每經(jīng)編輯 王健飛    

王健飛

從5月12日開(kāi)始，一款名為“WannaCry”的比特幣勒索病毒席卷全球。該病毒先是從歐洲爆發(fā)，在相繼襲擊了西班牙電信、英國(guó)國(guó)民衛(wèi)生服務(wù)體系、聯(lián)邦快遞等大型機(jī)構(gòu)的計(jì)算機(jī)后迅速蔓延至全球。在國(guó)內(nèi)，部分高校和企事業(yè)單位的計(jì)算機(jī)成了WannaCry的第一批受害者。

根據(jù)報(bào)告，截至2017年5月15日零時(shí)，全球近百個(gè)國(guó)家超過(guò)10萬(wàn)家組織和機(jī)構(gòu)被該病毒攻陷。在我國(guó)國(guó)內(nèi)，僅12~13日兩天時(shí)間就有29000個(gè)公網(wǎng)IP地址遭到感染，而更多非聯(lián)網(wǎng)IP還是暫時(shí)無(wú)法監(jiān)測(cè)的，這也意味著潛在受害者可能更多。

仿佛是在一夜之間，我們似乎又回到了那個(gè)不敢隨便登錄不明網(wǎng)站、在電腦上插入一個(gè)U盤就要擔(dān)驚受怕的時(shí)代。這也警示電腦用戶，所謂互聯(lián)網(wǎng)“變得更安全了”可能只是一種錯(cuò)覺(jué)——互聯(lián)網(wǎng)并沒(méi)有越來(lái)越安全，只是危險(xiǎn)變了花樣。

在WannaCry爆發(fā)之后，很多人提到了“熊貓燒香”病毒。在國(guó)人的經(jīng)驗(yàn)里，似乎自“熊貓燒香”之后，再?zèng)]有一款病毒像剛剛爆發(fā)的WannaCry那樣引起社會(huì)的廣泛關(guān)注了。

的確，過(guò)去數(shù)年來(lái)，蠕蟲(chóng)病毒數(shù)量一直在下降。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）《互聯(lián)網(wǎng)安全威脅報(bào)告》2016年12月（總第72期）顯示，當(dāng)月中國(guó)境內(nèi)總計(jì)感染終端281萬(wàn)個(gè)，其中蠕蟲(chóng)病毒66萬(wàn)，木馬病毒有215萬(wàn)之多。

蠕蟲(chóng)病毒逐漸減少的最重要原因是：制作蠕蟲(chóng)病毒的作者無(wú)法從蠕蟲(chóng)感染中獲得利潤(rùn)。

在“熊貓燒香”事件之后，中國(guó)的黑客們意識(shí)到制造和傳播病毒所存在的巨大風(fēng)險(xiǎn)，因此紛紛轉(zhuǎn)向灰色產(chǎn)業(yè)和黑色產(chǎn)業(yè)以尋求更高的收益，而病毒也不再以“破壞用戶電腦”為主要發(fā)作形式。中了蠕蟲(chóng)病毒之后，電腦會(huì)變慢、文件會(huì)打不開(kāi)、程序會(huì)崩潰，可木馬病毒十分追求“用戶體驗(yàn)”——它靜默地運(yùn)行在后臺(tái)，可以做到讓用戶毫無(wú)察覺(jué)。

木馬病毒可以控制感染者的電腦，使整個(gè)電腦都為黑客所用。在木馬病毒的整個(gè)黑色鏈條中，一臺(tái)肉雞（被感染的電腦）宛如在一個(gè)現(xiàn)代化的雞肉加工流水線上：會(huì)有專門的人判斷機(jī)器性能如何，是否可以用于攻擊他人的電腦、是否可以用于搜集某些數(shù)據(jù)、是否可以直接盜取機(jī)主的銀行或理財(cái)信息等等。

木馬病毒背后的產(chǎn)業(yè)鏈要做到的是“物盡其用”，在剩余價(jià)值被完全榨干之前，病毒一般不會(huì)選擇“盜取賬戶”這種會(huì)直接引起用戶警覺(jué)的行為。這正是讓許多用戶誤以為“自己很久沒(méi)中過(guò)毒”的原因。甚至于，在WannaCry之前，可能已有其他的木馬病毒入侵了用戶的電腦，但卻沒(méi)有引起廣泛注意，因?yàn)樗麄儾粫?huì)影響電腦的正常使用。

