我们和中国最牛的“黑客”CEO，聊了聊为什么巨头挡不住勒索病毒

勒索病毒突然肆虐全球，150多个国家沦陷，损失到底有多大？WannaCry为何要求用户必须用比特币支付，背后有没有惊天阴谋？病毒会变种吗？面对变种的勒索病毒，我们真的无计可施吗？下面这篇文章，我们找了国内的顶级网络安全专家试图解读背后的答案。明晚，一场围绕“勒索病毒”的饭局将在7点上线，欢迎围观。

文/王鹏 实习生 董鹿北

刚刚过去的周末，WannaCry勒索病毒突然肆虐全球，150多个国家沦陷，德国铁路系统、美国联邦快递公司、英国医院、中国的公安、交管系统纷纷中毒。更令人咋舌的是，该病毒还向中招用户勒索价值300美元的比特币。

幕后主谋深藏不露，今天变种病毒已出现的传闻不绝于耳，所有的Windows用户都人心惶惶。

微软、百度、360等巨头的技术这么牛，为何就搞不定一个勒索病毒？这个WannaCry到底有什么特殊性？面对变种的病毒，我们真的无计可施吗？

今天，寻找中国创客（ID:xjbmaker）找来了两位安防领域创业公司的创始人，他们既是顶级黑客，也是安防专家。他们分别是长亭科技联合创始人陈宇森、青松云安全CEO孙大伟。我们试图从黑客的角度来解剖黑客攻击。

病毒大规模爆发本可避免

寻找中国创客：今天有消息称WannaCry已经出现了变种，是真的吗？

陈宇森：没有任何一个病毒在传播很好的情况下不出变种，变种是必然的。目前有媒体报道说出现了不包含Kill Switch的WannaCry 2.0的变种，但是卡巴斯基的研究人员也已经在Twitter上辟谣，表示目前所有样本都包含Kill Swtich。

寻找中国创客：所以传闻一个22岁的英国网络工程师发现了Kill Switch，也是假的？

陈宇森：这个是真的。这位工程师化名为MalwareTech。这位工程师开启了域名上80端口的访问，经过分析发现这一行为恰好可以阻止病毒进一步传播，极大程度地降低了蠕虫的传播。

寻找中国创客：勒索病毒继续变种，未来最坏的结果会是什么？

陈宇森：最坏的结果就是它通过别的漏洞进行进一步传播，之前的病毒多是被动传播，需要你来点击，现在利用系统漏洞，实现了主动蠕虫式的传播，每搞定一台电脑，就以它为一台攻击中心，继续去实施攻击。

寻找中国创客：勒索病毒原本有没有可能避免大规模爆发？

陈宇森：4月15日，美国的一个网络军火方程式组织，它的大量漏洞利用工具被放了出来，我们最早在国内发了分析预警文章。当时，很多电脑都没有打补丁，但你们看到一个月之后才爆发，这说明大家对于网络安全真的很漠视。

孙大伟：这次勒索病毒主要的传播途径是smb协议，Windows很早就出了补丁，只不过大家不大习惯更新补丁而已。技术手段是完全能够把这次病毒控制在非常小的范围内，但是管理手段、检测手段跟不上，本质上还是用户的网络安全意识不够。

可能是黑客故意做高比特币价格

寻找中国创客：为什么攻击方要求用户必须用比特币支付？

孙大伟：因为比特币更安全，不容易被国际刑警追踪。

寻找中国创客：但是似乎支付比特币的用户并不太多。

孙大伟：这几天勒索病毒爆发后，比特币的价值一路飙升，目前已经突破了10600元。如果攻击方事先大量囤积了比特币，然后通过攻击勒索引导比特币的交易走势，那它的主要收入来源就绝不是勒索款本身，而是存量比特币的增值。

寻找中国创客：所以，大量拥有比特币的利益集团可能是最大的嫌疑方？

孙大伟：有可能，反正利益相关方都有受益。

寻找中国创客：据说这种黑客勒索软件从1980年开始就已经存在，这么古老的病毒，为什么微软没有很早就做好防护？

孙大伟：病毒的基本原理都是调用用户电脑操作系统上的执行指令。大多数的杀毒软件是通过行为识别或特征识别，病毒常常通过穿不同的“衣服”或者几层“衣服”来逃过杀毒软件的识别。

陈宇森：但是它是利用了新的漏洞，新的手法。之前的病毒就是把你的电脑真的搞瘫、搞破坏，目的是为了展示实力、秀肌肉。但现在市场经济的时代，大家都是为了赚钱的，一个是有了新的漏洞，一个是有了新的诉求。

中国受冲击波较大

寻找中国创客：目前来看，哪个国家受损最严重呢？

孙大伟：中国和东南亚，这要看主机存量，中国的主机存量最大。按照人口密度来算就可以。这次影响确实很大，但是真实影响没有朋友圈传的那么大。

陈宇森：我感觉是美国第一，中国第二。

寻找中国创客：WannaCry以前也有那么多病毒，为什么这个病毒攻击范围会这么大呢？

陈宇森：这个Windows的漏洞是很多人都开启的，它的使用非常稳定。就像当年的冲击波一样。因为你的电脑本来就是开的，只要你的局域网有一个人中病毒，它把你的局域网全部扫一遍。

孙大伟：这个病毒已经被植入太长的时间了，至少两三个月了，最近才大面积爆发，病毒传毒和爆发是两码事。病毒文件进入电脑后，和你电脑的时钟同步，然后会有一个倒计时。

寻找中国创客：被击中后，目前有暴力破解的方法吗？

孙大伟：WannaCry使用的是RSA非对称加密算法，以目前的算力来说，没有办法暴力破解。360给了一个恢复工具，可以把部分被删除的工具给恢复过来。

寻找中国创客：这次攻击如果从网络安全厂商来说，这次攻击能打几分呢？

陈宇森：从对公众的影响力角度而言，我给满分。

孙大伟：9分。满分是10分。

寻找中国创客：这个病毒技术也不是很厉害，为什么能得这么高的分？

孙大伟：因为它比较能够隐忍。当传播已经非常广泛后，它才激活这个病毒。