勒索病毒并非“病毒”，而是一种商业模式

“勒索病毒并非是一种病毒，而是一种商业模式，只要网络环境中有财产可被获取，就会出现无尽的变种”，360安全技术负责人郑文彬告诉36氪。

勒索病毒最新“战况”

自12日WannaCrypt（永恒之蓝）勒索蠕虫突然爆发以来至今，影响已经遍及近百国家，包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者，中国校园网和多家能源企业、政府机构也中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失，全球至少有10万台机器被感染。

在中国，经过72小时全国动员和应急响应，感染和影响得到了基本控制，总体态势平稳，但这种病毒的传播情况至今仍然无法彻底遏制。

首先，来回望下这次勒索病毒的起源。

根据多家官方权威介绍，本次勒索病毒发行者是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue“永恒之蓝”，将2017年2月的一款病毒升级所致。WannaCrypt（永恒之蓝）勒索蠕虫是NSA网络军火民用化的全球第一例。

一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

勒索者使用病毒的方式也很简单，瞄准机构和个人重要文件，直接“放毒”，加密用户电脑文件并勒索300美元赎金，3天后不交赎金就涨价到600美元，7天后不交赎金就撕票，被锁的重要文件将被永久销毁。

一个很现实的问题：勒索病毒为何就没办法彻底遏制？

一方面因为WannaCrypt利用公开的“永恒之蓝”武器制作的蠕虫型勒索病毒，一台电脑感染后，会继续扫描内网和互联网上其他未免疫的系统，继续感染这些系统，连锁反应导致大规模感染爆发。

勒索病毒传播图。

另一个关键因素是勒索病毒使用的是可匿名比特币支付，压根追踪不到病毒来源和背后勒索者。

事实上，根据比特币交易平台的公开数据显示，截至5月15日晨，已经有136人交了赎金，总价值约3.6万美元。

有人可能要问了，有比特币的可以快速支付并解锁，但没有比特币的人怎么办？

别着急，勒索者都已经帮你想好了，这个病毒制造者可谓很贴心，在勒索页面附有教程，直接可以通过网银从分销商那里购买比特币，并且它支持十几种语言，根据每个国家的国情不一样，做非常完整的提示。

很贴心的支持多国语言，以及比特币购买流程。

怎么样，是不是很贴心？

事实上，勒索者还设置了一个更贴心的服务，那就是对半年没付款的搞抽奖活动，抽中就可以免费给你解除，但没有抽中就是运气不好了。

这俨然就是一种商品的售卖和营销模式啊，也恰恰验证了郑文彬所说的一整套勒索“商业模式”。

当然，这一次也并非勒索病毒首次爆发，2013年勒索病毒就出现了，只不过当时是通过邮件、挂马传播，2015年开始进入爆发期，目前已经有超过100种勒索病毒家族存在。有数据显示，仅其中一个勒索病毒CryptoWall家族的一 个变种就收到23亿赎金。

那么，问题来了，多年前已经得知的“商业模式”，为什么如今还会呈现大爆发态势？

“可以说，目前对勒索病毒还没有一个特别好的解决的方法，只能说是防御，但中了以后并没有什么好的方法，这种情况下它还会发展出更多的变种，包括在不同的平台，移动平台、IoT，甚至是关键基础信息设施上”，郑文彬如是说。

除此之外，如前文所说，勒索病毒溯源一直是比较困难的问题，FBI曾经悬赏300万美元找勒索病毒的作者，都没有结果。因为它的整个操作体系非常成熟，完全是用比特币和匿名网络，目前全球都没有发现作者是哪个国家的，它的目的是什么，没有一个明确的消息。

这次中枪最多的为何是机构？

如果在以前，勒索病毒的人群多集中在个人，但这次不然，伤害最大的却是大型机构，为什么？

比如，《每日邮报》的报道病毒爆发当天就表示，至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击，这些机构包括医院和全科医生诊所。

病毒制造者为了谋取高额利润，首选机构无可厚非，毕竟机构更具有支付的财力。

但另一个不可忽视的因素是机构安全市场的投入严重不足，一个数据显示，中国整个安全市场占整个中国IT市场的投入是2%，而全球尤其是美国安全市场，占整个美国IT市场的也不过9%，两个超级大国的投入已经如此，更不用提其他国家了。

这导致病毒来袭之后，安全系统弱的机构手足无措，漏洞更新也颇为困难，因为这可能牵涉到整个机构系统的大变动，这也是为何企业客户明显比互联网个人用户反应慢的原因所在。

除此之外，很多机构即便上线了最新的安全产品，但缺乏运营，因为如果没有人经常检查有没有效果、漏洞有没有被修复，445端口有没有被非法的开放，安全产品也没有用。

正如安全行业传播很广的一句话：重视运营，就是安全产品上线的第一天也是失效的第一天。

针对此次勒索病毒，网络很多人认为应该NSA背锅，但是你有没有想过，如果NSA不用这个武器，这些漏洞就不存在吗？

其实这些漏洞还是会存在，总有人会利用它，只不过这件事情被曝光出来，造成了极大的影响。

事实上，我们也无法否认，只要黑客找到一种攻击方式，它就可以拿来作为一个勒索的工具和勒索的蠕虫，下次它可能能攻击你的手机，攻击你的IoT连接设备，所以它并不是某一种病毒，早已经变成一种黑产的商业模式。