在2013年以前，涉及勒索、轉(zhuǎn)賬、匯款的病毒并不是一個(gè)好主意。因?yàn)楹诳驮阢y行的每一筆支取都是有據(jù)可循的。這會(huì)直接讓黑色產(chǎn)業(yè)鏈曝光于陽(yáng)光之下。直到比特幣出現(xiàn)。

“比特幣勒索病毒”這個(gè)媒體創(chuàng)造的名稱，其實(shí)很有誤導(dǎo)性。這個(gè)名字好像在說(shuō)“是比特幣勒索了你”，但這個(gè)病毒的實(shí)質(zhì)是——病毒的生產(chǎn)者勒索了你，它索要的贖金是比特幣——一種可以完全隱藏收款賬戶身份的虛擬貨幣。正是由于比特幣的存在，讓全球勒索相比盜刷信用卡之類的犯罪，變得更加低成本和低風(fēng)險(xiǎn)。

比特幣社區(qū)并不想替黑客背這個(gè)黑鍋，但也承認(rèn)這次勒索病毒肆虐的原因與比特幣的特點(diǎn)有很大關(guān)系。比特幣并不由任何特定機(jī)構(gòu)發(fā)行和管理，它像是一個(gè)完全透明的銀行機(jī)構(gòu)。我們可以從區(qū)塊鏈賬簿（記載著有史以來(lái)所有比特幣交易的數(shù)據(jù)庫(kù)）中看到有多少人向黑客繳納了“贖金”，但卻無(wú)法知道黑客是誰(shuí)。

在此次“勒索”事件中，目前情況顯示比特幣并沒(méi)有大量流入黑客的賬戶，而且這一數(shù)字貨幣的“安全性”確保了沒(méi)有人能追回這些贖金。盡管如此，比特幣圈內(nèi)對(duì)“直接勒索用戶”這種黑客的新興變現(xiàn)渠道并不看好，原因主要有兩點(diǎn)：其一，對(duì)普通人來(lái)說(shuō)，繳納贖金的過(guò)程太為復(fù)雜；其二，目前很多國(guó)家（中國(guó)、美國(guó)和歐盟一些國(guó)家），對(duì)比特幣與實(shí)體貨幣之間的兌換設(shè)置了實(shí)名制關(guān)卡，在比特幣提現(xiàn)過(guò)程中會(huì)存在一些風(fēng)險(xiǎn)，這對(duì)黑客來(lái)說(shuō)并不真的“安全”。

其中第一個(gè)問(wèn)題是比特幣圈內(nèi)認(rèn)為這次黑客勒索資金規(guī)模并不算大的主要原因——黑客這次按照不同的地區(qū)定制了不同的價(jià)格，希望廣撒網(wǎng)“薄利多銷”。但對(duì)于普通用戶而言，沒(méi)有那么多數(shù)據(jù)重要到能驅(qū)動(dòng)他們從頭到尾學(xué)習(xí)如何交易比特幣。而會(huì)用比特幣的用戶往往都是“極客”，對(duì)電腦的防護(hù)比較到位。

在病毒爆發(fā)的第一時(shí)間，有人將這次病毒的爆發(fā)指向了落后的操作系統(tǒng)——在最初的報(bào)道中，不乏學(xué)校機(jī)房、企事業(yè)單位的公用電腦成為最早被感染的受害者。病毒爆發(fā)后不久，微軟破例針對(duì)已經(jīng)終止后續(xù)維護(hù)的Windows XP發(fā)布了修復(fù)漏洞的補(bǔ)丁，但對(duì)XP以后的系統(tǒng)卻并沒(méi)有推出專門的補(bǔ)救措施，原因很簡(jiǎn)單：所有在微軟生命周期內(nèi)的Windows系統(tǒng)都已于今年3月的月度安全更新中，修正了這次病毒賴以傳播的漏洞。

