詳解WannaCry病毒攻擊始末：非為勒索贖金，而是另有企圖

網絡安全 Windows 7 比特幣黑客造就 2017-05-28

羅伯特·格雷（Robert Gren）還剩下26分鐘時間決定是否支付贖金。那是5月15日星期一，WannaCry全球網絡攻擊事件爆發三天之後。格雷電腦屏幕上的一個計時器正在倒計時。

計時器上方有一個警告：“贖金將在2017年5月15日21點13分40秒提高。”

格雷電腦上的勒索軟件加密了他的文件，要求他支付價值300美元的比特幣才能解鎖。26分鐘後，贖金將翻倍。他願意付錢，因為他將要失去的那些文件代表了他的整個數字生活：家庭照片，工作文件，音樂。一切都會消失。但他覺得即使付了錢，黑客也不會解鎖他的文件。

他一邊看著計時器上的時間分分秒秒地過去，一邊說道：“我還在做思想鬥爭。有人聲稱他們朋友或熟人的文件已經解鎖。但我沒辦法核實這一點或者直接聯繫到他們。”

格雷使用的是一臺運行Window 7的臺式電腦，三天前他的電腦突然黑屏，但他沒有在意。那時是下午4點，32歲的格雷正在波蘭克拉科夫的家中，為一家在線娛樂公司工作。他以為黑屏是無關緊要的小故障所致，於是關機重啟。

這款勒索軟件不僅出現在格雷的電腦上，還同時感染了歐洲、亞洲和北美部分地區的數萬臺Windows電腦。就在格雷的電腦黑屏後大約30分鐘，英國國家醫療服務體系（NHS）宣佈，16家NHS醫院被感染。醫生無法訪問病人記錄，急診室被迫關閉。

不久後，被感染的醫院數量增加到33家。然後是西班牙的一家電信公司，俄羅斯的一家移動運營商和法國的汽車企業雷諾。使用某些Windows系統版本、在上個月沒有進行更新的用戶很容易中招。數小時內，這起網絡攻擊事件就被稱為史上最成功的勒索軟件攻擊。

病毒擴散到數十個國家，似乎將演變成遍及全球的網絡攻擊事件，此時英國一位22歲的安全研究人員迅速作出一個決定。這位化名MalwareTech的研究人員從朋友那裡弄到了勒索軟件程序的副本，然後在自己電腦上的測試環境中運行。他發現，該程序試圖請求連接一個網址，但沒有成功。這個網址是由一長串隨機字母組成的.com域名。

這起網絡攻擊事件被稱為史上最成功的勒索軟件攻擊。

隨後，思科的威脅情報團隊Talos在一篇博客文章中寫到，這個網址似乎是人工鍵入而不是電腦生成的，因為“大多數字符都位於鍵盤的上排和中排”。MalwareTech發現該網址沒有註冊，於是把它註冊在自己名下。結果證明，該網址是一個“終止開關”，這款勒索軟件如果能連接該網址，就會停止傳播。

在幾秒鐘內，勒索軟件立刻停止感染新的電腦。MalwareTech阻斷了這款惡意軟件的傳播，但對已經中毒的電腦來說為時太晚。

詳解WannaCry病毒攻擊始末：非為勒索贖金，而是另有企圖

格雷的Windows 7電腦上的Wana Decrypt0r 2.0對話框

在克拉科夫，格雷重啟電腦一個小時後，屏幕又黑了。他再次重啟。但這次登錄系統時，電腦桌面上的圖標變成了空白的白色方塊。圖標下方的文件名後綴為“.wncry”。格雷打開一些文件夾，裡面的文件都帶有“.wncry”後綴。他的心跳開始加速。他試圖打開其中的一些文件，但只是徒勞。他打開了記事本的一個文本文件，但全是亂碼。不久，屏幕上彈出一個紅色的對話框。

上面寫著：“哎呀，你的文件被加密了！”對話框標題欄左上角的軟件名稱是“Wana Decrypt0r 2.0”。

與此同時，在美國西雅圖市郊，那天上午因為感冒而離開公司的馬克·彭德格拉夫特（Mark Pendergraft）收到合夥人發來的短信，說公司服務器上的文件出了怪事，文件名帶上了一個新的後綴：“.wncry”。

34歲的彭德格拉夫特在谷歌上搜索該後綴，查看了幾個網頁，然後給合夥人回了電話。“立刻關閉服務器，”他說。他知道這意味著公司在當天剩下的時間裡無法正常運轉，只能讓員工提前下班。

安全專家和觀察人士紛紛在社交媒體和博客上散佈關於這款勒索軟件的信息，該軟件由此有了一個好記的簡稱。Wana Decrypt0r 2.0又被稱為“WannaCrypt0r”、“WCrypt”和“WnCry”。在攻擊爆發的第一天中午，安全專家在Twitter上為這個新病毒取了個名字：WannaCry。

