歐洲刑警組織（Europol）在上週日稱，席捲全球的勒索病毒“想哭” ( WannaCry ) 在5月12日的第一輪攻擊中已感染了150個(gè)國(guó)家的近20萬(wàn)臺(tái)電腦。安全軟體公司愛(ài)維士 ( Avast ) 在部落格中指出，在首次襲擊中，駭客的主要目標(biāo)是俄羅斯、烏克蘭和中國(guó)臺(tái)灣。據(jù)360威脅情報(bào)中心統(tǒng)計(jì)，中國(guó)大陸有超過(guò)29000多個(gè)IP被感染。據(jù)報(bào)道，多地公安系統(tǒng)、學(xué)校、醫(yī)院以及中石油旗下的2萬(wàn)座加油站都中招。

　　一、病毒是怎麼蔓延開(kāi)來(lái)的？

　　據(jù)《金融時(shí)報(bào)》報(bào)道，首輪襲擊大約在倫敦時(shí)間5月12日的8點(diǎn)24分。一位歐洲用戶無(wú)意中打開(kāi)了郵件附件中的病毒壓縮文件，導(dǎo)致病毒開(kāi)始大肆傳播。《紐約時(shí)報(bào)》根據(jù)部落格MalwareTech 提供的數(shù)據(jù)，將首日病毒爆發(fā)的過(guò)程做成了動(dòng)態(tài)地圖。從監(jiān)測(cè)數(shù)據(jù)來(lái)看，勒索病毒在全球迅速蔓延，歐洲成為第一輪襲擊的重災(zāi)區(qū)。不少大型企業(yè)和機(jī)構(gòu)也未能倖免于難，其中包括西班牙電信公司 ( Telefónica )、英國(guó)境內(nèi)的61家醫(yī)療企業(yè)、法國(guó)汽車(chē)製造商雷諾 ( Renault )、德國(guó)聯(lián)邦鐵路公司 ( BAHN )、俄羅斯第二大移動(dòng)運(yùn)營(yíng)商 MegaFon以及俄羅斯聯(lián)邦儲(chǔ)蓄銀行 ( Sberbank ) 。

　　病毒擴(kuò)散5小時(shí)地圖：從美國(guó)東部時(shí)間5月12日上午11點(diǎn)至下午4時(shí)許，WannaCry病毒攻擊的電腦已遍佈世界各個(gè)大洲。（其中有部分在下午2點(diǎn)至3點(diǎn)的數(shù)據(jù)未被記錄）圖片來(lái)源：紐約時(shí)報(bào)

　　二、目前病毒被控制住了嗎？

　　首輪襲擊開(kāi)始的5月12日正值許多國(guó)家的星期五——當(dāng)周的最後一個(gè)工作日，多家媒體和機(jī)構(gòu)認(rèn)為病毒襲擊可能會(huì)在週末結(jié)束、人們重返工作時(shí)變得更加不可遏制。但從監(jiān)測(cè)數(shù)據(jù)來(lái)看，截至5月16日（週二），相較週日的感染情況，又有約10萬(wàn)臺(tái)電腦受到感染，但病毒襲擊的速度已經(jīng)開(kāi)始放緩。然而，根據(jù)5月17日路透社的報(bào)道，勒索病毒的幕後駭客組織“影子經(jīng)紀(jì)人”（Shadowbrokers）宣稱，將釋放出更多的惡意病毒，並將採(cǎi)用出售惡意代碼和數(shù)據(jù)的方式來(lái)替代勒索，形成“商業(yè)模式”。

　　值得一提的是，WannaCry病毒首輪攻擊的原本威力有可能更強(qiáng)，來(lái)自 Kryptos Logic （網(wǎng)路安全公司）的IT工程師 Marcus Hutchins通過(guò)控制關(guān)鍵域名，有效地限制了病毒的進(jìn)一步傳播。在分析病毒代碼後，他發(fā)現(xiàn)在部分病毒代碼的開(kāi)頭有一個(gè)特殊的域名地址：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。該域名在5月12日上午8點(diǎn)病毒開(kāi)始攻擊時(shí)，訪問(wèn)數(shù)量激增。

