国内专家讨论：为什么勒索软件可以绑架我们的系统

（原标题：中国信息安全领域专家学者探讨：“勒索”病毒如何绑架我们的系统）

5月12日晚第一次病毒勒索比特币是哪一年，全球爆发大规模“勒索”病毒（WannaCry）感染。只有支付高额赎金（有些需要比特币）才能解密被病毒锁定的数据和数据。英国多家医院招募，患者信息受到泄露威胁。与此同时，在俄罗斯、意大利等欧洲国家，大量中国企业的内网也被大规模感染，有的甚至瘫痪。

那么这种“勒索软件”病毒是如何产生的，又为何如此强大？加密数据可以解密吗？“敲诈”的比特币从何而来，又是如何支付的？教育网表示，这不是重灾区。这次的安全应急反应是不是过度了？5月16日下午，中国计算机学会青年科技论坛（CCFYOCSEF）和CCF计算机安全专业委员会联合举办了题为“勒索软件：它为什么会绑架我们的系统？”的专题技术论坛，邀请知名专家参加在国内信息安全领域，学者们进行了相关讨论。

被勒索的 235 个比特币尚未被认领

“这是首例蠕虫类‘勒索’病毒软件。” 左磊，北京神州绿盟信息安全公司安全研究部主任。他首先定义了“勒索软件”软件的爆发。利用网络复制传播，感染途径一般是通过邮件引导用户点击，但这次勒索软件更进了一步，利用漏洞快速传播，加密文件进行勒索。”

左磊介绍，今年2月，有人在网上宣布发现了这个恶意软件，3月又有人宣布发现。当时还是1.0版本，没有蠕虫的特性。微软曾在 3 月份针对该漏洞发布了 6 个补丁，但病毒软件 2.0 版本在一个月后出现。左磊从技术角度分析了微软操作系统的漏洞是如何被“勒索”软件攻击的。这种软件攻击很普遍，可以传播到许多系统。

左磊还看到有报道称，英国一位年轻的IT专家通过分析“想哭”软件发现，该软件预设了如果域名被访问则自动删除，并且该域名尚未注册。通过注册域名并进行相关操作，成功阻止了“想哭”软件的传播。

“这个软件5月14日有一个变种，目前已经发现了两个变种，第一个变种很容易改，已经过期了。” 左磊表示，“勒索”软件的影响范围很广。他们监测到，截至 13 年 5 月 16 日，共有 237 笔勒索款项，其中包括 235 笔比特币，约合 5.$90,000，折合人民币 410,000 元，但尚未有人收到。

北京理工大学计算机学院教授朱烈煌为大家展示了被敲诈的比特币是如何形成的第一次病毒勒索比特币是哪一年，它与传统货币的区别，以及资金流向。他建议，网络世界应根据已确定的三个资金流向地址，制定相应的应对措施。

这是一场失控蔓延的大规模“网络武器”

安天科技副总裁王晓峰将这种新型蠕虫状“勒索”软件称为“魔窟”：“安全从业者这几天一直很紧张，分析和应对。我们认为这是一个全球性的大规模事件。” 网络弹药“扩散失控事件”。

他说，一个月前，安天曾发出提醒：“网络弹药”的泛滥将降低全球攻击者的成本，带来“蠕虫”的死灰复燃。这个警告是不幸的。好在这次国内的网络安全公司反应比较快。5月12日晚，安天出具了分析报告，并发布了相关应对预案。随后发布了防范“勒索软件”软件的指南，并发布了免疫工具。

“‘网络弹药’的攻击性和穿透力很强，会造成大规模的灾难；我们的基础防御水平还很低；从一个案例推论，不是网络更安全，而是隐蔽性更强增加了，很难被发现。对于这次袭击，王晓峰有很多想法。他认为，未来我们将面临更多的“网络武器”袭击和失控的危险。“这一次，孤立的网络存在很多漏洞。过分依赖网络边界防护和物理隔离的安全系统，内部网络安全可能存在更多疏漏，系统安全治理也任重道远。”

竞价软件副总经理李振宁也在论坛上代表国内操作系统厂商表达了自己的看法：“虽然这次攻击只针对Windows系统，不会影响Linux，但这个漏洞是由国家安全局控制的美国的，并且被黑客攻击泄露后，还有更多的漏洞没有被披露，这是这次事件中最可怕的问题，我们的大量设备都是基于这样的系统构建的，而且是未知系统存在多少漏洞和后门 实施信息领域关键技术和装备攻关战略，在操作系统研发和应用等方面取得重大突破，是构建真正安全可控的信息技术体系。”

此次事件应急响应的成功有一定的运气成分

360副总裁兼首席安全官谭晓生展示了一张数据监测图，显示5月12日下午3点开始出现大量感染，夜间进入高发期。招募了很多机构，包括某个石油系统和一个政府机构。网站。“5月13日12:00以后，政府企业和个人都开始进行相关救治，病毒感染开始得到控制。从5月14日7:00到现在，一直稳定，没有出现大的-发生了规模感染。”

由于15日是病毒出现后的第一个工作日，上午11:00至下午12:00这一小时是过去一段时间内的最高峰。共有 5,389 次攻击，共招募了 105 名用户。16日下午，一个小时只有几十个。

“现在病毒会继续在用户之间传播，但文件不会加密，破坏基本不存在。” 谭小生说，这是因为英国小伙注册了域名，控制了它的危害。

360的实时监控数据也证明，“教育网并非此次事件的重灾区”。截至5月16日0时，360安全卫士监测的数据显示，教育网仅占中国感染者总数的0.63%。此前的报道很大程度上是由于媒体对数据的曲解和曲解。

“我们有近 60,000 台设备，到目前为止，还没有收到任何学生电脑中毒的报告，也没有收到任何教师受到这种‘勒索软件’软件影响的报告。全校只有少数几个在教室里播放 PPT 的设备被感染了。” 论坛上，从事信息安全研究的北京大学教授陈忠提供了北京大学目前的数据，证明“教育网是这个‘勒索软件’传播的罪魁祸首”。

谭晓生认为，“勒索”软件的传播得到及时控制，其中有侥幸心理。“首先，安防产品厂商反应迅速，因为‘一带一路’峰会期间，各部门及时沟通，政府发布3个公告，运营商封锁口岸，多家企事业单位迅速关闭口岸。 445，也阻碍了传播，微软还发布了针对XP和2003系统的特殊补丁，虽然有点晚了，但还是解决了很多问题。

“虽然应急响应比较成功，但还有很多需要改进的地方。” 谭小生一一分析。首先，谷歌在 3 月份首次报告了该操作系统的漏洞。如果当时判断是蠕虫传播，应该有应急预案，但没有制定；第二，一些大企业，特别是一些央企，信息化能力不错，安全团队也很强大，但是为什么会招进来呢？因为他们对安全有偏见的理解。“从这个角度来看，网络终端不等于彻底杀毒，终端也可以成为攻击源头，病毒可以进入隔离的网络。如果内网的安全防范没有做好,

中国青年报、中国青年网记者 李心玲

转载请注明：东东工作室——国内专家讨论：为什么勒索软件会绑架我们的系统