歐洲刑警組織（Europol）在上週日稱，席捲全球的勒索病毒“想哭” ( WannaCry ) 在5月12日的第一輪攻擊中已感染了150個(gè)國家的近20萬臺(tái)電腦。安全軟體公司愛維士 ( Avast ) 在部落格中指出，在首次襲擊中，駭客的主要目標(biāo)是俄羅斯、烏克蘭和中國臺(tái)灣。據(jù)360威脅情報(bào)中心統(tǒng)計(jì)，中國大陸有超過29000多個(gè)IP被感染。據(jù)報(bào)道，多地公安系統(tǒng)、學(xué)校、醫(yī)院以及中石油旗下的2萬座加油站都中招。

　　一、病毒是怎麼蔓延開來的？

　　據(jù)《金融時(shí)報(bào)》報(bào)道，首輪襲擊大約在倫敦時(shí)間5月12日的8點(diǎn)24分。一位歐洲用戶無意中打開了郵件附件中的病毒壓縮文件，導(dǎo)致病毒開始大肆傳播?！都~約時(shí)報(bào)》根據(jù)部落格MalwareTech 提供的數(shù)據(jù)，將首日病毒爆發(fā)的過程做成了動(dòng)態(tài)地圖。從監(jiān)測(cè)數(shù)據(jù)來看，勒索病毒在全球迅速蔓延，歐洲成為第一輪襲擊的重災(zāi)區(qū)。不少大型企業(yè)和機(jī)構(gòu)也未能倖免于難，其中包括西班牙電信公司 ( Telefónica )、英國境內(nèi)的61家醫(yī)療企業(yè)、法國汽車製造商雷諾 ( Renault )、德國聯(lián)邦鐵路公司 ( BAHN )、俄羅斯第二大移動(dòng)運(yùn)營商 MegaFon以及俄羅斯聯(lián)邦儲(chǔ)蓄銀行 ( Sberbank ) 。

　　病毒擴(kuò)散5小時(shí)地圖：從美國東部時(shí)間5月12日上午11點(diǎn)至下午4時(shí)許，WannaCry病毒攻擊的電腦已遍佈世界各個(gè)大洲。（其中有部分在下午2點(diǎn)至3點(diǎn)的數(shù)據(jù)未被記錄）圖片來源：紐約時(shí)報(bào)

　　二、目前病毒被控制住了嗎？

　　首輪襲擊開始的5月12日正值許多國家的星期五——當(dāng)周的最後一個(gè)工作日，多家媒體和機(jī)構(gòu)認(rèn)為病毒襲擊可能會(huì)在週末結(jié)束、人們重返工作時(shí)變得更加不可遏制。但從監(jiān)測(cè)數(shù)據(jù)來看，截至5月16日（週二），相較週日的感染情況，又有約10萬臺(tái)電腦受到感染，但病毒襲擊的速度已經(jīng)開始放緩。然而，根據(jù)5月17日路透社的報(bào)道，勒索病毒的幕後駭客組織“影子經(jīng)紀(jì)人”（Shadowbrokers）宣稱，將釋放出更多的惡意病毒，並將採用出售惡意代碼和數(shù)據(jù)的方式來替代勒索，形成“商業(yè)模式”。

　　值得一提的是，WannaCry病毒首輪攻擊的原本威力有可能更強(qiáng)，來自 Kryptos Logic （網(wǎng)路安全公司）的IT工程師 Marcus Hutchins通過控制關(guān)鍵域名，有效地限制了病毒的進(jìn)一步傳播。在分析病毒代碼後，他發(fā)現(xiàn)在部分病毒代碼的開頭有一個(gè)特殊的域名地址：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。該域名在5月12日上午8點(diǎn)病毒開始攻擊時(shí)，訪問數(shù)量激增。

