高榮偉

今年5月，一個(gè)名為“想哭”（WannaCry）的勒索病毒軟件在全球范圍內(nèi)肆虐，多個(gè)城市的商用、家用攝像頭內(nèi)容被泄密，感染了100多個(gè)國家的數(shù)十萬臺電腦，造成數(shù)十億美元的損失。當(dāng)時(shí)，22歲的英國軟件工程師馬庫斯·哈欽斯 “無意之中”阻攔了“想哭”而一舉成名，并被視為“英雄”。

然而，出人意料的是，據(jù)《華盛頓郵報(bào)》報(bào)道，美國當(dāng)?shù)貢r(shí)間8月3日，馬庫斯·哈欽斯在拉斯維加斯被逮捕，原因是其涉嫌開發(fā)并散布惡意軟件對銀行系統(tǒng)發(fā)動(dòng)攻擊。世界為之錯(cuò)愕不已，同時(shí)也引發(fā)了人們對于如何防治勒索病毒的思考。

勒索病毒危害甚廣

據(jù)了解，勒索病毒是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，感染上這個(gè)病毒之后，如果電腦用戶不向黑客支付一定的贖金，電腦中的文件將全部消失，這將給用戶帶來無法估量的損失。

專業(yè)人士指出，當(dāng)勒索病毒文件進(jìn)入本地之后，勒索病毒文件一旦被用戶點(diǎn)擊打開，就會自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰和私鑰。然后，勒索病毒遍訪本地所有磁盤中的Office 文檔、圖片等文件，利用私鑰和公鑰對這些文件進(jìn)行格式篡改和加密。加密完成后，還會修改壁紙，在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。被感染者一般無法解密，用戶必須拿到解密的私鑰才有可能破解。此外，勒索病毒的變種類型非常快，對常規(guī)的殺毒軟件具有免疫性。

今年5月上旬，一種名為“想哭”的新型電腦勒索病毒在全球發(fā)動(dòng)攻擊。短短數(shù)日就使得150多個(gè)國家的網(wǎng)絡(luò)相繼淪陷。據(jù)英國《衛(wèi)報(bào)》報(bào)道，英國國家衛(wèi)生服務(wù)系統(tǒng)（NHS）受到此種病毒勒索的時(shí)候，醫(yī)院業(yè)務(wù)和醫(yī)生手術(shù)無法正常進(jìn)行。一位NHS工作人員稱，醫(yī)院停運(yùn)的后果將是病人遭受病痛折磨乃至死亡?！爸挥欣U納高額贖金才能解密資料和數(shù)據(jù)”?！缎l(wèi)報(bào)》進(jìn)一步指出，除了NHS，英國多家醫(yī)院中招。與此同時(shí)，俄羅斯、意大利、整個(gè)歐洲，包括中國不少高校、加油站、火車站、自助終端、醫(yī)院和政府辦事終端等也都被此病毒感染。據(jù)彭博社報(bào)道，僅幾天內(nèi)，受感染公司的損失已經(jīng)達(dá)到數(shù)億美元，包括護(hù)膚品生產(chǎn)商拜爾斯道夫、丹麥航運(yùn)企業(yè)馬士基等在內(nèi)的全球多家知名企業(yè)。

“英雄”淪為階下囚

就在這個(gè)時(shí)候，生活在英國一個(gè)海邊小鎮(zhèn)的軟件工程師馬庫斯·哈欽斯陰差陽錯(cuò)地注冊了一個(gè)未知域名，令他沒有想到的是，此舉竟然阻止了勒索病毒的傳播?！跋肟蕖崩账鞑《竟羧蚪賯€(gè)國家和地區(qū)之時(shí)，哈欽斯于當(dāng)晚注意到，這一勒索病毒正不斷嘗試進(jìn)入一個(gè)極其特殊、尚不存在的網(wǎng)址，于是他順手花8.5英鎊（約合75元人民幣）注冊了這個(gè)域名，試圖借此網(wǎng)址獲取勒索軟件的相關(guān)數(shù)據(jù)，了解它的傳播范圍。不可思議的是，此后勒索軟件在全球的進(jìn)一步蔓延得到了阻攔?！败浖こ處煿J斯無意之中阻止全球超過10萬臺電腦被勒索病毒進(jìn)一步感染”的消息迅速傳遍全球。人們毫不吝惜地把“英雄”的桂冠戴在了他的頭上。哈欽斯一舉成名。

