摘要：2017年5月12日，利用“永恒之藍(lán)”SMB漏洞入侵的“想哭”蠕蟲病毒在全球范圍內(nèi)大規(guī)模爆發(fā)，被感染電腦被要求支付約300美元等值的“比特幣”方可解密文件。該事件正值我國《網(wǎng)絡(luò)安全法》將要實施之時，筆者作為系統(tǒng)學(xué)習(xí)過軟件工程及法律的研究生，從事件一開始便開始關(guān)注，事件爆發(fā)后筆者第一時間找到該蠕蟲病毒的源代碼并進(jìn)行分析，得出該病毒破壞原理。并結(jié)合該病毒為案例，從預(yù)防蠕蟲病毒感染的角度提出幾點(diǎn)建議。

關(guān)鍵詞：網(wǎng)絡(luò)安全法；永恒之藍(lán)；蠕蟲；預(yù)防

中圖分類號：D924.3文獻(xiàn)標(biāo)識碼：A文章編號：2095-4379-（2017）23-0249-01

作者簡介：晏子昂（1993-），男，漢族，湖南益陽人，云南財經(jīng)大學(xué)法學(xué)院，法律碩士研究生，研究方向：訴訟法；導(dǎo)師：佴澎。

一、事件背景

2007年，美國秘密啟動“棱鏡”互聯(lián)網(wǎng)監(jiān)控行動。制作了一系列攻擊工具進(jìn)行監(jiān)聽，而其中就有“永恒之藍(lán)”這一在十年后肆虐全球的蠕蟲工具[1]。今年4月初，美國國家安全局內(nèi)部泄露出這一系列蠕蟲工具的源代碼。4月16日，我國負(fù)責(zé)互聯(lián)網(wǎng)安全的CNVD機(jī)構(gòu)嗅探到了對我國互聯(lián)網(wǎng)安全具有潛在性威脅的這一事件，發(fā)布了一系列預(yù)防的公告。5月12日，該蠕蟲病毒在全球范圍內(nèi)大規(guī)模爆發(fā)。僅僅24小時之內(nèi)，全世界近一百個國家和地區(qū)受到波及，受到蠕蟲病毒感染的計算機(jī)文件被加密，并被要求支付約300美元等值的“比特幣”方可解密文件。當(dāng)晚，山東大學(xué)、江蘇大學(xué)、太原理工大學(xué)、桂林電子科技大學(xué)等十幾家高校也遭受攻擊[2]

二、“想哭”病毒的破壞原理

通過對病毒的源代碼進(jìn)行分析，病毒對被感染的計算機(jī)系統(tǒng)內(nèi)的文件進(jìn)行高強(qiáng)度加密，文件加密的過錯大致如下，首先通過隨機(jī)數(shù)設(shè)置一個密鑰，并將其REA兩次加密，隨后開始掃描全盤文件，根據(jù)后綴名的不同，其一，對于exe、dll等文件不進(jìn)行加密；其二，對jpg、doc等170種文件進(jìn)行加密；其三，對于既非exe等不加密后綴也非jpg等加密后綴的文件識別其是否大于200M，若是則加密。最后根據(jù)加密文件的目錄，若是桌面（Desktop）、我的文檔（Documents）等關(guān)鍵目錄則覆蓋后刪除以防恢復(fù)，其他則直接刪除。該過程完成后彈出框向受害者勒索一定金額的比特幣換取解密密鑰。

三、蠕蟲病毒防范策略

（一）首先要加強(qiáng)防火墻的防護(hù)能力。防火墻屬于IP數(shù)據(jù)包過濾器，較為嚴(yán)格的防火墻可以設(shè)置只允許匹配特定來源或目的的IP地址、TTL值、端口或網(wǎng)段等屬性規(guī)則的數(shù)據(jù)包通過，禁止除白名單外的任何數(shù)據(jù)進(jìn)入防火墻，從而達(dá)到在網(wǎng)絡(luò)入口處篩選數(shù)據(jù)包的功能，對于過濾不明文件有著極為有效的預(yù)防作用。

（二）修復(fù)必要的系統(tǒng)漏洞?？梢苑乐购诳褪褂眠h(yuǎn)程執(zhí)行代碼的攻擊，比如本文所著重提到的“想哭”病毒，微軟公司已于2017年3月14日在其TechNet上發(fā)布了MS17-010號的信息安全公告，并向用戶推送了安全補(bǔ)丁“KB4013389”封堵此漏洞[3]，但并不是所有的用戶都安裝了該漏洞，騰訊電腦管家在“永恒之藍(lán)”事件后對于為何屏蔽該補(bǔ)丁做出了解釋，稱該補(bǔ)丁中包含ci.dll文件，可能導(dǎo)致盜版系統(tǒng)電腦重啟反復(fù)藍(lán)屏。可以看出使用正版操作系統(tǒng)并及時更新補(bǔ)丁對于防范病毒也是非常必要的。微軟公司在其最新發(fā)布的Win 10系統(tǒng)中強(qiáng)制打開所有用戶的自動更新功能[4]從而使得Win 10系統(tǒng)幾乎不存在被病毒感染的個例。

（三）在不需要使用網(wǎng)絡(luò)時將其斷開以減少與網(wǎng)絡(luò)不必要的連接，對于存儲有重要文件的計算機(jī)盡可能24小時處于脫機(jī)狀態(tài)，以隔絕本地文件與外界的聯(lián)系從而達(dá)到保護(hù)計算機(jī)的目的，就本文所言的“永恒之藍(lán)”事件，其大規(guī)模的攻擊集中在2017年5月12日20時至次日12時之間，如果用戶謹(jǐn)慎的采取少聯(lián)網(wǎng)的措施，便極有可能在某種特定病毒的爆發(fā)期內(nèi)幸免。

除了個人的防范，網(wǎng)絡(luò)運(yùn)營商的防范也尤為關(guān)鍵，就本次肆虐全球的“永恒之藍(lán)”事件而言，擁有全世界網(wǎng)民數(shù)量最多的中國受災(zāi)人數(shù)遠(yuǎn)低于美國。正是由于我國三大網(wǎng)絡(luò)運(yùn)營商均關(guān)閉了445端口的緣故，避免了一起我國網(wǎng)絡(luò)用戶遭受巨大損失的事故。

[參考文獻(xiàn)]

[1][美]Edward Snowden.NSA collecting phone records of millions of Verizon customers daily[N].The Washington Post，2013-06-06.

[2]何利權(quán)，李思文，劉蕓.勒索軟件病毒肆虐中國多所高校[EB/OL].http：//www.thepaper.cn/newsDetail_forward_1684721.

[3][美]Security Bulletins.Microsoft Security Bulletin MS17-010[EB/OL].Security TechCenter.https：//technet.microsoft.com/en-us/library/security/ms17-010.aspx.

[4][美]Woody Leonhard.Windows 10 forced updates[EB/OL].http：//www.infoworld.com/article/2949622/microsoft-windows/windows-10-forced-updates-dont-panic.html.endprint