详解WannaCry病毒攻击：工具竟来自美国安局，支付系统却简陋到发指

全球被Wanna Cry病毒攻击的地区

罗伯特·格雷（Robert Gren）还剩下26分钟时间决定是否支付赎金。

那是5月15日星期一，WannaCry全球网络攻击事件爆发三天之后。格雷电脑屏幕上的一个计时器正在倒计时。

计时器上方有一个警告：

“赎金将在2017年5月15日21点13分40秒提高。”

勒索软件加密了格雷电脑里的文件，要求他支付价值300美元的比特币才能解锁。26分钟后，赎金将翻倍。

他愿意付钱，因为他将要失去的那些文件代表了他的整个数字生活：家庭照片，工作文件，音乐。一切都会消失。但他觉得即使付了钱，黑客也不会解锁他的文件。

他一边看着计时器上的时间分分秒秒地过去，一边说道：“我还在做思想斗争。有人声称他们朋友或熟人的文件已经解锁。但我没办法核实这一点或者直接联系到他们。”

格雷使用的是一台运行Window 7的台式电脑，三天前他的电脑突然黑屏，但他没有在意。那时是下午4点，32岁的格雷是个SOHO族，为一家在线娱乐公司工作。他以为黑屏是无关紧要的小故障所致，于是关机重启。

这款勒索软件不仅出现在格雷的电脑上，还同时感染了欧洲、亚洲和北美部分地区的数万台Windows电脑。就在格雷的电脑黑屏后大约30分钟，英国国家医疗服务体系（NHS）宣布，16家NHS医院被感染。医生无法访问病人记录，急诊室被迫关闭。

不久后，被感染的医院数量增加到33家。然后是西班牙的一家电信公司，俄罗斯的一家移动运营商和法国的汽车企业雷诺。使用某些Windows系统版本、在上个月没有进行更新的用户很容易中招。数小时内，这起网络攻击事件就被称为“史上最成功的勒索软件攻击”。

病毒扩散到数十个国家，似乎将演变成遍及全球的网络攻击事件，此时英国一位22岁的安全研究人员迅速作出一个决定。

这位化名MalwareTech的研究人员从朋友那里弄到了勒索软件程序的副本，然后在自己电脑上的测试环境中运行。他发现，该程序试图请求连接一个网址，但没有成功。这个网址是由一长串随机字母组成的.com域名。

随后，思科的威胁情报团队Talos在一篇博客文章中写到，这个网址似乎是人工键入而不是电脑生成的，因为“大多数字符都位于键盘的上排和中排”。MalwareTech发现该网址没有注册，于是把它注册在自己名下。结果证明，该网址是一个“终止开关”， 这款勒索软件如果能连接该网址，就会停止传播。

在几秒钟内，勒索软件立刻停止感染新的电脑。MalwareTech阻断了这款恶意软件的传播，但对已经中毒的电脑来说为时太晚。

格雷的Windows 7电脑上的Wana Decrypt0r 2.0对话框

在克拉科夫，格雷重启电脑一个小时后，屏幕又黑了。他再次重启。但这次登录系统时，电脑桌面上的图标变成了空白的白色方块。图标下方的文件名后缀为“.wncry”。格雷打开一些文件夹，里面的文件都带有“.wncry”后缀。

他顿时紧张起来。

他试图打开其中的一些文件，但只是徒劳。他打开的文本文件里全是乱码。

不久，屏幕上弹出一个红色的对话框。

上面写着：“哎呀，你的文件被加密了！”对话框标题栏左上角的软件名称是“Wana Decrypt0r 2.0”。

与此同时，在美国西雅图市郊，那天上午因为感冒而离开公司的马克·彭德格拉夫特（Mark Pendergraft）收到合伙人发来的短信，说公司服务器上的文件出了怪事，文件名带上了一个新的后缀：“.wncry”。

34岁的彭德格拉夫特在谷歌上搜索该后缀，查看了几个网页，然后给合伙人回了电话。“立刻关闭服务器，”他说。他知道这意味着公司在当天剩下的时间里无法正常运转，只能让员工提前下班。

安全专家和观察人士纷纷在社交媒体和博客上散布关于这款勒索软件的信息，该软件由此有了一个好记的简称。Wana Decrypt0r 2.0又被为“WannaCrypt0r”、“WCrypt”和“WnCry”。

在攻击爆发的第一天中午，安全专家在Twitter上为这个新病毒取了个名字：WannaCry。

虽然这起网络攻击事件将以这款勒索软件本身的名字而载入史册，但使该病毒迅速传播的并不是Wana Decrypt0r。WannaCry勒索软件是恶意软件的集合，包括后门植入工具DoublePulsar和漏洞利用工具EternalBlue。

