2017年5月12日的晚上,因为修改论文而熬夜的我,突然看到了微信上来自鸭子哥的推送,“紧急安全提醒,请立刻关闭445端口”。由于这位鸭子同学的靠谱值之高,绝不是只有5的公众号标题党,所以这种突如其来的刺激让我从昏昏欲睡中惊坐而起。打开一看,是部分校园网正在被勒索者病毒攻击的消息。刷开微博,发现一切在我改论文的过程中就已经发生了——一些高校教育网被入侵,某种勒索者病毒正在学生的电脑间大肆传播。被感染的电脑上所有的文档都会被加密,必须向病毒作者支付高额赎金才可以解锁并拿回文件。此时正值毕业季,不管是自己写论文、上网抄论文,甚至找人写论文的学生们都已经开始行动。虽然他们可能刚付完代写论文的费用,只能靠泡面度日,根本无法支付赎金,但是病毒可不会筛选有钱人进行定向攻击,再加上周五下午的爆发躲过了大部分企业的上班时间,使得病毒的主要目标就变成了高校。于是乎,各大高校惨遭重创,一时间哀鸿遍野。
这次爆发的这位病毒十分简单粗暴,大名Wana Cryptor,实际会做的事情就是通过干掉你的文件,让你想哭。一旦这位勒索者在你的电脑上运行,它会立刻生成一个密钥,然后用它把你所有的文件生成一份加了密的版本,再把密钥发送给作者。之后删掉原版文件,并弹出一个提示,告诉你,想要回你的文档吗?那么掏钱吧。然而掏钱也没有那么容易。
不同于我们用惯了的支付宝微信和信用卡,要向作者支付赎金,必须通过比特币才行。比特币绝对匿名的特性使得病毒作者可以完美地逃过警方和情报机构的监视,毕竟比起方便地收钱,还是保证自己不会被轻易抓到更重要。另外,作者向每个感染病毒的用户索要价值600美元的比特币,并且如果三天内不支付的话,价格将会翻倍;七天内不支付的话,将永久失去恢复文档的机会。为了证明自己,病毒还设置了一个功能,首次点击decrypt,病毒会随便恢复几个文件给你看看,以证明你的文档没有被彻底撕票。另外,这个看似很有良心的病毒还设置了内置活动,如果你是半年都没有交钱的穷人,那么你将获得资格参加免费恢复的活动,然而是否会选中你完全凭运气。
虽然对于大多数用户来说,自己电脑上的资料并不会重要到值得花钱赎回,但是总有非常重要的文档作为例外存在。它们可能是企业的急需数据,也可能是政府机关的重要存档,以及这些倒霉孩子的毕业论文。那么,大不了交钱咯?600美元虽然贵,可是不花不行啊。然而,这钱还真不一定能花得出去。我们所在的Internet,每一次数据交换虽然不一定都是实名的,但传送数据的整个过程都是透明的。要是全世界的病毒都将密钥发送给某个服务器,那么这个服务器的持有人大概会在12小时内被逮捕吧。
为了防止这件事的发生,病毒采用的手段是通过Tor发送数据——是的,就是互联网八大奇谭之首的深网/暗网,deep net。可是,我国互联网出于各种原因,默认屏蔽了Tor的连接,如果不通过特殊方式完全不可能直接连上Tor。这种方式并非vpn,而是需要连接方自带一份节点信息。可是,分析人员发现,Wana Cryptor并没有携带任何节点信息,这意味着你电脑上的Wana Cryptor无法发送数据到服务器,作者也无法连接以发送解锁指令——谁也救不了你的文件了。
面对突如其来的灾难性后果,各大安全软件和互联网公司似乎还没有来得及发出多少声音,但是记者们和自媒体编辑们迅速跳了出来,一开口就把价值600美元的比特币传成了600个比特币。现在比特币兑人民币的汇率大约是1:10000,600个比特币甚至可以在北上广深买房了,何必费这功夫呢?事实上,抛开勒索病毒的危害不谈,它给作者带来的收益实在是低的可怜。到现在为止,据悉作者只拿到了17个比特币,17万人民币拿来跑路实在是少了点儿。然而这种病毒有不能放长线钓大鱼,钓不好就能把某个国家的情报机构钓出来。毕竟来中国之前,他们已经在欧洲瘫痪了不少医疗机构,想必点了不少仇恨值吧。
虽然感染者已经没了救,可是其他人总不能就这样坐以待毙。好在Wana Cryptor并没有使用新的漏洞,而是使用了一个古老的缺陷。这个缺陷限制了Wana Cryptor只能在局域网内传播,也就是说,仅限校园网公司网等内部环境,而不会影响大部分用户使用的宽带网络。而针对这个漏洞的补丁也早已在今年一月由微软官方发布。由于漏洞太严重,微软甚至还为已经停止支持的XP也发布了相关补丁。只要补上这个补丁,即可高枕无忧——了吗?打补丁能够防止的仅仅是病毒自己通过网络主动感染新的计算机,但是如果你收到了奇怪的邮件和奇怪的附件,还直接点击运行的话,只能说不作不死了。举一反三,奇怪的U盘,奇怪的QQ传输的文件,不假思索随意点开的话,下一个死的就是你。然而我国网络用户们偏偏都有些不太好的上网习惯,就比如,等到漏洞的危害开始出现的时候,才想起来打上相关的补丁。