　　圖片來源：MalwareTech

　　他還發(fā)現(xiàn)病毒存在一個(gè) kill-switch 的開關(guān)。在攻擊前，病毒會(huì)依據(jù)這一長(zhǎng)串的域名來查看自身是否處於防病毒環(huán)境。在域名被註冊(cè)後，查看防病毒環(huán)境的這一步會(huì)終止，所有的病毒會(huì)以為自己處於防病毒系統(tǒng)，就退出了攻擊。這個(gè)發(fā)現(xiàn)在一定程度上限制了病毒的傳播。

　　根據(jù)5月14日卡巴斯基的監(jiān)測(cè)報(bào)告顯示，在新一輪的病毒攻擊中發(fā)現(xiàn)了兩個(gè)新的變種，其中一種取消了 kill-switch 開關(guān)，但由於代碼的編寫缺陷，取消開關(guān)的 WannaCry 病毒暫時(shí)未引起大規(guī)模的攻擊事件。

　　三、駭客收到了多少贖金？

　　WannaCry 病毒“綁架”的是用戶數(shù)據(jù)。遭受病毒襲擊的用戶如想恢複數(shù)據(jù)，需要向駭客的比特幣賬戶交付價(jià)值300美元的比特幣，否則文件將被永久刪除。澎湃新聞 ( www.thepaper.cn ) 在比特幣平臺(tái) BlockChain 中查詢了美國媒體 Quartz 公佈的3個(gè)主要的駭客比特幣賬戶（用於勒索的賬戶總數(shù)還不得而知）。截至5月15日，這3個(gè)賬戶共收到188筆轉(zhuǎn)賬，至少獲得了28.48個(gè)比特幣，按照當(dāng)日市價(jià)估算，獲利約49614美金。

　　美國國土安全部的電腦緊急應(yīng)對(duì)小組稱，並不支援遭受襲擊的用戶向駭客支付贖金，因?yàn)檫@還有可能會(huì)洩露自己銀行資訊。360安全技術(shù)負(fù)責(zé)人鄭文彬在接受36氪採訪時(shí)表示，從病毒規(guī)模來看，現(xiàn)在交付贖金的人並不是很多，且支付贖金並不能百分之百確?；謴?fù)文件。雖然已有國外研究機(jī)構(gòu)驗(yàn)證，交付贖金後確實(shí)可解密文件。

　　四、這類襲擊以後會(huì)越來越普遍嗎？

　　網(wǎng)路安全公司賽門鐵克 ( Symantec ) 在《2017年網(wǎng)路安全威脅報(bào)告》中指出，勒索病毒襲擊在近年來有愈演愈烈之勢(shì)。從賽門鐵克的監(jiān)測(cè)數(shù)據(jù)來看，2016年勒索病毒攻擊事件較前年增長(zhǎng)了36%，從34萬起上升到46.3萬起。美國是遭受勒索軟體襲擊最多的國家，佔(zhàn)到了34%；緊隨其後的是日本和義大利，分別佔(zhàn)到9%和7%。

　　五、駭客從哪入侵了電腦？

　　卡巴斯基安全實(shí)驗(yàn)室發(fā)佈的報(bào)告稱，此次駭客使用的網(wǎng)路攻擊工具是“永恒之藍(lán)” ( Eternal Blue )，來源於美國國家安全局 ( NSA ) 的網(wǎng)路武器庫。WannaCry 掃描開放的445文件共用端口，無需任何操作，只要用戶開機(jī)上網(wǎng)，“永恒之藍(lán)”就能在電腦裏執(zhí)行任意代碼，植入勒索病毒等惡意程式。

　　通過445端口，用戶可以在局域網(wǎng)中輕鬆訪問各種共用文件或使用共用列印機(jī)。然而，這個(gè)在“業(yè)內(nèi)”毀譽(yù)參半的端口，本身也是駭客攻擊的主要目標(biāo)之一。根據(jù) statistic 的數(shù)據(jù)顯示，2014年第四季度的全球網(wǎng)路襲擊中，對(duì)於445端口的襲擊佔(zhàn)到了15%，排在已知受攻擊端口的第二位。