勒索病毒的背后，再背后。细思恐极的故事还有很多….

根据360威胁情报中心的统计，在短短一天多的时间，全球近百个国家的超过10万家组织和机构被攻陷，其中包括1600家美国组织，11200家俄罗斯组织。包括西班牙电信巨头Telefonica，电力公司Iberdrola，能源供应商Gas Natural在内的西班牙公司的网络系统也都瘫痪。葡萄牙电信、美国运输巨头FedEx、瑞典某当地政府、俄罗斯第二大移动通信运营商Megafon都已曝出相关的攻击事件。

国内已经有29372家机构组织的数十万台机器感染WannaCrypt（永恒之蓝），被感染的组织和机构已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。目前被感染的电脑数字还在不断增长中。

上海中山医院电脑已被感染

5月13号，发现了诡异域名注册即可中止病毒程序的安全工程师也坦白承认这是个美丽的巧合，同时提醒需要为电脑打上补丁，以免病毒变种，绕过这一域名，发动下一波攻击。

果然就在昨天下午，国家网络与信息安全信息通报中心发出就勒索病毒发布紧急通报。

通报称，监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，据了解变种后勒索病毒传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

几乎与此同时，北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》同样指出，WannaCry 勒索蠕虫已经出现新变种，并给出了具体处理建议。

安天公司安全研究与应急处理中心主任李柏松判断：“勒索软件网络攻击大规模爆发于北京时间12日晚8点左右，当时国内有大量机构和企业的网络节点已关机，因此15日开机将面临安全考验。”他还说，许多重要的计算机系统处于内网环境，无法访问前述域名，并且也可能无法及时更新安全补丁，因此仍可能面临较大风险。

网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。

对于此次病毒的罪魁祸首，则一直神秘莫测，钛媒体作者对本次事件真正的成因和背后神秘黑客组织，做了更大胆的追踪和分析，以下是全文：

今天（5月15日）将迎来勒索病毒爆发的高峰期，Windows用户电脑一开机，可能所有的文件将被加密无法读取。

虽然一方面各种应急手册、紧急补丁、漏洞修复工具，以及让家庭用户安心的科普文章在大量刷存在感。但另一方面，我们看到该病毒的变异版“如约而至”，被攻击范围和受攻击次数在不断增加，已受攻击网络依旧没有很好的处理方案。

在病毒袭击爆发的48小时之内，我们身边的学校、加油站、政府网络已经相继有受袭案例传出，在国外更是直接产生了病毒影响医院工作的恶性事件。

这样肆虐全世界的病毒袭击，已经很久没有出现在人类世界的新闻当中了。而此次事件的多方矛头，都指向一种名为“WanaCrypt0r 2.0”的蠕虫病毒。这种病毒被广泛认定为是根据 NSA（美国国家安全局）此前泄露的黑客渗透工具之一，永恒之蓝（Eternal Blue）升级而来。

假如这次事件明确指向NSA的渗透武器泄露事件，那么此次大规模病毒肆虐恐怕很难被定义为孤立事件。

反而更有可能是，此次事件与之前著名的黑客组织“影子经纪人（Shadow Brokers）”攻破NSA黑客武器库，导致大量基于Windows系统漏洞的黑客工具流失事件有关。这次流散出的工具绝不仅仅是“永恒之蓝”一种或一个类型。其中隐含的未知风险，也许比目前大众判断中更加惊人。

如果看过生化危机，那这集剧情你可能眼熟

恰好在一个月前的4月15日，已经屡次出手“教训”NSA的神秘组织“影子经纪人”发布了一份关于NSA的泄密文档。

这份300M的转存文档中，是NSA旗下黑客组织“方程式”的入侵工具，主要针对微软的Windows系统和装载SWIFT系统的银行。

这些恶意攻击工具中，包括恶意软件、私有的攻击框架及其它攻击工具。根据已知资料，其中至少有设计微软23个系统漏洞的12种攻击工具，而这次完成“变身出击”的永恒之蓝，不过12种的其中之一而已。

影子经济人所上传泄露工具

永恒之蓝所针对的是Windows中的SMB网络文件共享协议所存在漏洞。其他针对RDP远程显示协议、Kerberos 服务器认证协议的尊重审查（Esteem Audit）、 爱斯基摩卷(Eskimo Roll)等等，说不定还在暗中蠢蠢欲动。

更加令人在意的，是泄露出的攻击工具中另一个主要构成部分，是针对银行、政府系统所使用的SWIFT系统的漏洞攻击工具。影子经纪人说，这些武器的主要目的是NSA用来攻击中东地区银行。而如果这些工具为别有用心的犯罪者掌握，那事件更加不堪设想。

抛开技术工具不说，我们来回顾一下这次剧情：神秘的黑客组织“影子经纪人”宣布攻破了据说为NSA开发网络武器的美国黑客组织“方程式”（Equation Group）的系统，并下载了他们的攻击工具对外传播，借以证明NSA组织并实施了大量针对他国的非法黑客攻击。

简单来说，就是一个神秘高手为了揭开另一个“大内高手”的真面目，把他发明的武林至毒给偷出来并散布到了江湖上。然后，江湖上的阿猫阿狗得到了这份神秘武器，一场腥风血雨就此展开…..