在大家还在用XP的时代,微软曾经通过自动升级,推送过两次正版验证程序。正版验证程序会主动在盗版用户桌面上弹出提示,甚至影响到日常操作无法正常进行。对于当时那个全民盗版的环境,这两个正版验证确实十分烦人,甚至由此引发了“美国通过正版验证会发现中国大量用盗版,然后会在世界贸易组织起诉我们,所以是中国人就不要乱升级补丁”这样的谣言。但实际上当时大家也都是这么操作的。
时值360安全卫士出世,它不仅当时是国内互联网的一股清流,而且自带的打补丁工具可以避免类似的正版验证程序,并且安装速度比XP自带的自动更新程序快许多。因此即使是专业技术人员也大多会建议用户们装一个360来打补丁,并且关掉系统自带的自动更新,这个习惯一直延续到了现在。“不乱打补丁”变成了“不打补丁”,“打补丁会拖慢系统”、“打补丁会让系统不稳定”、“我这么多年不打补丁都没事,哪个黑客会盯上我”等言论甚嚣尘上。然后,一部分用户被这次的病毒教做人了。
事件发生之后,我刷着微博,很快就发现了某媒体对于事件的奇怪描述。微博正文中,编辑这样说道:勒索者“蠕虫”病毒在我国互联网上大肆传播。看到这句话的我一时哑然失笑,却又有点笑不出来。我们常用“病毒”来指代对电脑会造成威胁的软件,但其实这一统称应当是“恶意软件”,其中包括四大主要分类,“Worm”病毒、“Trojan”木马、“ADware”广告程序、“HackTool”黑客工具。一切以破坏为主要目的的病毒程序都叫做“Worm”,即蠕虫,换言之,蠕虫可指代一切破坏性病毒程序。Worm既不是这次勒索者的名字,更不是什么“蠕虫式病毒”。但是在当初,我们安杀毒软件首先想到瑞星、金山、江民的时候,“Worm”其实是一个挺常见的词。
当初的杀毒软件在扫描到恶意软件的时候,通常会标明恶意软件的正式名称,如Trojan.ZeroAccess,代表这是个被叫做ZeroAccess的木马。但新一代免费杀软上台之后,他们通常只会告诉用户,发现了几个“威胁”,而不会明显的写出这些名字和标识。多年的熏陶之下,人们不再记得Worm也是十分正常的事情了。话又说回了那个恶意工具条充斥电脑的当年。IE6作为主流浏览器,下面挂着一堆奇怪的工具条才是互联网的常态。然而这些灰色ADware当初由于称不上是威胁,所以也没有进入正规杀毒软件的法眼,反倒是360卫士、超级兔子、优化大师一类清理工具擅长处理这些麻烦。所以,大家也就习惯了给用户们安上一个360来防止垃圾工具条。用得久了,又产生一条莫名其妙的说法,“国内杀毒软件比国外的好,因为国内杀毒软件更适合中国的网络环境。”就连某些技术人员也对此深信不疑。
而我们打开现在的国产杀毒软件,常常能赫然发现左下角一排列表,说自己采用了“大蜘蛛引擎”、“小红伞引擎”、“BitDefender引擎”。依靠多引擎聚合的杀毒软件实力比原版的国外杀软更强,你要我怎么相信?我们的国内杀软们除了擅长在互联网热点面前弹窗表现自己之外,恐怕也就擅长在国际测试中拿不到好名次的时候,光荣宣布退出,然后凯旋而归了吧。
您还不如说用国产杀毒软件比较爱国呢。
在这样的熏陶之下,用户们纷纷表示:“装个杀毒软件吧,就那个306”、“不要装卡巴斯基,那是卡巴死机,会卡”、“小红伞是什么”、“NOD32?哦诺顿吧,那都过时了,360好”。
2015年7月底,微软发布了最新的Windows10操作系统。上市之初,它以不能关闭自动更新闻名于世。许多人多次深恶痛绝,一旦看到关机后弹出的“正在安装更新”,就恨不得砸了电脑。然而,正因为强制安装更新,Windows10在此次攻击中基本都处于安全状态,Wana Cryptor根本无法感染一台正常安装更新的Windows10电脑。可是,作为本次攻击的重灾区,大四学生们使用的大都是三四年前购买的电脑,即2013-2014年间的产品,甚至还有些更古老的。这些电脑大部分预装了Windows8/8.1系统,这两个系统改变与WIN7相比过于巨大,突如其来的不适应容易让用户选择放弃适应它们。所以,其中有一大部分人在电脑用久、垃圾沉积造成系统变慢之后,选择了重装一个Windows 7进去,即使是Windows 10发布之后也一样。
为什么?