詳解WannaCry病毒攻擊始末：非為勒索贖金，而是另有企圖

雖然這起網絡攻擊事件將以這款勒索軟件本身的名字而載入史冊，但使該病毒迅速傳播的並不是Wana Decrypt0r。WannaCry勒索軟件是惡意軟件的集合，包括後門植入工具DoublePulsar和漏洞利用工具EternalBlue。

3月14日，在DoublePulsar和EternalBlue的名字被公眾所知之前，微軟為幾乎所有還在使用的Windows操作系統版本發佈了MS17-010重要安全更新。這個補丁似乎很尋常，只有一個不尋常的細節。不同於微軟發佈的幾乎所有安全更新，MS17-010更新公告中沒有鳴謝發現漏洞的研究人員。

一個月後，一個自稱Shadow Brokers的組織公佈了大量的黑客工具，其中包括利用各種安全漏洞的軟件。該組織聲稱，他們從美國國家安全局（NSA）竊取了這些工具。其中一個工具是DoublePulsar。另一個是EternalBlue，它利用的Windows系統漏洞正是微軟在一個月前通過MS17-010更新修復的那個漏洞。

當然，NSA沒有證實那些工具來自於該機構，微軟也沒有說MS17-010更新公告原本應當鳴謝的是否就是NSA。但安全專家普遍認為事實就是如此。

邁克菲（McAfee）高級研究科學家查爾斯·麥克法蘭（Charles Mcfarland）說，Shadow Brokers公佈的內容“提供了其所包含的惡意軟件的充足信息，使它們在幾天之內就迅速被添加到公開的工具之中”。

5月12日WannaCry勒索病毒爆發時，DoublePulsar和EternalBlue已經流傳了近一個月。安全專家警告稱，這兩個強大的工具可能導致災難性後果。WannaCry勒索病毒爆發時，DoublePulsar後門已經被黑客植入了至少40萬臺電腦。雖然微軟在兩個月前就發佈了針對EternalBlue的補丁，但很多用戶並沒有安裝。WannaCry的速度和效率使研究人員很快意識到，它同時使用了這兩個工具。

即使沒有點擊釣魚郵件中的鏈接或者訪問不安全網站，照樣會感染WannaCry勒索病毒。該程序能在局域網上從一臺電腦複製到另一臺電腦，甚至通過互聯網四處傳播，根本不需要人類的“幫助”。一旦溜進了一臺電腦，它就能立刻開始工作，執行一條又一條惡意指令。

即使沒有點擊釣魚郵件中的鏈接，照樣會感染WannaCry勒索病毒。

首先，WannaCry會執行名為tasksche.exe的程序，檢查作為“終止開關”的那個網址是否可用。如果不可用，WannaCry就會進行下一步：搜索容易中毒的其他電腦。它先是檢查局域網，然後產生隨機IP地址，在互聯網上尋找目標。它會試圖連接每一個IP地址，看看445端口是否開啟。當成功接入另一臺電腦時，它會把自己複製到那臺電腦上。然後，WannaCry開始工作，先是試圖利用EternalBlue控制這臺電腦。如果這臺電腦運行Windows系統，而且自從3月中旬微軟發佈EternalBlue補丁以來就沒有更新過，那麼該電腦就會中毒。

這時，受感染電腦的用戶開始倒黴了。WannaCry利用EternalBlue欺騙服務器消息塊SMB（Windows系統的一項服務，讓用戶可以在網絡上彼此共享文件和其他資源），使SMB以為WannaCry是合法資源，從而允許它植入DoublePulsar後門。現在，WannaCry擁有電腦的完全訪問權限，開始加密文件。完成加密後，就會彈出勒索贖金的對話框。

5月12日傍晚，格雷關閉了中招的電腦，打開筆記本電腦搜索解決辦法，嘗試了他能想到的所有關鍵詞組合，比如“WnCry勒索軟件”和“WnCry 2.0”。一開始，他希望找到辦法自己解鎖文件，輸入了“WannaCry解鎖”和“如何解鎖”等關鍵詞。後來他只想知道付了贖金後能不能拿回文件。

“我不怎麼上社交媒體，”格雷說，“我沒有Instagram賬號，不用Facebook。我是個很內向的人。”但在那個星期五的傍晚，他創建了一個Twitter賬號，試圖找到希望，找到付了贖金並拿回了文件的人。但他一無所獲。凌晨1點，他上床睡覺，但躺了幾個小時都睡不著。

“我腦海裡總是想著這件事，”他說，“我沒法不去想發生了什麼。我想知道我還能怎麼辦，還有沒有什麼其他的辦法。”