這也解釋了國(guó)內(nèi)第一批受感染的電腦為什么出現(xiàn)在學(xué)校和機(jī)關(guān)單位：出于統(tǒng)一部署服務(wù)和軟件的需要，這些電腦大多運(yùn)行著落后的操作系統(tǒng)（XP），安全維護(hù)無(wú)法做到及時(shí)全面。因此，它們的漏洞修補(bǔ)只能是“亡羊補(bǔ)牢”。

但是，Windows7、8的中毒用戶也不在少數(shù)，這又是為什么呢？原因竟然是這些用戶主動(dòng)、或者在安全軟件的“幫助”下關(guān)閉了微軟的自動(dòng)更新。

許多用戶“沒(méi)有及時(shí)升級(jí)系統(tǒng)”的原因恰是因?yàn)?ldquo;善解人意”的殺毒軟件在看準(zhǔn)用戶不想更新系統(tǒng)這個(gè)需求，提供了“關(guān)閉Win10系統(tǒng)更新”和“關(guān)閉Windows Defender”等功能——許多殺毒軟件摧毀了系統(tǒng)廠商建立的長(zhǎng)城，然后用泥巴糊了一道土墻，讓用戶的系統(tǒng)“看起來(lái)”安全。

微軟作為操作系統(tǒng)廠商，比任何第三方殺毒軟件都能更早發(fā)現(xiàn)運(yùn)行于Windows平臺(tái)上的病毒以及系統(tǒng)自身的漏洞，并與系統(tǒng)內(nèi)置的權(quán)限組功能配合對(duì)安全問(wèn)題進(jìn)行修正。從Windows10開(kāi)始，微軟強(qiáng)制打開(kāi)所有用戶的自動(dòng)更新功能，這也導(dǎo)致了在微博和朋友圈里我們總能看到曬“升級(jí)”——Windows不合時(shí)宜的系統(tǒng)更新為用戶帶來(lái)了不少的困擾，但這確實(shí)也帶來(lái)了全方位的保護(hù)。

另外，微軟早在Windows 7開(kāi)始便在系統(tǒng)內(nèi)置了名為Windows Defender的殺毒軟件。初期的Windows Defender效果并不是很好，但經(jīng)過(guò)幾年的發(fā)展，它已經(jīng)成為Windows平臺(tái)上最有效的殺毒軟件之一。

其實(shí)，普通的正版Windows用戶只要同時(shí)開(kāi)啟自動(dòng)更新、內(nèi)置防火墻和Windows Defender，其實(shí)很難說(shuō)是否有安裝第三方殺毒軟件的必要。

可無(wú)論是自動(dòng)更新還是這款免費(fèi)的殺毒軟件，都不受中國(guó)用戶的歡迎——在百度上，你能夠搜到許多關(guān)于“如何關(guān)閉Windows Defender”的提問(wèn)。在普通用戶的認(rèn)知里，國(guó)內(nèi)的一些安全軟件是可以加速并保護(hù)電腦的——因?yàn)樗麄儠?huì)在右下角彈出提示框展示自己的加速功績(jī)。而默默在后臺(tái)工作的Windows Defender則成為“電腦卡”的罪魁禍?zhǔn)住?/p>

那么國(guó)內(nèi)這些安全軟件對(duì)這次WannaCry的抵御效果到底如何呢？專業(yè)人士在模擬離線環(huán)境（不更新病毒庫(kù)）下，對(duì)國(guó)內(nèi)多款軟件的公眾版本進(jìn)行了查殺測(cè)試，結(jié)果無(wú)一攔截成功——而本次受到WannaCry感染電腦中剛好有大量長(zhǎng)期不聯(lián)網(wǎng)的內(nèi)網(wǎng)電腦，而這些電腦又沒(méi)有做專門的離線殺毒部署。

從這個(gè)意義上講，讓我們暴露在WannaCry病毒之下的，其實(shí)很可能正是我們自己。這次事件可以提醒廣大用戶——去勤快地更新系統(tǒng)吧。

（作者為財(cái)經(jīng)專欄作家、品玩PingWest特約觀察員，本文轉(zhuǎn)載自公眾號(hào)ID：wepingwest）