因为我国互联网用户,笃信新系统不稳定不兼容啊。
当Windows 2000发布的时候,一些技术人员说,2000是新事物,不稳定,不兼容,不要急着升级。这我理解,因为2000和98之间是Dos和NT的质的变化;
所以当XP出世时,不少技术人员都说,XP是新事物,不稳定,不兼容,不要急着升级;
2007年,Vista出世了,许多技术人员都说,Vista是新事物,不稳定,不兼容,不要急着升级;
2009年,Win7出世了,一些小白用户也说,Win7是新事物,不稳定,不兼容,不要急着升级;
2012年,Win8出世了,很多小白用户都说,Win8是新事物,不稳定,不兼容,不要急着升级;
2015年,Win10出世了,每一个人都告诉你,Win10是新事物,不稳定,不兼容,不要急着升级。
然后他们抱残守缺,因循守旧,生活在Win7,甚至XP的怀里,告诉你,我不听我不听,现在的系统挺好的,换新的没用,我不习惯。
哪怕四周围风雨飘摇,千疮百孔。
2006年,熊猫烧香爆发。因为作者是国人,首先运行在国内互联网,所以国内受灾严重。爆发后,各大媒体纷纷跳了出来,报道这一见所未见的旷世奇观,然后告诉大家要怎么防止感染。包括关掉所有盘的自动运行、在每个盘下面建立一个空白的只读autorun.inf等等,哪怕这些措施都能被变种病毒用三两行代码搞定。今天,Wana Cryptor爆发,媒体们只是把纸上的新闻换在了微博上,伪高手们把口口相传变成了朋友圈转发,继续散发着奇怪的谣言。知乎用户zsxsoft在他的回答https://zhihu.com/question/59765151/answer/169014118中列举了不少例子,如比情报专家更早知道了制作这是谁的、信誓旦旦说这病毒只感染Windows 10的、解决方案是让用户去跟微软要密钥的、甚至认为针对windows的病毒能感染Mac的。狂骚盛宴,群魔乱舞。除了借机吹牛的、手滑打错的、根本不懂被领导逼着写稿而随便在网上找一些的,其余一大部分人大概只是又看到了互联网热点的出现吧。他们笃信着雷军的风口理论,坚信自己也是那个能够跟风红起来,然后接广告大赚一笔的例子。可那跟风飞起来的是猪啊,亲。
当我在2012年更新到Win8的时候,因为Tencent Protect不兼容而不能运行腾讯游戏。这时我听见过一个说法,“Win8就是垃圾,连腾讯的东西都做不好兼容。”当时我只觉一时语塞,哑口无言,因为我们的思维通常都在想,TP这个垃圾毫无意义,兼容性还差的要命,谁也没想过还要Windows来兼容腾讯。可是存在即为合理,用户有这样的想法,主要原因怕还是我国的奇葩互联网环境和缺乏的网络安全教育吧。这些东西改变起来不容易,但并不是绝对没有可能。君不见当初横行的IE6,现在不也已经是彻底的古董一件了吗?
牢骚发了四千多字,再说下去我也怕自己断肠而死。接下来要说的自然还是怎样解决。诸如打补丁、关闭端口之类的方法我也不再赘述,只希望看到这篇文章的人们,一方面能够跳出国内互联网思维的桎梏,去尝试一下新事物的便利性,权衡一下他们是否有可能给你带来更多的好处。
另一方面,能够建立起随时备份的思想。国内互联网虽然说是一朵奇葩,但是疯长的云服务还是留下了一些宝贵的遗产。国内的坚果云,国外的Onedrive等云同步盘用来备份自己最重要的少量文档,可以有效地防止类似的攻击毁掉自己多年的心血。同步盘不需要自己手动备份,能够以最大的便捷度保护用户的数据,可以说是互联网对人类极大的一项贡献了。
最后,希望互联网安全教育能够成为这个时代重要的技能教育,和法律、社科、理科基础教育一同,成为提升人口素质的工具。那样的话,大概这个野蛮生长的丛林,和我这样的倒霉IT从业人员,都能在一定程度上得到有限的休息吧。
