勒索病毒为何在中国肆虐严重？

文/壹观察

“股神”巴菲特不久前在股东大会上刚刚告诫“人类所面临的最大威胁是网络攻击”，全球近十年来破坏最严重的勒索病毒WannaCry就接踵而至。

勒索病毒已经在全球150多个国家和地区肆虐，中国用户尤其深受其害。根据央视新闻报道，我国包括机场、银行、加油站、火车站、医院、邮政、警察、出入境等众多企事业单位都受到了勒索病毒攻击，导致医院手术无法继续、警察单位网络瘫痪，甚至飞机航班安全都受到了影响。

北京大学校园内取款机电脑中毒

某警察单位电脑中毒

以中国石油为例，其超过2万座加油站在上周末遭遇大规模断网，用户加油只能使用现金支付。对于大量网络用户而言，勒索病毒会把个人电脑里的重要技术资料、机密商业合同、项目企划书等重要文件全部加密，这些数据一旦丢失，往往给用户和企业带来不可估量的损失。

中国石油自助加油服务终端电脑中毒

中国为何成为勒索病毒重灾区？

WannaCry又称Wanna Decryptor或wcry，是导致全球性网络攻击的勒索程序的幕后黑手。黑客可利用其阻止用户访问电脑系统，直到收到赎金。WannaCry可锁死电脑系统中的数据，只留给用户2个文件：指示用户做什么以及解密程序。

从时间点来看，WannaCry最先在英国大规模爆发，影响范围波及整个欧洲政府、医院和汽车制造企业。

WannaCry勒索病毒演化过程

在中国，勒索病毒最早爆发于中国大学校园网。此次攻击利用的是Windows系统的445端口，而445端口常用于局域网之间共享文件或者打印机，感染病毒主机通过扫描局域网内主机进行相关攻击，传播感染速度非常快。

由于中国各大高校接入的网络是专用的教育科研网，此骨干网出于学术目的，大多没有对445端口做防范处理，这是导致这次高校成为重灾区的原因之一。同时，很多大学生用户为了打局域网游戏，有时需要关闭防火墙，也是此次事件在中国高校内大肆传播的另一原因。

而中国政府、医院、警察、出入境等众多企事业单位，由于其购买的正版系统大部分仍是Window XP，微软之前已停止提供安全更新，导致此次WannaCry迅速漫延。此次事件爆发后，虽然微软官方迅速对Windows XP等系统发布了特别补丁，但也只能做到“亡羊补牢”。

面对近十年来最大的一次网络安全危机，中国各大安全厂商都在第一时间启动了紧急预案。如腾讯电脑管家安全团队感知到这波蠕虫病毒开始爆发后，第一时间对敲诈者病毒进行了拦截防御、对漏洞进行了防御，同时引导用户去打补丁、关闭高危端口（445端口等），并推出了“文档守护者”产品。今天，腾讯电脑管家正式发布了WannaCry专杀工具——勒索病毒专杀工具，配合之前发布的文件恢复工具，可最大程度恢复用户被加密的文件，并有效查杀勒索病毒。

目前，英国网络安全人员已识别出勒索病毒的“自毁开关”网站域名，帮助阻止了这次攻击的继续快速扩大。但英国国防部前网络安全专家罗伯特·普里查德（Robert Pritchard）认为：“这个漏洞依然存在，其他人一定会利用它”，建议用户迅速用安全工具进行系统漏洞修复。中国国家网络与信息安全信息通报中心也发布预警，告诫用户仍需警惕下阶段病毒变种带来的新一轮攻击。

最新的好消息是，腾讯电脑管家安全团队经过不停歇技术攻关，已发现了应对勒索病毒修复概率最高的方法：

腾讯电脑管家-勒索病毒专杀工具及文件恢复工具运行过程

1、用户发现感染勒索病毒后，应立即断网（拔网线或断开Wi-Fi）；

2、千万不要关机！不要惊慌失措而进行大量的无效操作（如拷贝，新建，复制，粘贴等），也不要打开任何文档、软件或程序（这点至关重要）；

3.、通过其他电脑或手机，到官网下载新发布的腾讯电脑管家——勒索病毒专杀工具及文件恢复工具，并用U盘直接拷贝到中毒电脑并安装运行；

4、使用腾讯电脑管家-断网清除病毒工具进行查杀，杀毒完毕后即可运行文件恢复工具恢复文件；

5、将恢复好的文件拷贝到安全的硬盘或u盘中保存，随后重装系统。

腾讯电脑管家安全专家称，这是利用了勒索病毒加密的一个特点，对被病毒删除的数据进行了数据恢复。为提高恢复的成功率，用户发展电脑中毒后，应第一时间下载腾讯电脑管家-勒索病毒专杀工具进行处理，文件越小越容易被恢复，电脑硬盘空余空间越大，恢复成功率也会越高。

勒索病毒带来的反思

全球化给中国企业和用户带来巨大的收益和便利，但同时建立在高速宽带网络上的国家经济、企业经营和个人信息安全实际上更为脆弱，这也是巴菲特告诫“人类所面临的最大威胁是网络攻击”的原因。

此次勒索病毒大范围蔓延，有观点认为是微软对漏洞的麻木和疏漏，要为此病毒背锅。但微软总裁兼首席法务官Brad Smith甩锅给NSA（美国国家安全局），称NSA撰写的黑客软件被盗，给了犯罪组织可乘之机，其应为勒索病毒危机负主要责任。

对于普通电脑用户和很多中国企事业单位而言，由于近十年来没有大规模网络安全事件发生，很多网民甚至是政企事业单位领导几乎已经忘记了电脑病毒这颗“定时炸弹”，甚至觉得是安全企业在“瞎忽悠”。此次勒索病毒WannaCry给网络安全带来的重创无疑是一次警示和教训。

实际上，伴随黑客技术手段和意识的进步，电脑病毒在绝大多数情况下已不再以”破坏用户电脑“为主要发作形式，而是纷纷转向灰色产业和黑色产业寻求更高的收益，在整个产业链中，黑客们会判断中毒电脑的性能如何，是否可以用于攻击他人的电脑、是否可以用于搜集某些数据、是否可以直接盗取机主的银行或理财信息等，近年来中国各大互联网企业不断泄露的巨额用户数据只是其冰山一角。

从全球科技发展趋势上来看，大数据、云计算、物联网和人工智能时代即将到来，人类社会将进入真正的万物互联网时代，而这背后的网络与数据安全，更加值得夯实，甚至政府与企业联手重建。