那么，哈欽斯注冊了一個(gè)域名，怎么就阻止了功能強(qiáng)大的勒索病毒的進(jìn)一步肆虐呢？據(jù)美媒報(bào)道，小伙子哈欽斯實(shí)際上是一家美國網(wǎng)絡(luò)安全公司的雇員，而他的工作地點(diǎn)在英國的家中。他無意之中注冊的這個(gè)域名，原來是病毒作者留下的“自殺開關(guān)”。據(jù)了解，每一臺感染了勒索病毒的機(jī)器，在啟動(dòng)之前都會先訪問一下這個(gè)域名，如果這個(gè)域名像往常一樣依舊不存在，此種病毒就會繼續(xù)傳播；如果已經(jīng)被人注冊了，那么它就會自動(dòng)停止傳播。

哈欽斯當(dāng)時(shí)和同事分析，這個(gè)奇怪的網(wǎng)址很可能是勒索軟件開發(fā)者為避免被網(wǎng)絡(luò)安全人員捕獲所設(shè)定的“檢查站”，而注冊網(wǎng)址的行為無意間觸發(fā)了程序自帶的“自殺開關(guān)”。就這樣，哈欽斯“一不小心”，居然阻止了一場全球性的網(wǎng)絡(luò)攻擊。本來默默無聞的哈欽斯迅速走紅媒體，甚至被視為英雄人物，哈欽斯還因此獲得公司1萬美元的獎(jiǎng)金。

獲得這筆獎(jiǎng)金后，哈欽斯慷慨將其悉數(shù)捐給了慈善機(jī)構(gòu)。他在接受采訪時(shí)謙虛地表示：“我只是意外阻止了這場病毒的傳播，稱不上什么英雄人物。今后，我會努力用自己的專業(yè)知識為公眾服務(wù)，為維護(hù)全球計(jì)算機(jī)網(wǎng)絡(luò)的安全盡自己的微薄之力。”接受采訪時(shí)，他還表示擔(dān)心自己的安全因此會受到威脅，或者被人栽贓陷害。

令人感到震驚的是，“英雄”哈欽斯不久就成了一名階下囚。美國聯(lián)邦調(diào)查局在當(dāng)?shù)貢r(shí)間8月2日于拉斯維加斯拘捕了英國惡意軟件研究員哈欽斯。據(jù)了解，哈欽斯是在出席一場黑客和信息安全專家一年一度的聚會后，于回程途中在拉斯維加斯被FBI逮捕。

當(dāng)?shù)貢r(shí)間8月3日，哈欽斯出席了拉斯維加斯當(dāng)?shù)胤ㄔ旱穆犠C會。在法庭上，哈欽斯面臨6項(xiàng)指控，其中包括2014年至2015年在網(wǎng)上參與非法黑客活動(dòng)。期間，哈欽斯涉嫌與另一名同伙制造并傳播惡意金融木馬軟件克羅諾斯（Kronos），并將其在線上銷售。這是一款針對銀行的木馬程序。該軟件能夠入侵用戶電腦竊取其個(gè)人信息，包括銀行賬戶名稱、密碼以及信用卡密碼。2014年，克羅諾斯被發(fā)現(xiàn)在俄羅斯地下犯罪論壇流傳。之后，這個(gè)惡意程式被設(shè)定為可攻擊英國、加拿大、德國、波蘭、法國和其他國家的銀行系統(tǒng)。

