一个攻击世界的勒索软件揭露了暗网、比特币和美国国家安全局的惊人内幕

✎ 编辑按

勒索软件事件频发的背后，是依托于病毒创建、代码混淆、传播变现的完整黑色生态链。更令人不寒而栗的是，像美国国家安全局这样本应保护网络免受攻击的机构，却制造了无数具有巨大破坏力的武器来跟踪和破译信息。谁控制我们的网络安全？

勒索软件“永恒之蓝”的全球爆发可能是这几天影响最大的公共安全事件。

与以往相比，此次勒索事件最大的亮点在于勒索病毒与蠕虫病毒结合传播。 MS17-010 漏洞。在美国国家安全局泄露的文件中，WannaCry 传输方式的利用代码被称为“永恒之蓝”，因此也有报道称此次攻击为“永恒之蓝”。

勒索软件爆发的消息自上周五晚间就开始流传。当时，大部分病毒感染都在校园网络内。随着毕业季的临近，许多实验室和学生的毕业项目和论文被残忍地杀害。过去的周末，很多人被拉回公司或单位加班打补丁，以防止周一“开机潮”造成的大规模感染。

尽管如此，在新闻报道中，我们仍然看到国内很多高校、加油站、火车站、自助终端、医院、政务服务终端等被病毒感染的消息。

中石油有机器攻击

▍事件

关于病毒的爆发原理，相信大家我也看了很多文章。简而言之，该蠕虫勒索软件针对Windows中的漏洞攻击用户比特币暗网怎么进，对电脑中的文档、图片等进行高强度加密，并要求用户以比特币支付赎金，否则会“撕票”七几天后。 ，即使支付赎金也无法恢复数据。加密方法很复杂，每台电脑都有不同的加密序列号。以目前的技术手段，解密几乎是“无能为力”。

在当今互联互通的世界中，受害者当然不仅限于中国。

据360威胁情报中心统计，自12日疫情爆发以来，全球近100个国家的10万多个组织和机构被抓获，其中美国组织1600个，俄罗斯组织11200个，中国有超过 29,000 个 IP 被感染。

勒索软件正在全球蔓延

在西班牙，电信巨头Telefonica、电力公司Iberdrola、能源供应商Gas Natural，该国多家公司的网络系统瘫痪；葡萄牙电信、美国交通巨头联邦快递、瑞典当地政府、俄罗斯第二大移动通信运营商 Megafon 均受到攻击。

据欧洲刑警组织称，此次袭击影响了 150 个国家和地区。确切数字可能会随着病毒版本的更新迭代而增加。

那么问题是：这是谁干的？ ！

▍黑手

没有答案。

用360核心安全团队负责人郑文斌的话来说，勒索病毒溯源一直是个难题。 FBI曾悬赏300万美元寻找勒索软件的作者，但没有结果。目前，世界上没有一个勒索软件的作者来自哪个国家。

但是从勒索的方式来看，电脑感染病毒后，会有包括中文在内的15种语言的勒索提示，而且整个支付都是通过比特币和匿名网络进行的，非常难以追踪。可能是黑色产业链下的组织行为。

电脑中毒页面截图

勒索软件是2013年才出现的新型病毒。从2016年开始，该病毒进入爆发期，截至目前，已有100多种勒索软件从这种行为模式中获利。例如，去年，CryptoWall 病毒家族的一个变种收到了 23 亿美元的赎金。近年来，不同类型的勒索软件出现在 Apple 电脑、Android 和 iPhone 上。

虽然还没有找到攻击者，但他们使用的工具指向了一个机构，即 NSA。

该机构也称为国家安全局，隶属于美国国防部，是美国政府中最大的情报机构，专门收集和分析国内外通信。黑客使用的“永恒之蓝”是美国国家安全局针对微软MS17-010漏洞开发的网络武器。

