俄罗斯影响最大的互联网新闻媒体“今日俄罗斯”

昨天紧急通知了朋友们这件事情，最终，影响的范围远远超出了当时所能想象的。

几个小时之内，世界地图就这样“点亮”了 ▼

据BBC新闻最新消息，这种在中国被称为“比特币病毒”的恶意软件现已在99个国家被攻克，大型机构和组织是头号目标。

英国NHS被招募后，位于桑德兰的日产汽车工厂也宣布了“陨落”。除了西班牙最早的电信巨头外，能源公司和天然气公司Gas也未能幸免。德国只是为了在火车站“向公众展示”......

据多家外媒报道，俄罗斯是受影响最严重的国家，被黑客攻击的组织已经......从银行到政府卫生部门，从国有铁路公司到移动通信公司，应有尽有

今日俄罗斯，俄罗斯最有影响力的互联网新闻媒体。（图片来自 RT）。

在中国，目前“受灾最严重的地区”是主要大学，许多朋友在写论文时被要求支付相当于比特币的300美元。

而黑客一见钟情就来了，中国人对勒索信息的叫踏实，什么“就算老天爷来了”，“我保证我的人格”，“就看你的运气了......即使不是以中文为母语的人写的，也必须是中文10级的外国人 ▼

（图片来自新浪微博）。

果不其然，微博上已经有很多朋友表示“慎思怕”▼

（图片取自新浪微博）。

大家都在猜测幕后是否有中国人参与，但实际上，这次比特币病毒的“多语种”现象不仅在中文版中，还有韩文版、日文版和......

早在昨天，当它刚爆发时，专业科技网站《连线》的一位业内人士就撰文解释了这一现象：这意味着比特币病毒背后的团队不仅早有准备，而且很有可能处于休眠状态，等待使用升级勒索软件的第二波大规模攻击！

“情况会变得更糟，非常糟糕”。

首先，大家称之为“比特币病毒”的勒索软件蠕虫是英文称呼的，还有两个比较常见的昵称，分别是和WCry。

根据

科技网站Wired，它是自今年3月下旬以来一直存在的勒索软件的最新变种，可以追溯到操作系统中一个名为“Blue”的漏洞。美国国家安全局（NSA）曾经开发过一种基于它的网络武器，由于发布的新补丁，该武器在上个月被“放弃”。3月底，勒索软件程序

被调用，所以如果你在国外媒体上看到2.0或2.0这个词，它指的是这次爆发的勒索软件程序。

（图片来自《连线》）。

剩下的事情应该已经明白了： 3月份发布了一个补丁号MS17-010，结果很多大企业和一些个人用户都没能及时安装，以至于不知道如何获取和修改NSA的网络武器。我真的很想哭（想哭......

那些昨天

看过权哥文章的你或许还记得，昨天特蕾莎·梅接受采访时，她一直强调，这次勒索软件的目标不仅是英国NHS，而是全世界，我总觉得有一种“人不只针对英国医疗系统”， “如果有人和我一样坏，请放心”的奇怪潜台词。虽然最终被证明是一场全球性的灾难，但它首先始于英国的 NHS 真的只是巧合吗？

当然不是！

根据《连线》杂志作者基于行业经验和技术专家接触的解释，医院是最有可能被任何勒索软件攻击的“胖子”：医护人员很可能遇到紧急情况，需要通过计算机系统获取信息（如病历、过敏史等）才能完成紧急任务，而此时他们最有可能被迫支付“赎金”。

医疗保健信息与管理系统研究所（ for and ）隐私和安全主管Lee Kim也解释说，由于信息和隐私问题的数量庞大，“在医疗保健和其他一些行业，我们没有及时处理这些（系统）漏洞。这就是为什么科技界普遍认为时机非常聪明，因为更新了不到两个月的 MS17-010 补丁。

（图片来自）。

如果你从开发和发布它的人的角度来考虑，他们并不真正关心他们想瞄准哪个行业，因为他们的逻辑是，任何有利可图的领域都是“胖子”，你必须赚钱。所以他们真的不必与英国的NHS相处，这只是一个好的开始。

与企业和大型组织相比，PC 用户受到攻击的比率要低得多，这不仅是因为修补 PC 更容易、更快捷，还因为攻击不仅效率低下且利润较低。从根本上说，该操作机制是为大规模局域网攻击而设计的。

这样一来，全球其他被攻击的大型企业和组织，无论是交通、制造、通信行业，还是中国比较悲惨的学校，确实是需要及时从数据库中检索信息的典型领域。难怪微博上有朋友这样评论▼

（图片取自新浪微博）。

至于勒索信息的语言，《连线》发现，它实际上可以运行和勒索赎金，总共有27种语言，而且每种语言都相当流利，这绝对不是简单的机器翻译的结果。截至发稿时，病毒来源尚未得到证实。

《连线》杂志的作者认为，更有可能的是，有一个大型团伙招募了跨国人员，而不是幕后的某种“黑客”，而且很可能是“醉酒的人不想喝酒”。毕竟，任何想发简单财的人都没有理由制定如此全面的全球勒索计划。