起訴書還指出，有身份不明人士此前在全球最大黑市交易網(wǎng)站AlphaBay上登出了克羅諾斯惡意軟件，“這是一個(gè)黑暗的地下網(wǎng)絡(luò)市場，上個(gè)月已被美國執(zhí)法機(jī)構(gòu)關(guān)閉?！闭{(diào)查人員表示，該網(wǎng)站允許匿名用戶從事全球毒品、武器、黑客工具和其他非法商品貿(mào)易。聯(lián)邦公共辯護(hù)人丹·科伊在法庭上表示，哈欽斯在被起訴之前曾與政府合作。美國司法部官員也強(qiáng)調(diào)，哈欽斯的被捕與“WannaCry”無關(guān)。據(jù)路透社報(bào)道，在法官當(dāng)場宣讀對哈欽斯的指控后，哈欽斯沒有就此發(fā)表任何聲明。其案件仍在進(jìn)一步調(diào)查之中，目前法庭尚未作出判決。

防治網(wǎng)絡(luò)病毒需要國際社會共同努力

近期全球網(wǎng)絡(luò)安全方面惡性事件頻發(fā)。除了勒索病毒來襲外，6月份，外媒稱微軟Win10操作系統(tǒng)源代碼在網(wǎng)上被大量泄露；新勒索病毒Petya攻擊、感染了全球60多個(gè)國家；7月份，CopyCat病毒來襲，一夜之間感染1400萬部安卓手機(jī)。

近些年來，網(wǎng)絡(luò)空間安全問題已經(jīng)進(jìn)入到國家安全的核心，相關(guān)政策法規(guī)正在積極出臺。從2016年到現(xiàn)在相關(guān)的政策法規(guī)已經(jīng)出臺了至少9條。最近，我國網(wǎng)絡(luò)安全法正式實(shí)施，這將對網(wǎng)絡(luò)安全行業(yè)的需求端產(chǎn)生很大的帶動(dòng)作用。值得一提的是，就防治勒索病毒而言，中國國內(nèi)多家網(wǎng)絡(luò)公司已經(jīng)給出為感染勒索病毒的文件進(jìn)行解密的方案，且大多數(shù)文件可以通過殺毒軟件進(jìn)行恢復(fù)。不過，隨著物聯(lián)網(wǎng)的發(fā)展，攻擊范圍會明顯擴(kuò)展，同時(shí)黑客技術(shù)也在提升，這些都將倒逼網(wǎng)安行業(yè)加快發(fā)展。

更為重要的是，維護(hù)國家網(wǎng)絡(luò)安全，除了需要在國內(nèi)建立良好的網(wǎng)絡(luò)安全產(chǎn)業(yè)整體生態(tài)，還需要有效的國際合作。就全球而言，迫在眉睫的問題是，維護(hù)網(wǎng)絡(luò)空間安全，需要各國行動(dòng)起來。有趣的是，勒索病毒肆虐全球后，盡管諸多專業(yè)機(jī)構(gòu)及分析人士均把攻擊的源頭指向美國國安局，但是美國卻矢口否認(rèn)。

美國國家安全顧問湯姆·波塞特對外表示，勒索贖金的代碼不是由美國國安局的工具開發(fā)出來的。但是，他卻回避了勒索病毒與國安局此前開發(fā)的網(wǎng)絡(luò)間諜工具之間的關(guān)系。事實(shí)上，對美國政府的指責(zé)還包括美國本土的互聯(lián)網(wǎng)公司。微軟總裁以及首席律師史密斯坦承，“微軟公司對勒索病毒襲擊負(fù)有最大責(zé)任，但同時(shí)指責(zé)美國政府存在過失”，他認(rèn)為，“政府在發(fā)現(xiàn)系統(tǒng)漏洞后應(yīng)告知微軟公司，而不是儲備、售賣或者利用它們。”

編輯：薛華 icexue0321@163.comendprint