为什么是比特币敲诈病毒(WannaCry)

图片发自App

从5月12日晚开始，陆续发现互联网爆发大规模比特币敲诈病毒（WannaCry),让整个互联网重新开始燃起对互联网安全的关注。

究竟什么是比特币敲诈病毒呢？就是一名俄罗斯黑客编写的对中毒计算机对常见jpg，doc等常用的文件进行加密然后向用户敲诈比特币，来解密自己文件的病毒。

关于什么是比特币敲诈病毒说清楚了，现在就要说一下这个病毒为什么会引起全世界的恐慌和重视，首先这个病毒具备两个要素：

一、破坏性：

正如我们知道的一样，这个敲诈病毒是2015年就出来的一个病毒，一直潜伏在互联网当中，并没有引起大家的特别关注，知道12日晚，集中式爆发，以非常忽然的方式，在感染病毒的计算机所有照片和文档进行128位加密，这对于我们习惯性把资料保存在自己的电脑里，并日常依赖电脑的我们，忽然发觉我们什么都没有了，工作文档，收集的高保真音乐，甚至是珍贵的照片，和公司维护的数据库，都无一幸免。并且无法暴力破解，此加密按照暴力破解的运算速度，我们现在计算机运算能力这么强，也需要两百多年的运算，才能针对此电脑的加密进行破解。毫不夸张的说，针对我们没有得到key的情况下，可以说资料恢复的肯能行为零。

第一例爆发的英国，让一个要依靠机器进行医疗救助病人的大医院都陷入瘫痪，辛苦四年准备的毕业论文也不能幸免。航班停止，签证搁浅。

在刚起床的我也被一个电话召唤，去公司对每台电脑进行紧急的处理，及时的关闭了每个房间可以打开电脑的被利用445端口。才后知后觉的认识到问题的严重。

按理说具有破坏性的病毒并不少见，曾经的熊猫病毒，就是一个很好的例子，但也没有这个病毒这么引起恐慌，这是什么原因呢？这就是要谈到第三个要素此病毒的传播特点。

二、传播性：

我们知道熊猫病毒的病毒破坏性也很大，但是熊猫病毒是利用U盘进行传播，对于我们稍微有点安全意识的情况下，不主动进行操作，目标计算机是感染不了病毒的。也就是说，对于以往的病毒，没有接触就没有伤害。保持不手贱，保持不浏览不正常网站就可以保证我们的计算机的安全。

但是，但是，但是，敲诈病毒能够在你不知不觉，不用接触的情况下，潜入到目标计算机。这得益于美国国家安全局开发的黑客工具“永恒之蓝”。前期我们一直说美国监控全球的每台电脑，就是利用这个永恒之蓝入侵到每台可以入侵的计算机，只是这个工具只是收集信息，并没有破坏的属性。

永恒之蓝利用win系统445端口漏洞，可以在不接触的情况下，远程执行代码，进行病毒的植入，然后潜伏其中。黑客就是利用这个原理，先通过邮件进行传播，只要其中有一个电脑运行了此病毒，就会对其可访问的电脑进行445端口扫描，然后入侵，如此的链锁反应席卷而来，再配合u盘等存储工具，对非联公网的计算机也进行类似的传播。这就是此病毒波及范围之广，无孔不入的原因所在。

三、颠覆性：

我们以往认为，我们的计算机不联公网将更安全，所以公安，政府，医疗，学校，军事等重要网络严禁连接公网，以避免病毒入侵，但勒索软件目标好像就是瞄准这些目标，其中一个插曲就是安全专家通过反向工程发现这个病毒建立一个逻辑，就是会在运行破坏前进行一个好像随机的一个域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com进行get或post请求。如果请求不到就进行破坏，如果检测到就停止运行。现在此域名进行注册并在互联网上架设服务使软件能够请求到数据，联网的计算机范围开始安全，因为私网的计算机因为请求不到范围得不到制止。

画外音：有人解释这个域名其实是作者为了控制病毒传播的一个手段，其实也有另外的一种说法，就是这个域名其实是躲避被查的手段。当安全专家分析病毒的时候，惯用的手段就是模拟黑箱场景，就是让感染的计算机所有的请求进行分析诱导回应，看看病毒都有什么请求，以达到分析病毒的目的，作者为了让病毒躲避这样的分析，就随机找一个不可能被注册的域名，进行测试，如果有回应说明是在安全专家的黑箱分析场景，就隐藏自己，不再运行。

有一个好消息：

庆幸的是天才不只坏人，其实好人更多，这些天才在拿到病毒样本进行分析的时候发现，原来作者在加密的时候用的key并不是随机产生，而是利用一个固定的key进行加密。在通过逆向工程把程序还原就可以分析出加密所用key，从而恢复被感染的文件。希望这些天才们有最新的进展吧