那個星期五結束時，WannaCry不再傳播，但MalwareTech的監控列表顯示，已經有8萬多臺電腦被感染。受害者開始支付贖金，他們被要求向三個比特幣地址中的一個付款300或600美元。

所有的比特幣地址都有關聯賬戶，通常名為錢包，公眾可以隨時訪問。由於WannaCry勒索軟件程序只使用三個錢包，當它們開始接收贖金時，整個世界很容易就能知道。第一天，這三個錢包總共收到36筆付款，每筆介於250到600美元之間。

詳解WannaCry病毒攻擊始末：非為勒索贖金，而是另有企圖

只使用三個比特幣地址的做法，使旁觀者和執法部門很容易監控錢包的情況，但似乎也使黑客難以知道誰交了錢，誰沒交錢。在以前的網絡攻擊事件中，更加高明的勒索軟件程序會針對每一臺受感染的電腦，動態生成一個新的比特幣地址，這樣一來，為已付款的受害者解鎖電腦的過程可以實現自動化。如果付款到X地址，受害者Y的電腦就會被解鎖。

這種做法也意味著，黑客可能必須向已付款的受害者手動提供解鎖，也許是通過這款勒索軟件的內置通訊系統，讓受害者可以和黑客聯繫。如果WannaCry的目標是從受害者那裡榨取錢財，那麼除了讓WannaCry迅速傳播的代碼，收集贖金的功能也同樣重要，但這款勒索軟件的支付系統似乎是菜鳥打造的。

只使用三個比特幣地址的做法令專家們感到困惑，黑客把“終止開關”網址放到WannaCry代碼中的做法也令人費解。這兩種做法看起來像低級錯誤，完全達不到其他惡意軟件的高明程度。支付系統的開發者似乎不知道他們在幹什麼，或者WannaCry不是為了錢，而是另有企圖。

“WannaCry開發者做了幾個很奇怪的決定，”麥克法蘭說，“它不像是通常意義上的勒索軟件。”

5月13日星期六，彭德格拉夫特前往辦公室，跟合夥人尚恩·巴尼斯（Shane Barnes）碰頭，評估公司的損失。他們的Windows SBS 2011服務器上的大多數文件已被加密。他們無意中一直在使用過期的信用卡給他們的雲備份賬戶充值，所以賬戶已經停用。紅色的Wana Decrypt0r對話框要求他們支付600美元贖金。他們諮詢了IT專員，對方說他也無能為力。

彭德格拉夫特和他的合夥人決定支付贖金。

“巴尼斯開始研究如何購買比特幣和創建錢包，”彭德格拉夫特說，“他問比特幣公司CoinBase，他們回答說一週只能換取500美元的比特幣，而且創建錢包需要上傳身份證件。”

巴尼斯向這家網站上傳了他的身份證件並存入500美元，然後通過一臺比特幣ATM機，購買了200美元的比特幣，直接存入他的比特幣錢包中。當天傍晚，彭德格拉夫特和巴尼斯向Wana Decrypt0r對話框中列出的那個錢包地址付了贖金，然後等待迴音。

在克拉科夫，當天格雷繼續在網上搜索，試圖找到支付贖金後拿回文件的證據。在Twitter上，有專家說一些人付錢後拿回了文件，於是格雷發信息詢問，但專家要麼不回覆，要麼說他們不認識那些人。

下午的時候，格雷稍作休息，看了《異形：契約》。他不喜歡這部電影。

格雷決定點擊Wana Decrypt0r對話框中的“聯繫我們”按鈕。他發了一條消息說已經付了贖金，但實際上他沒有。他點擊了“付款查詢”按鈕，據說點擊這個按鈕後，付了錢的受害者就能讓他們的文件解鎖。但研究人員說，該按鈕到底有沒有用值得懷疑。一條消息彈了出來：“你尚未付款，或者我們沒有確認你的付款！”然後是令人啼笑皆非的進一步指示：“若未付款，請現在支付，2小時後再次查詢。最佳查詢時間：格林尼治標準時間週一至週五早上9點至11點。”

“你尚未付款，或者我們沒有確認你的付款！”

那天夜裡，他又是很晚才上床睡覺，但還是睡不著。

5月14日星期天，格雷的生活和頭一天相比沒什麼變化。他在網上搜索，但徒勞無功。他又發了一條消息，再次說他付了錢，想要回文件。他點擊那個按鈕，彈出了同樣的消息。在西雅圖，彭德格拉夫特和巴尼斯不得不等待Wana Decrypt0r加密完更多的文件，然後才可以和這款勒索軟件互動。完成加密後，對話框現在要求支付300美元贖金，儘管他們已經交了600美元。他們點擊“付款查詢”按鈕，得到了和格雷一樣的結果：“你尚未付款，或者我們沒有確認你的付款！”2小時後再試，最好是在格林威治標準時間週一至週五早上9點至11點。

