大家所经历的是一场全球网络战争–勒索病毒网络攻击事件始末

这是一场比任何007系列电影还要精彩的大片，真实大片。

​​​太阳在那边正常的升起，又在这边正常的落下，地球进行着乏味的自转。地球上人类几乎所有的活动，都与互联网有关，在互联网中记录、传输和协作，从一个人的出生、读书、打电话、毕业旅行坐火车、工作开车加油、银行取薪水、办理结婚手续、租房买房、领退休金、老去……一切的一切背后是医院、学校、电信局、铁路局、石油公司、银行和各类政府部门等在使用互联网。

战争瞬间爆发

英国沦陷

伦敦时间中午12:00整，星期五。伦敦一家医院的格蕾护士突然看到电脑弹出一个红框，上面写着：你的电脑所有的文件都被加密，请在72小时内缴纳300美元的赎金才能解密，超过72小时赎金将翻倍。详细给出了如何交赎金的办法，和比特币收款账号。格蕾护士惊呼过后，不得不求助其他护士换一台电脑进行初生儿信息的记录工作，却发现整个科室的电脑均弹出了这样的病毒红框，同样的交赎金说明，同样的交赎金的倒计时。她及时上报给上级时，上级也接到了其他医院的电话。全英国已经有十六家医院的电脑被红框病毒攻占，如一个红魔，突然袭击了英国卫生系统。

“这很可能是英国遭受最严重的网络袭击。”当英国卫生官员和网络安全部门官员交谈并部署工作时，推特上讨论这一起病毒的推文越来越多，而且爆发的地方越来越多，英国、中国、德国、西班牙、意大利、美国……红魔病毒正在席卷全球，吞噬全球上千万的电脑。不同的国家语言提示，同样每台电脑300美元的赎金，同样的倒计时，一秒一秒地跳动。

中国沦陷

北京时间20:20，中国。大连海事学院的大四学生孙连城，正在宿舍修改毕业论文，一周后就是论文答辩时间，这篇论文修改了第三次，正在进行最后一次格式修改。“哐”，红色的框弹了出来，“没有我们的解密服务，就算老天爷来了也没法解密”。孙连城连连点击鼠标，不大敢相信眼睛。转头看舍友时，发现舍友也惊慌地看着他，舍友的电脑上也是一样的红框。

紧接着微博不断爆出消息，全国多所高校的大部分电脑均被红框病毒攻占。正在高呼“教育网”沦陷的时候，微博上又不断涌现了中国石化加油站显示屏沦陷、医院电脑沦陷，最严重的竟然是公安系统的电脑不少部门全线沦陷。

全球沦陷

移动互联网和社交网络，有一台手机就可以链接全球。从推特、facebook等上不断爆出：西班牙电信总部遭受红框病毒的攻击，安排总部所有人关掉电脑撤离；英国一名男子悲伤告诉记者，由于医院电脑系统无法读取他的诊断结果，不得不被取消了隔膜心脏手术；俄罗斯内政部的电脑被红框病毒攻击，停止一切事务。

很快七个小时内，Wannacry病毒席卷全球九十九个国家，一共侵占了数百万台电脑。所有受到影响的机构，所从事的业务人员，瞬间穿越回70年前，重新拿起纸和笔，记录信息和协作，信息时代带来了效率，而此刻所有人打开电脑时心底都闪过一丝犹疑，如履薄冰。5月6日，伯克希尔·哈撒韦开股东大会，股神巴菲特说“我对大规模杀伤武器是很悲观的，但我认为发生核战争的可能性要低于生化武器与网络攻击。”仅过了六天，一语成谶。

巴菲特：我说的都是对的。

​

战争从何而来

承载人类活动的是互联网软件应用，承载互联网应用的是电脑操作系统，系统承载着秩序和荣光。有系统，就有漏洞，总免不了有人窥视系统，从系统中寻找漏洞，进而进行攻击，这是电脑病毒的起始。

微软创造了windows系统，一度几乎垄断了全球市场。从互联网诞生至今，一直有人不断寻找系统漏洞进行破坏活动，这类人被称之为黑客。

这次病毒事件，得从美国安全局说起，NSA是其简称。美国安全局成立于1952年，是美国政府机构中最大的情报部门，专门负责收集和分析本国及外国通讯资料，上属于美国国防部，这个机构人才济济，是全球雇佣数学博士、计算机博士和语言学家最多的机构，最主要的作用是监听全球公民，成立初期，杜鲁门总统只想到监听电话和信件等等。互联网兴起后，人们通信都是在互联网上，所以美国安全局开始想掌握互联网，必须监听互联网，所以和多所黑客组织有着雇佣或纠缠不清的关系。鼎鼎有名的斯诺登最初向全球揭露的棱镜计划，就是关于这个机构，棱镜计划许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户，或是任何与国外人士通信的美国公民。回顾棱镜计划，了解其性质，再说说这次事件的关键武器–永恒之蓝。