病毒利用445端口漏洞渗入计算机

事情是这样的：美国国家安全局本身拥有大量研发的网络武器，但在2013年6月，“永恒之蓝”等十几件武器被黑客组织“暗影破坏者”窃取。

今年3月，微软针对这个漏洞发布了补丁，但一个是部分用户不习惯及时打补丁，另一个是全球很多用户还在使用已经停止更新的Windows XP服务。等待低版本无法获取补丁，从而在全球范围内造成大规模传播。再加上“蠕虫”连续扫描的特点，很容易不间断地反复感染互联网和校园、企业、政府机构的内网。

另一个问题：为什么 NSA 会知道微软的漏洞，并制造了专门的网络武器，然后其中一些武器落入了黑客的手中？

▍国安局

实事求是，Windows作为操作系统之一，由数亿行代码组成，一个人不可能决定它们之间的逻辑关系。漏洞很难消除。而Windows是世界上最常用的操作系统，黑客研究漏洞、攻击牟利是“正常的”。

但作为美国国家安全局，盯着这个系统的漏洞就够了，而且还专攻武器。这是什么原因？

事实上，直到黑客组织曝光了这个漏洞，微软自己才知道这个漏洞的存在。换句话说，只有 NSA 知道这个漏洞的存在，也只有他们知道他们知道多久了。

在网络安全专家看来，很可能是 NSA 早就知道并利用了这个漏洞，而这次却被犯罪团伙利用，造成了如此巨大的破坏。伤害。

从这一点可以看出，美国的技术确实很强，在网络安全领域是世界领先的；同时，“漏洞”也成为军事家宝贵的战略资源。

也就是说，通过互联网对现实发起攻击，不再是科幻电影的场景专利，而是已经发生的现实。如果你不相信我，让我告诉你一个真实的故事-

披露美国政府监视世界的“棱镜计划”的斯诺登是美国国家安全局的前雇员。他证实的一条信息是，2009 年，奥巴马政府下令使用网络攻击武器，代号为“Stuxnet”的病毒来攻击伊朗的核设施。

原因很复杂。简而言之，以色列设法通过马来西亚的一家软件公司让伊朗购买带有病毒的离心机控制软件；像这样的离心机，最终对 1000 多台离心机造成了永久性物理损坏，不得不暂停浓缩铀的进程。

这也是历史上第一次利用虚拟空间来攻击和摧毁现实世界，达到了以往只能通过野战军事行动才能达到的效果。去年，乌克兰的电网系统也遭到黑客攻击，导致数百户家庭停电。

美国国家安全局掌握多少网络武器当然是美国的秘密。但根据维基解密，不仅美国国家安全局，还有中央情报局，其网络情报中心制造了 1000 多个计算机病毒和黑客系统——斯诺登在 2013 年证实了这一数字。

因此，在“永恒之蓝”爆发后，《纽约时报》报道称，“如果确认这起事件是由美国国家安全局 (NSA) 泄露的网络武器引起的，那政府应该受到责备，因为美国政府让许多医院、企业和其他政府处于弱势。”

根据美国国家安全局的说法，它的作用应该是“保护美国公民免受攻击”；他们还指责许多国家对美国进行网络攻击。但事实恰恰相反。他们指责的国家都是病毒的受害者，他们用来“防御”的网络武器已经成为黑客攻击美国公民的武器。

用 NPR 的话来说，“这次攻击指出了安全领域的一个基本问题，即 NSA 监视是在保护人们还是在制造更多不可预见的情况。损害甚至超过了收益。”

该勒索软件再次证明了美国国家安全局等机构拥有突破全球互联系统的“软件”，培育了更多类似的“木马”来应对各种跟踪破解信息。 “永恒之蓝”只是可以造成如此巨大伤害的漏洞之一。