等等….如果你看过生化危机的话，后面的剧情可能你都该猜着了。

影子经纪人：以怒怼为乐趣，以搞事情为己任

这里不妨简单回顾一下这个“小李飞刀，例不虚发”的神秘组织——影子经纪人。

2016年8月，这个组织首次亮相在人类面前。这个神秘黑客组织宣布自己攻破了NSA的防火墙，并且公布了思科ASA系列防火墙，思科PIX防火墙的漏洞。

随后他们还公开拍卖得到的黑客工具包，宣布如果收到超过100万比特币，就会释放他们已经拥有的大量黑客工具。但显然世界人民还是不太买黑客的面子，这次拍卖最终获得了2比特币的尴尬结果。

赚钱心情强烈的黑客组织，又在2016年10月开启了众筹活动，宣布当他们收到10000比特币后将提供给每一位参与众筹者黑客工具包。12月，众筹活动又尴尬的失败了。

虽然这个有点傻萌气质的傲娇黑客组织在赚钱的路上屡屡掉坑，但他们偷来的东西却不断被证明货真价实。先是思科和Fortinet发出了安全警告，随后著名的泄密者爱德华·斯诺登，以及NSA多名前雇员都证明了这份工具包的真实性。

有意思的是，影子经纪人还发布了证据，表明中国的大学和网络信息供应商是NSA入侵最频繁的领域。

作为全世界雇佣最多计算机专家的单位，NSA的内部机密被真实网络黑客入侵绝对是首次。而造成的影响恐怕也比想象中严重很多。

今年4月，搞事情绝不嫌事大，并且永远抓住NSA怒怼的影子经纪人再次出手。直接放出了这份长久没有卖出去的工具包。随后其中一个工具，就在今天的世界袭击中被找到了身影。无论正邪善恶，这个团队和被他们窃取了的NSA，恐怕都难以撇清责任。

划重点：“工具工程化水准”才是最要命的

众多网络安全项目团队和从业者都表示，影子机器人在4月的这一次攻击工具泄露是一场网络安全界的核爆。

这个说法事实上一点都不夸张。在很长时间里，网络安全袭击一般有两个模式：一是袭击者自行根据所发现漏洞编订袭击方式，也就是一般意义上的黑客袭击；二是袭击者制造病毒类程序引发范围袭击。

这两个模式中，病毒也可以完成先传递——引发袭击的过程。但病毒制造者传递给袭击实施者的往往是病毒原本，很容易被安全工具扑灭。

但这次流传出的袭击工具则不同，引用专业网络安全企业的评价，这次泄露出的黑客工具“在漏洞的危险程度、漏洞利用程序的技术水平、以及工具工程化水平，都属于世界顶级水平”。其中漏洞利用方面，我们可能已经对新病毒的杀伤力见惯不惯，但在工具工程化水平上，互联网世界中尚是首次集中出现如此高水平的袭击工具。

影子经纪人爆出NSA侵入世界多家银行

所谓工具工程化，是指攻击工具可被反复利用、改写，以达到适应袭击目标与针对性潜伏和释放作用的能力。普遍认为，NSA流出的这部分黑客袭击工具，更多是针对国家网络、军用网络和银行网络释放，并且有意识的提高了底层工具化能力，以提升网路战中的标准化应用程度。

这种高度工具化网络袭击工具的外泄，无疑是把军用大规模杀伤性武器随手抛到了民间。这给未来世界网络安全埋下的祸患，绝不只是一次袭击可以消抵的。

抱歉，这才刚开始：关于网络安全战的未来

在熊猫烧香肆虐之后十年，我们又迎来了一次大规模的网络病毒袭击。而这次中国与世界的同步、袭击工具的特殊背景，以及袭击方式的独特，都让我们感到了对网络安全世界的更深恐惧。

尤其在AI技术不断发展的今天，AI投入产品化应用已经不再话下，而AI、物联网、云计算等新技术带来的负面利用也在快速提升。在近两年的世界网络安全事件中，我们已经可以看到以下几种袭击方式开始主导网络安全问题。

一、工业网络勒索：以这次比特币勒索病毒为例，通过工具化蠕虫病毒的有目的放置，然后集中时间有计划引发，可以说是一种全新的病毒袭击方式。

这种模式的问题在于，它可以有效威胁工业网络、医疗网络、银行网络等大型非民用网络，从而达到数额巨大的勒索获益目的。并且随着比特币支付技术带来的便利，始作俑者往往更难被绳之以法。在这次世界范围袭击之后，这种袭击方式恐怕还将持续增加。

二、信任攻击：AI威胁人类恐怕还很远，但AI被坏人利用恐怕今天就在发生。通过AI技术模拟声音源、语气、笔记、修辞习惯等等，已经是很容易达成的技术效果。于是用AI生成熟人的声音和邮件，从而进行网络诈骗的方式在快速增加。

目前英国一年已经可以发现超过10万起的“技术型网络诈骗”，在网络安全的领域中这被称为“信任攻击”。

三、物联网攻击：2016年1月，乌克兰电网系统遭黑客攻击，导致了数百户家庭供电被迫中断。这是人类历史上第一次导致停电的网络攻击。

随着物联网技术的进步以及能源生产部门的彻底网络化，针对物联网的黑客袭击也逐渐开始增多。这次的勒索病毒也大范围进入了物联网领域。而这个领域的网络袭击，往往也是危险度更强、更加难以防范的一种。

四：关键数据更改：大数据运算正在成为新的能源和生产力提供者，但有数据就有虚假数据。如果在关键数据上动手脚，有时候可以造成不留任何痕迹的网络袭击。通过更改关键数据的袭击模式也在近两年悄然增多。而以AI算法进行数据攻击，生成合情合理的“假数据链”，则更加是一种毁灭性打击。

事实上，新技术加持和大量泄漏事件带给不法黑客的武器升级，远比安全部门快上很多。这次经历的全球性袭击，恐怕还是众多事件的开始而已。未来的全球网络安全，恐怕会是一场“大逃杀”模式的无尽战争。

出路何在，今天应该还没人知道。