早在去年8月，有一个名叫“影子经纪”的黑客组织声称，他们入侵了另一个名为“方程式”的黑客组织的服务器，发现对方拥有很恐怖的武器、很恐怖的技术。而“方程式”黑客组织一直被认为受雇于美国安全局，那么同理也认为这些先进的网络技术和“武器”被美国安全局所用。

黑客组织都不大爱逼逼，直接干。“影子经纪”是直接放出了大量用于网络监控和攻击的工具程序，同时还加密了部分文件，打算拿这些公开拍卖。

不知是不是没人买，或者已经过了购买的有效性，今年4月8日，“影子经纪”把保留部分文件的第一部分解密了，估计还不过瘾，六天后，重点来了，请注意，即是4 月 14 日，“影子经纪”再次解密第二批保留文件，武器成堆，一口气释放出23个黑客工具，其中一个工具利用了微软的MS17-010漏洞—-永恒之蓝，也就是本次勒索病毒软件所使用的漏洞。

4 月 14 日当天，微软震惊了，赶紧出来发布公告，说这里面大部分的漏洞均已修复发布对应补丁，其中MS07-010是在3月份的补丁中已经修复。为什么是3月份，据说3月份的时候美国安全局通知了微软。是的，之前一直掌握着微软的漏洞，一直不说，被别的黑客端走了，才提醒微软，至于美国安全局为什么需要永恒之蓝，回看一下棱镜计划。

然而微软这个公告，无法起到什么大的作用，试想一下如何告知全球人一个消息。当然windows系统会自动更新，但是如果用户关闭了电脑的自动更新呢，后门一直在，之前或许没人拜访，但马上就有人到来。花径不曾缘客扫，蓬门今始为君开。

拥有永恒之蓝，即可攻击全球百分之七十的微软系统电脑。这是一个巨大的诱惑，搞一个东西让其在这些数量众多的电脑里跑起来吧。大概很多黑客都这么想着，拥有永恒之蓝核弹级别武器在手，一个人可以对全世界开战。

再说说勒索病毒，勒索病毒并不罕见。一直如星火般在全球电脑中穿梭，制作勒索病毒的门槛也越来越低，不少黑客论坛网站都教简易教程。这些小黑客那种勒索病毒，到处诱骗，诱骗网友给他的病毒开门，采取的方式可能是群发邮件、im对话框等方式，以黄色图片的诱惑，黄色链接的诱惑等等手段，然而人们使用互联网已经几十年，安全意识越来越高，就越来越不容易开门让病毒进入电脑获得权限。

现在掌握永恒之蓝，即可直接掌握全球众多电脑的后门。于是5月12日，在全球有着漏洞的windows系统中勒索病毒跑了起来，瞬间引爆全球。

简而言之，这场战争是这样发生的：是美国安全局旗下黑客组织的网络攻击武器被另一个黑客组织盗走了，后者挂在网络上被其他某位黑客下载了，然后在攻击武器上安装了勒索武器，进行了全球电脑攻击。是不是有所相似，是不是所有007电影的开端……接下来……007该上场了……

007:单枪匹马拯救世界

战争戛然终止

一个人可以开启了全球战争，一个人也就可以结束全球战争。

周五的病毒爆发后，全球大多数的网络安全工作人员和公司风控人员都不得不放弃假期，跑回公司加班。

这其中有一名英国的风控人员名叫做Malwaretech，在5月12日之前，他和其他乏味的程序员一样，平时沉浸于网络技术，爱在推特上发推特，爱他家的猫（推特头像），爱转发一些无内涵的冷笑话动图，出去旅游一次会反复说好几次，5月11日还想着买套房子当airbnb房东，还懊恼错过以太坊从10美元涨到100美元的财富之旅。

5月12日病毒爆发后，他没日没夜地研究病毒源码，突然发现一个代码语句中有一个奇怪的域名，就是  www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  当时Malwaretech还不了解背后是什么，但冥冥之中他随手花了10美元注册下来这个域名。后来他在推特上也承认“I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.”（在注册之前，我都无法确认这能阻止病毒的传播，这是一个偶然。）

很快，就发现了这个域名背后隐藏的秘密：病毒在每台机器发作之前，都会先访问这个域名，然后设定的自动规则是，如果这个域名还没有注册，则启动病毒；如果这个域名已经注册，则病毒不启动停止传播。