犯罪行为的发展实际上与人类科技的发展是同步的。有了手机，犯罪分子就用手机犯罪，有了互联网，犯罪分子就用网络犯罪。

▍暗网

这一切都源于互联网另一个维度的存在，这是普通人无法企及的，需要通过匿名浏览器登录——暗网。

暗网又称Deep Web，是指存储在网络数据库中但无法通过超链接访问，需要通过动态网络技术访问的资源的集合。搜索引擎索引的表面网络。

互联网的另一个世界 - 暗网

知名安全公司火融联合创始人马钢提供的调查报告显示：勒索事件频发的背后，依托的是一条完整的病毒制造、代码混淆（对抗），以及最终实现的传播。随着病毒制造门槛的降低，代码对抗和混淆技术的成熟，病毒传播方式的丰富，变现模式（比特币）的“优化”，可以预见，勒索软件将会越来越多未来的病毒。

“勒索软件在 2014 年大规模爆发，未来还会持续很长一段时间。原因是黑产业会继续强行勒索。” 《勒索终结者》的作者，平视科技创始人福建倪茂志如是说。

2016年，全国至少有497万台电脑受到勒索病毒的攻击，勒索病毒作为网络犯罪的新生力量，已经成为一场灾难。 2016年，中国仅通过网络链接（URL）传播的勒索软件数量增长了60多倍，迅速成为勒索软件感染最严重的十大国家之一。

一般来说，在互联网上，我们可以通过百度和谷歌搜索引擎搜索热点新闻、一些大公司的信息和数据，但这些只是网络信息的5%到20%。 其余的网页内容是搜索引擎无法搜索到的，它们是网络中的“暗网”。

据统计，每天大约有 250 万人访问暗网，它几乎出售你能想到的任何东西，你可以找到假的欧盟和美国护照、各种毒品，甚至还有裸体名人自拍等等。

暗网大量勒索交易

暗网在病毒交易、邮件传输等环节日趋成熟，形成了包括生产、传播、传递赎金在内的完整黑色产业链。不同身份的黑客在这条链上协同工作，相互交换资源和数据。

很多网络专家调查过暗网，他们判断暗网活跃的黑客社区很多，没有一个是开放的，必须有邀请才能加入讨论组。通常，这些黑客组织还细分为他们的主要攻击领域，例如攻击社交媒体、数据盗窃、恶意软件和漏洞利用以及“运行和命中”攻击（即 DDoS 攻击、网站黑客攻击）。

从上游的角度来看，即使你不会编写程序，也会有人将勒索软件的程序模块出售给任何人竞拍。勒索软件的变种。对于付费的“客户”，黑市上也有各种辅导培训业务。

这些培训教犯罪分子如何窃取公司信用卡数据、窃取信息以准备利用、进行垃圾邮件和网络钓鱼活动，或进行 DDos 攻击。 “这些教程不仅会解释什么是基本加密程序、远程访问木马 (RAD) 以及什么是漏洞利用工具，还会解释如何使用这些工具、常用哪些工具以及它们的成本。”

▍比特币

勒索软件最终形成了整个黑色产业链中的另一个重要环节，即赎金的传递。可以说，比特币的出现加速了勒索软件的泛滥。

接收比特币支付，不需要去金融机构实名开户，也不需要通过任何第三方机构，比如第三方支付，即目前大家用得最多的。要接收比特币付款，您只需要下载并注册一个独立的比特币钱包。

比特币是勒索软件交易的重要组成部分

今年以来，比特币价格一路飙升，5月10日，国内比特币价格暴涨至1万元，2小时内最高涨幅5%，创下国内比特币新纪录。海外比特币盘中报价达到1700美元，约合人民币11737元，涨幅达70%。

比特币是一种点对点网络支付系统和虚拟定价工具，俗称数字货币。比特币的一个非常重要的特点是它的用户是匿名的，通过比特币支付地址很难追踪到对应的所有者。因此，很多地下交易者慢慢开始使用比特币收款，不仅可以通过互联网在全球范围内收款和支付，免去了安全人员沿着收款地址的线索追踪。

每一笔比特币交易都记录在整个p2p网络的数据节点中。只要地址公开了，身份也就公开了。但是，只要将比特币充值到交易平台、赌场和在线钱包，链条就会中断。

为了理顺这条链条，相关平台必须提供站内数据、数据库记录等。每增加一个这样的过程，都增加了记录检查的难度。如果我们环游世界，恐怕只有联合国牵头国际合作才能一探究竟。