3月14日，在DoublePulsar和EternalBlue的名字被公众所知之前，微软为几乎所有还在使用的Windows操作系统版本发布了MS17-010重要安全更新。

这个补丁似乎很寻常，只有一个不寻常的细节。不同于微软发布的几乎所有安全更新，MS17-010更新公告中没有鸣谢发现漏洞的研究人员。

一个月后，一个自称Shadow Brokers的组织公布了大量的黑客工具，其中包括利用各种安全漏洞的软件。该组织声称，他们从美国国家安全局（NSA）窃取了这些工具。其中一个工具是DoublePulsar。另一个是EternalBlue，它利用的Windows系统漏洞正是微软在一个月前通过MS17-010更新修复的那个漏洞。

当然，NSA没有证实那些工具来自于该机构，微软也没有说MS17-010更新公告原本应当鸣谢的是否就是NSA。但安全专家普遍认为事实就是如此。

迈克菲（McAfee）高级研究科学家查尔斯·麦克法兰（Charles Mcfarland）说，Shadow Brokers公布的内容“提供了其所包含的恶意软件的充足信息，使它们在几天之内就迅速被添加到公开的工具之中”。

5月12日WannaCry勒索病毒爆发时，DoublePulsar和EternalBlue已经流传了近一个月。

安全专家警告称，这两个强大的工具可能导致灾难性后果。WannaCry勒索病毒爆发时，DoublePulsar后门已经被黑客植入了至少40万台电脑。虽然微软在两个月前就发布了针对EternalBlue的补丁，但很多用户并没有安装。

WannaCry的速度和效率使研究人员很快意识到，它同时使用了这两个工具。

即使没有点击钓鱼邮件中的链接或者访问不安全网站，照样会感染WannaCry勒索病毒。该程序能在局域网上从一台电脑复制到另一台电脑，甚至通过互联网四处传播，根本不需要人类的“帮助”。一旦溜进了一台电脑，它就能立刻开始工作，执行一条又一条恶意指令。

首先，WannaCry会执行名为tasksche.exe的程序，检查作为“终止开关”的那个网址是否可用。如果不可用，WannaCry就会进行下一步：搜索容易中毒的其他电脑。

它先是检查局域网，然后产生随机IP地址，在互联网上寻找目标。它会试图连接每一个IP地址，看看445端口是否开启。当成功接入另一台电脑时，它会把自己复制到那台电脑上。然后，WannaCry开始工作，先是试图利用EternalBlue控制这台电脑。如果这台电脑运行Windows系统，而且自从3月中旬微软发布EternalBlue补丁以来就没有更新过，那么该电脑就会中毒。

这时，受感染电脑的用户开始倒霉了。

WannaCry利用EternalBlue欺骗服务器消息块SMB（Windows系统的一项服务，让用户可以在网络上彼此共享文件和其他资源），使SMB以为WannaCry是合法资源，从而允许它植入DoublePulsar后门。现在，WannaCry拥有电脑的完全访问权限，开始加密文件。完成加密后，就会弹出勒索赎金的对话框。

5月12日傍晚，格雷关闭了中招的电脑，打开笔记本电脑搜索解决办法，尝试了他能想到的所有关键词组合，比如“WnCry勒索软件”和“WnCry 2.0”。

一开始，他希望找到办法自己解锁文件，输入了“WannaCry解锁”和“如何解锁”等关键词。后来他只想知道付了赎金后能不能拿回文件。

“我不怎么上社交媒体，”格雷说，“我没有Instagram账号，不用Facebook。我是个很内向的人。”但在那个星期五的傍晚，他创建了一个Twitter账号，试图找到希望，找到付了赎金并拿回了文件的人。但他一无所获。凌晨1点，他上床睡觉，但躺了几个小时都睡不着。

“我脑海里总是想着这件事，”他说，“我没法不去想发生了什么。我想知道我还能怎么办，还有没有什么其他的办法。”

那个星期五结束时，WannaCry不再传播，但MalwareTech的监控列表显示，已经有8万多台电脑被感染。受害者开始支付赎金，他们被要求向三个比特币地址中的一个付款300或600美元。

所有的比特币地址都有关联账户，通常名为钱包，公众可以随时访问。由于WannaCry勒索软件程序只使用三个钱包，当它们开始接收赎金时，整个世界很容易就能知道。第一天，这三个钱包总共收到36笔付款，每笔介于250到600美元之间。

