过其他手段勒索的，比如强制显示色情图片、威胁散布浏览记录、使用虚假信息要挟等形式，向受害者索取金额的勒索软件，这类勒索病毒在近几年来一直不断出现。

本次肆虐的WannaCry也是同样的勒索方式，病毒通过邮件、网页甚至手机侵入，将电脑上的文件加密，受害者只有按要求支付等额价值300美元的比特币才能解密，如果7天内不支付，病毒声称电脑中的数据信息将会永远无法恢复。

勒索病毒是怎么加密的？

在提到加密原理之前，首先要来科普一个概念：RSA加密算法，RSA公钥加密是一种非对称加密算法，包含3个算法：KeyGen（密钥生成算法），Encrypt（加密算法）以及Decrypt（解密算法）。

其算法过程需要一对密钥（即一个密钥对），分别是公钥（公开密钥）和私钥（私有密钥），公钥对内容进行加密，私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是，虽然加密用的是公钥，但拿着公钥却无法解密。

这次WannaCrypt勒索病毒使用的通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密，然后将对应的AES密钥通过RSA-2048加密，再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里。简单来说，就是用一个非常非常复杂的钥匙，把你的文件锁上了。能解开的钥匙掌握在黑客手里，你没有；而以现在的计算能力，也基本没有办法强行破解。

勒索病毒是怎么全球范围大规模爆发的？

按理说，勒索病毒只是一个“锁”，其本身并没有大规模传播的能力。这次病毒的泄露与爆发，跟美国国家安全局（NSA）有关。

NSA是美国政府机构中最大的情报部门，隶属于美国国防部，专门负责收集和分析外国及本国通讯资料，而为了研究入侵各类电脑网络系统，NSA或多或少会跟各种黑客组织有合作，这些黑客中肯定有人能够入侵各种电脑。

事情起源于2016 年 8 月，一个叫 “The Shadow Brokers” （TSB）的黑客组织号称入侵了疑似是NSA下属的黑客方程式组织（Equation Group），从中窃取了大量机密文件，还下载了他们开发的攻击工具，并将部分文件公开到网上（GitHub）。

这些被窃取的工具包括了大量恶意软件和入侵工具，其中就有可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝（Eternal Blue）。“永恒之蓝”是疑似NSA针对CVE-2017-（0143~0148）这几个漏洞开发的漏洞利用工具，通过利用Windows SMB协议的漏洞来远程执行代码，并提升自身至系统权限。
2017年4月8日和16日，“The Shadow Brokers”分别在网上公布了解压缩密码和保留的部分文件，也就是说，无论是谁，都可以下载并远程攻击利用，各种没有打补丁的Windows电脑都处在危险状态。

勒索病毒与永恒之蓝搭配的效果就是，只要有一个人点击了含有勒索病毒的邮件或网络，他的电脑就会被勒索病毒感染，进而使用永恒之蓝工具进行漏洞利用，入侵并感染与它联网的所有电脑。

简单地说，可以把永恒之蓝（传播的部分）当成武器，而WannaCrypt勒索病毒（加密文件并利用传播工具来传播自身）是利用武器的人。一旦机器连接在互联网上，它就会随机确定IP地址扫描445端口的开放情况，如果是开放的状态则尝试利用漏洞进行感染；如果机器在某个局域网里，它会直接扫描相应网段来尝试感染。

很多人会奇怪，攻击工具明明是上个月泄露的，但是怎么时隔一个月才集中爆发？一些安全专家发现，这些电脑其实早已被感染，也就是说，在一个月前永恒之蓝早已像定时炸弹一样被安在各个系统中，只是5月12日那天才被启动。

5月16日上午，杀毒软件公司卡巴斯基（Kaspersky Lab）的研究室安全人员表示，他们在研究了早期蠕虫病毒版本与2015年2月的病毒样本发现，其中部分相似的代码来自于卡巴斯基之前关注的朝鲜黑客团队“拉撒路组”，代码的相似度远超正常程度。

因此，卡巴斯基认为这次WannaCrypt勒索病毒与之前的冲击波病毒出自同一黑客团队，同时，信息安全领域的解决方案提供商赛门铁克（Symantec）也发现了同样的证据，安全专家Matt Suiche上午在推特（@msuiche）上公布证据，表示遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”的猜测。

如何应对WannaCrypt勒索病毒？

从病毒爆发到现在，已经有各路专业人士发布过解决方法，简单总结一下：

1、划重点，电脑上的文件一定要备份，并且勤备份。注意不要备份在本机和网络硬盘上，备份盘也不要一直插在电脑上；

2、安装反勒索防护工具，不要访问可疑网站、不要打开可疑的电子邮件和文件，如果发现被感染，也不要支付赎金；

3、关闭电脑包括TCP和UDP协议135和445端口，尤其是Windows7系统，不要使用校园网；

4、安装微软发布的修复“永恒之蓝”攻击的系统漏洞的补丁MS17-010，尽快升级安装Windows操作系统相关补丁。

除了上面的措施，幕后的网络安全人员也在通宵奋战。病毒爆发的第二天，一个英国安全人员分析了病毒的代码，发现在代码的开头有一个域名地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，从病毒开始侵入之后访问量激增。
在代码中提到，每一个被感染的电脑在发作前都会访问这个域名，而如果这个域名不存在，就会一直继续传播下去，一旦被注册就会停止传播。