在隐藏操作员的真实身份方面，提前完成的工作是相当彻底的。不仅在语言系统上，而且在使用比特币索要赎金上其实都是一样的：杜绝了通过账户“碰到藤蔓”的真钱转账的可能性。

（图片来自 Avast 博客）。

综上所述，这次勒索软件的作案手法似乎没有任何“见即收”的意思。

难怪《连线》杂志文章的作者得出结论，开发人员已经制定了一个广泛的长期计划：“在变得更好之前，情况会变得更糟——非常糟糕。“（这会变得更糟——更糟——它会变得更糟。

22岁的英国哥哥拯救了世界？

无论 Wire 作者如何分析，它都只是基于迄今为止世界各地被侵犯的可见行为。在这篇文章引起广泛关注之前，一个22岁的英国程序员男孩似乎“错误地”阻止了进一步的扩散。

这部分故事，英国媒体和其他一些公众号都被炒作了，看过的人可以直接跳到下一个小标题，但让我们先明确一点：事情并没有那么简单。

《独立报》和《每日电讯报》等媒体都报道了这位小弟弟“拯救世界”的行为。（图片取自《独立报》）。

小弟在社交网络上的昵称（中文大概是“恶意软件技术”的意思，听起来更像是黑客），在阻止了全球进一步猖獗后，他把整个过程写在了自己的博客上，甚至英国情报机构GCHQ也在其官网上转发了这篇博文。

本来应该是在度假，但他反应迅速，找到了该软件的样本。在阅读代码时，他发现了一个尚未注册的域名，下面的代码意味着它会在黑点电脑前操作时先尝试访问该域名，如果访问失败就破解系统，如果成功则自动注销。

于是我注册了域名。

（原始图片来自）。

在后来一些中国媒体的报道中，小哥的举动被强调为“心血来潮”或“潜意识”的举动。正是因为注册了无效域名，受感染的计算机在访问域名时得到了正返回值，所以才不锁信息，开始敲诈勒索。

但你自己的解释并非如此。他在博客中写道，注册域名是他作为网络安全工作者的“标准做法”（ ）。在过去的一年里，他遇到了所有这种短期的无效域名激增，他会把它们注册起来扔进上图提到的“天坑”里，而这个“天坑”的目的就是“抓恶意流量”。

这

在昨天全球攻击开始后，样本中的域名的访问量立即激增，但之前没有被访问的迹象。（图片来自个人博客）。

然而，他的专业敏锐度使他考虑是否定期或在特殊情况下修改程序中的无效域名，因为如果是这样的话，仅仅注册他找到的域名并不能防止未来的攻击。

即使软件没有这部分，开发者仍然可以手动升级并再次传播，所需要的只是用新的无效域名替换它。

更糟糕的是，

如果程序中还有另一层自我保护，则注册无效域名可能会导致所有受感染的计算机自动加密无法恢复的所有信息。

（图片来自BBC新闻）。

为了排除后一种情况，他只是修改了其中一台计算机的主机文件，使其无法连接到以前已经注册的无效域名。

计算机已成功蓝屏。

写道：“你无法想象一个成年男子兴奋地在房子里跳来跳去，因为他的电脑被勒索软件故障了。但我就是这样。测试结果显示，他的“标准做法”确实阻止了进一步的传播。

小哥亲自告诫：“这件事还没完”。

与一些炒作“救世”表情包的信息平台不同，英国《卫报》和《英国电讯报》都在头条中明确告诉大家，小哥本人已经发出了警告：“这还没完！"▼

（照片取自《卫报》和《每日电讯报》）。

根据他的解释，域名注册后停止传播，只是病毒制造者一种不成熟的自我保护机制。对方的真正意图不是通过域名是否能连接来“指导”病毒的运行，而是判断病毒是否已经被计算机安全专家以这种方式捕获。

一旦运行时发现域名有反应，真正的反应不是“善意”地停止攻击，而是避免被扔进“沙箱”（）安全机制进行全面分析，干脆退出接收到域响应的计算机系统。

换句话说，虽然他为此做出了贡献，但他只是阻止了当前“比特币病毒”样本的传播，但开发人员也意识到了这个弱点，并可能随时以勒索软件的升级版本卷土重来。

（图片来自BBC新闻）。

这又回到了上一篇文章的作者所表达的推论：病毒的开发者绝对没有惊呆，他们很可能正在计划新一波的攻击。

其实说了这么多，最终目的就是提醒大家，虽然目前进一步传播似乎得到了控制，但现在真的不能掉以轻心！！

对于还没安装补丁的，是时候动动手指邀请这位大佛回来了，将以下链接复制粘贴到地址栏，或者戳“阅读原文”直接去 ▼

（图片取自官网）。

《连线》杂志还建议，由于 MS17-010 是服务器级补丁，因此企业或组织级用户最好让系统管理员安装它。

个人用户还应注意：

那里

真的不是太多的信息安全措施，总是需要尽可能地保护你的电脑和文件，毕竟就算不回来，以后难免会有其他病毒。

希望这场高科技灾难能尽快结束。

（ ，编辑：Moo，内容参考《连线》、《独立报》、《BBC新闻》、《英国电讯报》等，图片除标记外均来自网络，请注明。