　　圖片來(lái)源：MalwareTech

　　他還發(fā)現(xiàn)病毒存在一個(gè) kill-switch 的開(kāi)關(guān)。在攻擊前，病毒會(huì)依據(jù)這一長(zhǎng)串的域名來(lái)查看自身是否處?kù)斗啦《经h(huán)境。在域名被註冊(cè)後，查看防病毒環(huán)境的這一步會(huì)終止，所有的病毒會(huì)以為自己處?kù)斗啦《鞠到y(tǒng)，就退出了攻擊。這個(gè)發(fā)現(xiàn)在一定程度上限制了病毒的傳播。

　　根據(jù)5月14日卡巴斯基的監(jiān)測(cè)報(bào)告顯示，在新一輪的病毒攻擊中發(fā)現(xiàn)了兩個(gè)新的變種，其中一種取消了 kill-switch 開(kāi)關(guān)，但由於代碼的編寫(xiě)缺陷，取消開(kāi)關(guān)的 WannaCry 病毒暫時(shí)未引起大規(guī)模的攻擊事件。

　　三、駭客收到了多少贖金？

　　WannaCry 病毒“綁架”的是用戶數(shù)據(jù)。遭受病毒襲擊的用戶如想恢複數(shù)據(jù)，需要向駭客的比特幣賬戶交付價(jià)值300美元的比特幣，否則文件將被永久刪除。澎湃新聞 ( www.thepaper.cn ) 在比特幣平臺(tái) BlockChain 中查詢了美國(guó)媒體 Quartz 公佈的3個(gè)主要的駭客比特幣賬戶（用於勒索的賬戶總數(shù)還不得而知）。截至5月15日，這3個(gè)賬戶共收到188筆轉(zhuǎn)賬，至少獲得了28.48個(gè)比特幣，按照當(dāng)日市價(jià)估算，獲利約49614美金。

　　美國(guó)國(guó)土安全部的電腦緊急應(yīng)對(duì)小組稱，並不支援遭受襲擊的用戶向駭客支付贖金，因?yàn)檫@還有可能會(huì)洩露自己銀行資訊。360安全技術(shù)負(fù)責(zé)人鄭文彬在接受36氪採(cǎi)訪時(shí)表示，從病毒規(guī)模來(lái)看，現(xiàn)在交付贖金的人並不是很多，且支付贖金並不能百分之百確保恢復(fù)文件。雖然已有國(guó)外研究機(jī)構(gòu)驗(yàn)證，交付贖金後確實(shí)可解密文件。

　　四、這類(lèi)襲擊以後會(huì)越來(lái)越普遍嗎？

　　網(wǎng)路安全公司賽門(mén)鐵克 ( Symantec ) 在《2017年網(wǎng)路安全威脅報(bào)告》中指出，勒索病毒襲擊在近年來(lái)有愈演愈烈之勢(shì)。從賽門(mén)鐵克的監(jiān)測(cè)數(shù)據(jù)來(lái)看，2016年勒索病毒攻擊事件較前年增長(zhǎng)了36%，從34萬(wàn)起上升到46.3萬(wàn)起。美國(guó)是遭受勒索軟體襲擊最多的國(guó)家，佔(zhàn)到了34%；緊隨其後的是日本和義大利，分別佔(zhàn)到9%和7%。

　　五、駭客從哪入侵了電腦？

　　卡巴斯基安全實(shí)驗(yàn)室發(fā)佈的報(bào)告稱，此次駭客使用的網(wǎng)路攻擊工具是“永恒之藍(lán)” ( Eternal Blue )，來(lái)源於美國(guó)國(guó)家安全局 ( NSA ) 的網(wǎng)路武器庫(kù)。WannaCry 掃描開(kāi)放的445文件共用端口，無(wú)需任何操作，只要用戶開(kāi)機(jī)上網(wǎng)，“永恒之藍(lán)”就能在電腦裏執(zhí)行任意代碼，植入勒索病毒等惡意程式。

　　通過(guò)445端口，用戶可以在局域網(wǎng)中輕鬆訪問(wèn)各種共用文件或使用共用列印機(jī)。然而，這個(gè)在“業(yè)內(nèi)”毀譽(yù)參半的端口，本身也是駭客攻擊的主要目標(biāo)之一。根據(jù) statistic 的數(shù)據(jù)顯示，2014年第四季度的全球網(wǎng)路襲擊中，對(duì)於445端口的襲擊佔(zhàn)到了15%，排在已知受攻擊端口的第二位。