例如：你成功破解了一个网站，然后卖掉网站数据库，赚取 100 比特币。

然后，充值到-欧洲交易平台，再转入-亚洲交易平台-南美比特币赌场-本地比特币钱包-美国交易平台。最后——切换回国内平台。

这是多年来最大的网络安全事件

当最后一步完成后，从国内交易平台的角度来看，只是一个陌生人充值了100个比特币的地址，来源完全不明。正如一些媒体的结论是：比特币价值不是凭空吹出来的泡沫，而是有全球黑产支撑的！

在比特币的支持下，勒索软件在网络世界盛行，并呈现爆发式增长。

比特币助长勒索软件的传播

▍警告

首先，国安局当然应该反思，虽然他们还没有回应。但更值得反思的是一个本质性的话题：网络安全掌握在谁手中？

这一次，美国政府内部的决策过程更值得批评。内部有一个称为 VEP（Vulnerability Equity Process）的过程。它的用途是当 NSA 或其他美国政府部门发现软件漏洞时，必须经过这个过程来决定是否披露该漏洞。

如果漏洞被公开，微软等厂商可以轻松打补丁，漏洞就会消失；如果漏洞未被披露，这些政府部门可以将其保留用于“执法、情报收集或其他目的”。 '进攻性'剥削”。虽然这个由奥巴马政府创建的程序既不是法律也不是总统令，但它自 2008 年以来就已实施。

在美国以外其他国家的人看来，这个过程显然是有问题的：这个过程可以称为“黑匣子”，全世界的网络安全风险都是美国造成的。内部机制决定了其他人莫名其妙地面临风险。

对此，微软总裁布拉德·史密斯也在其博客上愤怒地表示，“如果这些政府部门继续躲在暗处，挖掘全球计算机系统的漏洞，然后制造出所谓的‘武器库’，如果你用它来攻击其他国家或‘贸易’，那么你就是网络犯罪的帮凶！”

在这个意义上，习总书记多次说过“没有网络安全就没有国家安全”。这是有目的的。试想，这一次病毒还在控制之中，如果下次网络攻击规模更大、目标更明确怎么办？

站在中国的角度，在大多数人的印象中，上一次这种规模的病毒爆发，大概要追溯到十多年前的“熊猫烧香”。像这样的病毒，也很少会遇到攻击几乎无解的严重情况，自己的重要信息被“绑架”。

从不同地方的反应来看，对网络安全的重视程度明显不同。国家网信部门以及上海、北京等省市几乎在13日发布紧急通知； 15日上午发生的感染人数超过中西部省份。

也有业内专家指出比特币暗网怎么进，很多政府、企事业单位、校园等机构的领导对网络安全的概念还停留在“电脑中毒了找人杀毒”这个层次。有了内网的物理隔离，就没问题了。”观念和防护措施相当落后。

最后需要体现的是，很多人关注的焦点是比特币，而不是更深层次的问题。勒索软件大规模爆发的时机很奇怪，因为目前比特币市场正在经历一个比较大的事件。美国证券交易所（SEC）正在重申比特币ETF基金，SEC将很快公布审计结果。如果比特币ETF基金一旦获批，比特币将正式进入主流金融市场，其在美国的法律地位将进一步提升。

从全球货币竞争的角度来看，未来能够与美元竞争的货币肯定是一种新型货币，而不是另一种主权货币。比特币从几美分涨到一万多元，充分说明它逐渐被认可为一种新的货币形态，对美元构成战略威胁。

在事情结束之前，有足够的问题和冲击。这就像一场公共卫生事件。通常对安全的重视和组织程度决定了瘟疫的传播范围。不得不说，这是一堂非常生动深刻的网络安全教育课。毕竟，今天我们的个人信息、资产、资料等越来越多地与计算机和网络连接，而这个过程是不可逆转的。