所以Malwaretech随手注册了这个域名，相当于不经意地让这场战争戛然终止，拯救了全球其他尚未感染病毒的有漏洞的windows电脑，为有漏洞电脑修订补丁争取到了宝贵的时间。

随后，Malwaretech 在其推特上幽默地更新“So I can only add”accidentally stopped an international cyber attack” to my Résumé. ^^”（所以我能在简历上添加一句“不经意组织全球网络攻击”）

这两条推特被疯狂点赞，至今超过1.2 万的赞。并持续在增加。毕竟这是全球的英雄呀。

紧跟着，Malwaretech绘制了病毒的攻击图，为全球病毒分析者提供一手资料。

朝鲜全境没有网络，所以没有任何感染。

是谁发起战争

至今无人知道这场全球网络攻击之战的发起者是谁。

所掌握的资料几乎没有，除了病毒的本身，本身有源码、文本。源码程序员已经分析了，并成功按下了开关。文本交由翻译爱好者，比特币地址交由比特币爱好者。

这款病毒翻译成20多个国家语言，翻译者发现索取赎金的说明文中，其他语言都是直接拷贝谷歌翻译结果，就算是英语也有生硬之处，只有中文多点原生原味的老道，比如“没有我们的解密服务，就算老天爷来了也没法解密”。这也是外媒说发起者来自中国的依据。

然而，很快不同的声音提了出来，会不会是故意栽祸。中文读起来顺畅，但又感觉到其中的刻意，“但想要恢复全部文档，需要付款点费用。”中的“付款点费用“，总隐隐中感觉到一点不对劲。一位教对外汉语的老师表示，更像是一个学中文的留学生所写。还有人表示，即使雇佣中国人翻译，在如今互联网时代也是轻而易举之事，无法根据此判断发起者是中国人。

“我以人格担保，没有我们的解密，就算老天爷来了也不能恢复”

这场战争中比特币的角色

这场战争，与比特币几乎没有什么关系，唯一的是，交赎金的账户留下的是比特币地址，这还引发国内舆论的误解，第一时间将该病毒命名为“比特币病毒”，比特币表示无辜躺枪。

我在5月13日早上九点，第一时间就为比特币正名：

1.比特币不是病毒，这次电脑病毒名字叫“永恒之蓝”（Wannacry才对），因要求比特币付款才解锁，所以媒体简称为“比特币病毒”，比特币是比特币，病毒是病毒，冤有头债有主，不必要因此对比特币产生敌意。

2.比特币不是病毒，不会通过朋友圈传染，所以我持有比特币，不会传染给大家的手机，我也不愿意呀。

3.比特币不是病毒，更不是病毒的温床，不过是从字面语义还是实际意义，电脑病毒的温床是有漏洞的Windows系统。

4.我也不知道这次病毒事件对比特币价格影响如何，也不关心。更关心比特币在这事情中的污名化问题，优秀的工具因为被坏人利用，不应该指责工具，而应该把坏人抓起来，所以也更期待这次事件背后丧心病狂的黑客何时能被抓归案。

5.没有亲测过，所以我也不知道付了比特币电脑是否能解封。目前国内很多比特币交易所是不能提币的，若你想购买比特币去交赎金，千万别选不能提币的交易所，以免受到二次伤害。【友情插一个广告：币信app：买比特币一分钟，提币一秒钟】

币信：比特币的微信。

​

今天，比特币研究员Kolidat发文指出，该名黑客或许并不精通比特币，他讲到

“目前我们已经掌握了非常多数量的勒索地址，并且在持续追踪相关比特币的走向，但是考虑到目前还在追踪更多被勒索的比特币地址，就暂时不公布全部目前所掌握的全部勒索地址和具体走向。目前来看这些地址都是hard code进去的，并没有HD衍生地址，由此来看黑客似乎对比特币本身的理解并不太多，而且盲目的相信比特币的匿名性。

尽管黑客也的确可以使用“Mix”来掩藏其比特币的踪迹，但是比特币的匿名性恐怕并没有大家想的这么安全，任何的蛛丝马迹都有可能会暴露客户的踪迹，考虑到目前比特币交易所的KYC政策，特别是黑客在很长的时间内可能都无法将比特币和法币进行兑换。”

截止发稿前，目前交赎金的三个比特币地址：

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94、

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw、

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn。

一共收取了19.11个比特币。或许，最后的结局很可能是正是这三个比特币地址，将这场战争的发起者暴露，将他缉拿归案。

明日的太阳照常升起，病毒也已经变种，重新爆发，对每一台电脑虎视眈眈，这部007电影的续集也要开拍了。​​​​