只使用三个比特币地址的做法，使旁观者和执法部门很容易监控钱包的情况，但似乎也使黑客难以知道谁交了钱，谁没交钱。

在以前的网络攻击事件中，更加高明的勒索软件程序会针对每一台受感染的电脑，动态生成一个新的比特币地址，这样一来，为已付款的受害者解锁电脑的过程可以实现自动化。如果付款到X地址，受害者Y的电脑就会被解锁。

这种做法也意味着，黑客可能必须向已付款的受害者手动提供解锁，也许是通过这款勒索软件的内置通讯系统，让受害者可以和黑客联系。如果WannaCry的目标是从受害者那里榨取钱财，那么除了让WannaCry迅速传播的代码，收集赎金的功能也同样重要，但这款勒索软件的支付系统似乎是菜鸟打造的。

只使用三个比特币地址的做法令专家们感到困惑，黑客把“终止开关”网址放到WannaCry代码中的做法也令人费解。这两种做法看起来像低级错误，完全达不到其他恶意软件的高明程度。

支付系统的开发者似乎不知道他们在干什么，或者WannaCry不是为了钱，而是另有企图。

“WannaCry开发者做了几个很奇怪的决定，”麦克法兰说，“它不像是通常意义上的勒索软件。”

5月13日星期六，彭德格拉夫特前往办公室，跟合伙人尚恩·巴尼斯（Shane Barnes）碰头，评估公司的损失。他们的Windows SBS 2011服务器上的大多数文件已被加密。他们无意中一直在使用过期的信用卡给他们的云备份账户充值，所以账户已经停用。红色的Wana Decrypt0r对话框要求他们支付600美元赎金。他们咨询了IT专员，对方说他也无能为力。

彭德格拉夫特和他的合伙人决定支付赎金。

“巴尼斯开始研究如何购买比特币和创建钱包，”彭德格拉夫特说，“他问比特币公司CoinBase，他们回答说一周只能换取500美元的比特币，而且创建钱包需要上传身份证件。”

巴尼斯向这家网站上传了他的身份证件并存入500美元，然后通过一台比特币ATM机，购买了200美元的比特币，直接存入他的比特币钱包中。当天傍晚，彭德格拉夫特和巴尼斯向Wana Decrypt0r对话框中列出的那个钱包地址付了赎金，然后等待回音。

在克拉科夫，当天格雷继续在网上搜索，试图找到支付赎金后拿回文件的证据。在Twitter上，有专家说一些人付钱后拿回了文件，于是格雷发信息询问，但专家要么不回复，要么说他们不认识那些人。

格雷决定点击Wana Decrypt0r对话框中的“联系我们”按钮。他发了一条消息说已经付了赎金，但实际上他没有。他点击了“付款查询”按钮，据说点击这个按钮后，付了钱的受害者就能让他们的文件解锁。但研究人员说，该按钮到底有没有用值得怀疑。

一条消息弹了出来：“你尚未付款，或者我们没有确认你的付款！”然后是令人啼笑皆非的进一步指示：“若未付款，请现在支付，2小时后再次查询。最佳查询时间：格林尼治标准时间周一至周五早上9点至11点。”

那天夜里，他又是很晚才上床睡觉，但还是睡不着。

5月14日星期天，格雷的生活和头一天相比没什么变化。他在网上搜索，但徒劳无功。

他又发了一条消息，再次说他付了钱，想要回文件。他点击那个按钮，弹出了同样的消息。

在西雅图，彭德格拉夫特和巴尼斯不得不等待Wana Decrypt0r加密完更多的文件，然后才可以和这款勒索软件互动。完成加密后，对话框现在要求支付300美元赎金，尽管他们已经交了600美元。

他们点击“付款查询”按钮，得到了和格雷一样的结果：“你尚未付款，或者我们没有确认你的付款！”2小时后再试，最好是在格林威治标准时间周一至周五早上9点至11点。

“头几天，我们像着了魔一样不断点击这个按钮，”彭德格拉夫特说，“还有个‘联系我们’按钮，点击该按钮会弹出一个小对话框。我发了大概六七条消息，说我们已经付了钱，请解锁我们的文件。我在一条消息中提到了我的邮件地址，不知道他们会通过什么途径联系我们。我还提到我们支付了双倍的赎金。”

5月15日星期一，格雷还剩下26分钟时间决定是否支付赎金。26分钟后，赎金就会翻倍至600美元。在过去三天里，他一直犹豫不决。问题不在于钱的多少。如果他付了钱，却没有拿回文件，他会觉得自己上了当，白白给犯罪集团送了钱。

