勒索病毒时间线梳理，全球网友同步大吐槽！

　勒索病毒 WannaCry 的影响本周已经减弱， 但是由于新变种出现， 防御工事依然刻不容缓。 本文按照勒索病毒发展的时间线顺序， 整理了全球性论坛 Reddit 上各国网友的有趣言论和吐槽， 也展现了勒索病毒的发展变化趋势。

　　蔓延全球的勒索病毒 WannaCry 让全球 PC 电脑用户惶惶不安， 纷纷加强防护， 这个 5 月 12 日首次在西班牙电信部门发现的病毒， 短时间内从伊比利亚半岛扩散至英国， 最终蔓延全球。 截至 5 月 16 日， WannaCry 勒索病毒已扩散至 100 多个国家和地区， 包括医院、教育机构、政府部门都无一例外遭受攻击。 截至目前， 全球攻击案例超过 7.5 万个。

　　国家资讯安全漏洞库（CNNVD）的分析报告指出， WannaCry 勒索软件主要使用针对微软 Windows 系统漏洞工具“永恒之蓝”（EternalBlue）传播扩散。

　　▲ Wannacry 病毒在攻击 Windows 使用者时， Linux 使用者在上面看戏。

　　2017 年 4 月 14 日， 黑客组织 Shadow Brokers（影子经纪人）公布了黑客组织 Equation Group（方程序组织）的部分泄露档案， 中有多个 Windows 作业系漏洞的远程指令执行工具， 其中即包括 WannaCry 勒索软件攻击事件利用的“永恒之蓝”工具。

　　WannaCry 勒索软件借助“永恒之蓝”漏洞工具， 透过 Windows 操作系统在 445 端口的安全漏洞（CNNVD-201703-721~CNNVD-201703-726）， 潜入电脑加密多种档案类型， 并弹出对话框， 向用户索要赎金（以比特币支付）用于解密。

　　英国最先受到波及， 遭到非常严重的打击， 英国国家健康服务中心（UK National Health Service， NHS）确认当机。 英国公众对英国政府是否利用软件后门监视用户资讯表示怀疑， 他们调侃“英国最好赶紧习惯这些事情， 因为英国首相德蕾莎·特雷莎·梅要求所有操作系统和社交类 App 强制保留后门， 以便监控。 当然， 黑客也能利用这些后门。 想像一下， 当黑客利用手机和电脑里的强制性 Kill Switches， 让我们回到 1980 年代吧。 万一这事发生了， 德蕾莎·梅要被扔多少臭鸡蛋！”

　　▲“德蕾莎·特雷莎·梅（首相）知道 Linux 的存在吗？”“别担心， 德蕾莎·特雷莎·梅会让那些 Linux 工程师给所有 Linux 系统写入后门！那又不难。 ”

　　随着事态发展， 有人建议：“官方应该在网络空间里， 以真实空间的同样规则应对武器（指病毒）。 ”

　　于是有人回覆：

　　▲“这能行吗？──抱歉先生， 我们需要检查您的笔记本电脑， 以防有 cyber 武器， 我需要一个 USB port。 ”

　　然后有人回覆：“但我觉得黑客可以把电脑变成炸弹。 ”

　　日常酸三星的时候来了：“三星已经把 Note 7 变成炸弹了。 ”

　　▲ WannaCry 蔓延全球， 但是在澳洲看起来没那么严重。

　　WannaCry 在澳洲还没有大规模感染案例， 于是有人这么酸自己：

　　▲“我们澳洲就没有受到攻击， 因为我们还在下载病毒呢。 ”

　　“嗯， 会有更多赎金的， 没事。 ”

　　5 月 13 日晚上， 一名英国研究员发现， WannaCry 不断尝试进入一个极其特殊、尚不存在的网址， 在他花 8.5 英镑注册该域名之后， 发现 WannaCry 的传播居然被阻拦了。 无意间发现的 WannaCry 隐藏开关（Kill Switch）域名， 竟然遏止了病毒进一步扩散。

　　关于这位英雄， 媒体大量报导， 曝光了其个人资讯， 全球网友都沸腾了。

　　▲“一些记者为了自己的名声， 可以出卖任何人。 （ps. 我的天！你可真是一个英雄！）”

　　“他不想被认出来， 媒体应该不要再报导他了。 ”

　　“但……但……但是自由属于媒体啊！（滑稽）”

　　5 月 14 日， 据卡巴斯基实验室所说， WannaCry 勒索病毒出现变种“WannaCry 2.0”， 这个变种取消了 Kill Switch， 无法透过注册某域名来关闭传播， 因此速度可能会更快。

