10余位资深专家告诉你，勒索病毒到底是咋回事

5月12号，WanaCrypt0r2.0勒索软件攻击全球Windows漏洞 ，截止目前，已有七十多个国家的政府、高校、医院等机构被攻陷。此事仍在进一步发酵，而目前对于被感染的系统、文件似乎没有任何破解的方法，全球数十亿用户安全，竟被一位躲在暗处的人玩弄于鼓掌之中。

为此，记者第一时间采访了华为高级安全专家娄伟峰、威客安全CEO陈新龙、360安全首席工程师郑文彬、青莲云CEO董方、长亭科技CEO陈宇森、杰思安全CEO刘春华、阿里云技术专家、网络安全专家刘博士、招股科技CTO程超等众多国内一线安全领域专家，以理清此事来龙去脉。

大恐慌！

5月12日，一个黑客坐在电脑前，轻轻按下了Enter键。这个看似无足轻重的动作，掀起了全球七十多个国家、数十亿用户对网络安全的恐慌。

当晚，WanaCrypt0r2.0（以下简称Wcry2.0）勒索软件在全球爆发。在无需用户任何操作的情况下，Wcry2.0即可扫描开放445文件共享端口的Windows机器，从而植入恶意程序。

目前，该勒索病毒的攻击已经扩散到全球74个国家，包括美国、英国、中国、西班牙、俄罗斯等。此次被攻击的对象包括政府、医院、公安局以及各大高校等机构和个人。

黑客要求每个被攻击者支付赎金后方能解密恢复文件，而此次的赎金方式使用了当下最为火热的产品比特币，勒索金额最高达5个比特币，价值人民币5万多元。

国内最早的防病毒厂商kill公司技术总监、江民公司原技术总监、现华为高级安全专家娄伟峰告诉记者："从技术上讲，这不算是一次黑客攻击，而是一次大面积的以经济为目的勒索软件传播事件。此次大规模传播的Onion、WNCRY勒索软件是‘永恒之蓝’勒索软件的病毒变种，但恰这类并非新技术的病毒，反而能肆虐蔓延、短短时间内侵袭各大机构，经济损失截至目前已达数十亿。"

网络安全专家刘博士告诉记者："本质上病毒要想获得访问权限、突破访问控制，操作系统会通过防火墙等做访问限制，但如果系统有安全漏洞可以被利用，就有可能突破。Windows被感染的几个版本恰好有漏洞可被利用。"

360安全首席工程师郑文彬告诉记者："中国此次遭受攻击的主要是教育网用户。上个月360针对该端口漏洞发出预警，并推出了免疫工具，微软此前也已发布相关漏洞补丁。但许多教育网并未对此漏洞做出修复，以至于沦为重灾区。"

为何教育网、公安局、医院等机构沦为重灾区？

郑文彬认为，这类机构多使用内网、较少与外界接触，以至于在防范意识上存在疏漏。而另一方面，这些机构并不能保证完全隔绝互联网，一旦被病毒扫描，则同样会中毒--而只需一台电脑被扫描，便会像人类感染病毒一般传染到其它电脑。

青莲云CEO董方告诉记者："学校使用教育网，教育网是专网，其特点为，学校的某一个网站被攻击以后，会在专网中迅速传播，且教育网防护的等级不是很高，导致学校成为重灾区。"

此外，本次被病毒感染的多是Windows系统，而苹果、安卓侥幸免于灾难。

长亭科技CEO陈宇森告诉记者："这与系统优劣并无关系。此次攻击是利用Windows漏洞进行，对其主机/服务器运行在 445 端口的 SMB 服务进行攻击，所以中招的都是Windows系统。微软官方3月份陆续发布不同版本的系统补丁，就在13号下午，还专门针对XP和2003系统发布了特别补丁。"

不过华为云安全负责人娄伟峰认为，从经济利益的角度看，微软的用户远大于苹果的用户，因此成了被攻击的原因之一。

"这是微软十年来出现的较为重大的事件，4月15号微软已发出预警，但可能预警发方式太偏技术，以至大家没看懂被攻击的后果是什么。" 青莲云CEO董方告诉记者。

那么，这样一次攻击范围波及全球，涉及金融、医疗、铁路、能源、教育系统等终端的病毒，究竟从何而来？

病毒从何而来？

此次"永恒之蓝" 变异的勒索蠕虫，是NSA网络军火民用化的全球第一例。

早在4月14日，自称"影子经纪人"(Shadow Brokers)的黑客团体泄露出一份震惊世界的机密文档，其中包含了多个Windows 远程漏洞利用工具，可以覆盖全球70% 的Windows 服务器，影响程度极其巨大，但国内诸多政府、高校等机构并没有引起足够的重视。

华为高级安全专家娄伟峰告诉记者："影子经纪人" (Shadow Brokers)攻破了NSA（美国国家安全局）网络，拿到其中一个叫"方程式"的黑客组织的大量军用级别黑客工具，ShadowBrokers将其中一个黑客工具做成"永恒之蓝"，而这次的勒索软件正是"永恒之蓝"的变种。

而据360安全首席工程师郑文彬猜测，之前美国军方使用黑客技术攻击中东银行，而此前美国政府对叙利亚进行轰炸，导致了黑客的不满，继而盗出