计时器上的时间还剩下三分钟，格雷决定到阳台上抽支烟。他担心，如果离电脑太近，他会承受不住压力，向黑客支付赎金。

当他回到电脑前的时候，还剩下30秒。他眼看着计时器归零，赎金增加到600美元。然后，另一个计时器启动，给他72小时支付加码的赎金。如果不付钱，Wana Decrypt0r就会删除他的所有文件。

他通过“联系我们”按钮又发了一条消息，再次试图让黑客相信他已经交了赎金。

同一天，彭德格拉夫特及其合伙人继续发送消息和点击“付款查询”按钮，每次都得到同样的结果：“你尚未付款，或者我们没有确认你的付款！”到5月16日星期二，Wana Decrypt0r使用的那三个比特币钱包共收到176笔付款，每笔金额为200美元或以上。其中一笔付款是彭德格拉夫特支付的600美元，但他的经历和格雷如出一撤。

“到了这个时候，基本上所有的希望都破灭了，”彭德格拉夫特说，“我花了很多时间在网上搜索，想知道有没有人付了赎金后，他们的文件被解锁。我没发现有人亲口说他们的文件被解锁，一个都没有。”

第二天，彭德格拉夫特再次点击“付款查询”按钮，一条不同的消息出现了。

“你的付款已收到。现在开始解锁。”

一个新窗口弹了出来，它开始滚动文件，这些文件全都被解锁了。

表示收到付款后，Wana Decrypt02 2.0开始解锁文件

“我几乎高兴得叫起来，”彭德格拉夫特说。

他的公司终于可以恢复正常了。除了当天晚些时候服务器崩溃了一次，造成了一点麻烦以外，一切都很顺利。

但关于这次的痛苦经历，彭德格拉夫特始终觉得有一点很古怪：他发给黑客的消息中从未提供他和巴尼斯已经支付了600美元的凭证，黑客也从未要求提供凭证。就像格雷一样，他们只是向黑客发消息说已经付款。

实际上，交了赎金的人也没有明确的办法可以证明他们付了钱。他们可以向黑客提供他们付款用的那个独一无二的比特币地址，但彭德格拉夫特指出，这么做没什么意义，因为任何人都可以在线查看比特币钱包，知道每笔付款来自哪个地址。

“我不知道是不是因为他们相信了我们的话，或者他们只是随机解锁一些人的文件，以便让付钱就能解锁的消息流传出去，又或者他们有另外的手段来检查付款，”彭德格拉夫特说，“我确实点击了联系按钮几次，说我们付了钱，我可以证明这一点。但我从未向他们真正提供我们付款用的那个钱包地址。”

截至5月20日傍晚，Wana Decrypt0r使用的那三个比特币钱包共收到近300笔付款，共计48.86359565个比特币，大概相当于10.1万美元。

Wana Decrypt0r感染了近30万台电脑，导致医院瘫痪、工厂关闭，最终可能造成数十亿美元的损失。声势搞得如此之大，收到的赎金却如此之少，这实在有点说不过去。

一些人将这种低回报归因于无处不在的云服务。人们把最重要的文件存放在云端，如果电脑被感染，他们只需要清空硬盘和重装操作系统就行了。还有一个原因是比特币使用起来比较麻烦。

另一个原因是Wana Decrypt0r的支付系统太烂，简直和没有一样。很多受害者会做些调查，想知道他们付了钱后能不能拿回文件。就WannaCry而言，可以找到的好消息几乎没有。Wana Decrypt0r的支付系统只使用三个比特币地址，似乎无法知道受害者是否付了赎金。

有鉴于此，整起网络攻击事件似乎是黑客菜鸟所为，他们下载了其他人从NSA窃取的强力软件，却搞砸了最重要的部分：赚钱。但迈克菲安全工程师拉贾·萨玛尼（Raj Samani）建议别忙着下结论。

“这不是看上去那么简单，”他说，“我们目前正在分析支付机制，认为这起事件有很多因素都背离了我们对勒索软件的正常理解。”

5月18日星期四，快要到中午的时候，格雷放下手头的工作，到厨房去为自己泡杯咖啡。他还是没有付款，继续通过“联系我们”按钮发消息，并且养成了每天点击“付款查询”按钮的习惯。

“在去厨房泡咖啡的路上，我启动了那台电脑，”他说，“泡好咖啡回来时，我点击了那个按钮。问题就这样解决了。”

“你的付款已收到。现在开始解锁。”

翻译：于波

来源：QUARTZ