　　5 月 14 日晚上， 卡巴斯基实验室全球研究与分析主管 Costin Raiu 在 Twitter 上道歉， 表示之前的说法不正确， 在完成所有 WannaCry 病毒程序码分析后， 并没有发现不带 Kill Switch 的变种病毒。 因此 WannaCry2.0 并不存在。

　　▲ Costin Raiu 的道歉。

　　微软把球踢给 NSA， NSA 没接， 美国又踢给北韩

　　事件过程中， 美国国家安全局（NSA）的影子一直出现在报导当中， 挥之不去。

　　微软批评 NSA， 认为 NSA 在 WannaCry 爆发过程中难辞其咎。 微软认为， 美国政府搜集、囤积软件漏洞， 并对微软 Windows 系统 SMB 漏洞知情不报， 才使电脑门户大开。 黑客组织 Shadow Brokers 从 NSA 盗取了 NSA 囤积的 Windows 漏洞， 让 Windows电脑遭到 WannaCry 入侵和绑架， NSA 是始作俑者。

　　苹果 2016 年被 FBI 要求开发一个绕过 iOS 安全措施（输入 10 次错误密码后抹去 iOS 设备全部资料）、可获取 iOS 设备资讯的全新版本， 但 CEO 库克拒绝了。 看来库克知道， NSA 等国家机关无法保证这些漏洞不落入他人之手。

　　▲ NSA 居然有机密资讯， 而且还被偷了？这是个大问题啊！

　　▲ NSA_Chatbot 说：“我之前说了吧， 安全基于模糊的资讯， 你们都不听啊！”

　　redit_usrname_vendor 回覆：“现在你们知道为什么我们给他这个名字了吧！”

　　面对受 NSA 监控、中国电脑也有许多瘫痪的现状， 一群青年发出如上声音：“老子宁愿被 NSA 监控， 也不愿意中国政府监控。 ”

　　还有人回覆他说：“美国人就应该被美国人监控， 让这些外国监控程序滚回家吧！”

　　美国监控也是监控啊

　　5 月 16 日上午， NSA 对微软的指责做了回应， 美国国家安全顾问汤姆·波塞特（Tom Bossert）说， “勒索赎金的程序码不是由 NSA 的工具开发出来的， 这种工具是由犯罪方开发的， 也就是潜在的罪犯或外国国家。 ”他没有谈到勒索病毒的基础──利用漏洞的初始程序码──是否与 NSA 的网络工具有关。

　　Google、赛门铁克和卡巴斯基的安全研究人员报告称， 勒索软件可能与北韩黑客组织 Lazarus Group有关。

　　卡巴斯基研究室安全人员表示， 研究了早期蠕虫病毒版本与 2015 年 2 月的病毒样本发现， 其中部分相似的程序码来自卡巴斯基之前关注的北韩黑客团队 Lazarus Group， 程序码的相似度远超正常。 卡巴斯基认为本次流行的 WannaCry 勒索病毒与之前的冲击波病毒出自同一黑客团队。

　　然而这是一个猜测， 并没有定论。

　　▲“北韩没啥影响嘛， 一定是伟大的红星系统太出色了！”

　　骇全球电脑之意不在钱， 而在 NSA？

　　最新统计显示， WannaCry 幕后团体从这次攻击中赚到的钱只 5.9 万美元多一点， 利润非常少。

　　且由于 WannaCry 要求用户 3 日内支付价值 300 美元的比特币为赎金， 超时赎金将会翻倍， 7 天后不支付将永久加密档案。 但黑客是不是低估了人类的反应能力， 有人透过修改系统时间成功拖延计时。

　　很重要的一点， 就是任何试图从 WannaCry 使用的 3 个帐户取出比特币的作业都会被全世界的执法机关发现， 这意味着 WannaCry 背后的黑客无法隐秘地取出 1 分钱──黑客朋友是不是不想拿到钱啊……

　　甚至交赎金之后， 也可能赎不回档案， 因为 WannaCry 是人工客服！人们只能透过 WannaCry 的客服联系方式获得解密金钥， 但是他们压根没有任何回应！人与人之间的信任呢？

　　可能他们只是想让 NSA 难堪？

　　最新讯息是：腾讯安全反病毒实验室 5 月 16 日表示， 观测发现部分勒索病毒样本已经从“想哭”（WannaCry）变成“想妹妹”（WannaSister）了。

　　尽管该病毒已可有效防御， 且本周开始病毒的传播已减弱， 但病毒还出现变种， 安装修补程序刻不容缓哪！