“頭幾天，我們像著了魔一樣不斷點擊這個按鈕，”彭德格拉夫特說，“還有個‘聯繫我們’按鈕，點擊該按鈕會彈出一個小對話框。我發了大概六七條消息，說我們已經付了錢，請解鎖我們的文件。我在一條消息中提到了我的郵件地址，不知道他們會通過什麼途徑聯繫我們。我還提到我們支付了雙倍的贖金。”

5月15日星期一，格雷還剩下26分鐘時間決定是否支付贖金。26分鐘後，贖金就會翻倍至600美元。在過去三天裡，他一直猶豫不決。問題不在於錢的多少。如果他付了錢，卻沒有拿回文件，他會覺得自己上了當，白白給犯罪集團送了錢。

“我內心掙扎，矛盾萬分。我不斷向未婚妻尋求建議，”他說。

他問未婚妻：“我該怎麼辦？我不知道該怎麼做。該不該付錢？”

他說：“我還沒有找到付錢後文件恢復的確鑿證據。”然後又問：“你怎麼看？”

“我問了她10次後，她說付錢吧，這樣我就不會煩她了，”他說。

計時器上的時間還剩下三分鐘，格雷決定到陽臺上抽支菸。他擔心，如果離電腦太近，他會承受不住壓力，向黑客支付贖金。當他回到電腦前的時候，還剩下30秒。他眼看著計時器歸零，贖金增加到600美元。然後，另一個計時器啟動，給他72小時支付加碼的贖金。如果不付錢，Wana Decrypt0r就會刪除他的所有文件。

他通過“聯繫我們”按鈕又發了一條消息，再次試圖讓黑客相信他已經交了贖金。

同一天，彭德格拉夫特及其合夥人繼續發送消息和點擊“付款查詢”按鈕，每次都得到同樣的結果：“你尚未付款，或者我們沒有確認你的付款！”到5月16日星期二，Wana Decrypt0r使用的那三個比特幣錢包共收到176筆付款，每筆金額為200美元或以上。其中一筆付款是彭德格拉夫特支付的600美元，但他的經歷和格雷如出一撤。

“到了這個時候，基本上所有的希望都破滅了，”彭德格拉夫特說，“我花了很多時間在網上搜索，想知道有沒有人付了贖金後，他們的文件被解鎖。我沒發現有人親口說他們的文件被解鎖，一個都沒有。”

“到了這個時候，基本上所有的希望都破滅了。”

第二天，彭德格拉夫特再次點擊“付款查詢”按鈕，一條不同的消息出現了。

“你的付款已收到。現在開始解鎖。”

一個新窗口彈了出來，它開始滾動文件，這些文件全都被解鎖了。

詳解WannaCry病毒攻擊始末：非為勒索贖金，而是另有企圖

表示收到付款後，Wana Decrypt02 2.0開始解鎖文件

“我幾乎高興得叫起來，”彭德格拉夫特說。

他的公司終於可以恢復正常了。除了當天晚些時候服務器崩潰了一次，造成了一點麻煩以外，一切都很順利。但關於這次的痛苦經歷，彭德格拉夫特始終覺得有一點很古怪：他發給黑客的消息中從未提供他和巴尼斯已經支付了600美元的憑證，黑客也從未要求提供憑證。就像格雷一樣，他們只是向黑客發消息說已經付款。

實際上，交了贖金的人也沒有明確的辦法可以證明他們付了錢。他們可以向黑客提供他們付款用的那個獨一無二的比特幣地址，但彭德格拉夫特指出，這麼做沒什麼意義，因為任何人都可以在線查看比特幣錢包，知道每筆付款來自哪個地址。

“我不知道是不是因為他們相信了我們的話，或者他們只是隨機解鎖一些人的文件，以便讓付錢就能解鎖的消息流傳出去，又或者他們有另外的手段來檢查付款，”彭德格拉夫特說，“我確實點擊了聯繫按鈕幾次，說我們付了錢，我可以證明這一點。但我從未向他們真正提供我們付款用的那個錢包地址。”

截至5月20日傍晚，Wana Decrypt0r使用的那三個比特幣錢包共收到近300筆付款，共計48.86359565個比特幣，大概相當於10.1萬美元。Wana Decrypt0r感染了近30萬臺電腦，導致醫院癱瘓、工廠關閉，最終可能造成數十億美元的損失。聲勢搞得如此之大，收到的贖金卻如此之少，這實在有點說不過去。

一些人將這種低迴報歸因於無處不在的雲服務。人們把最重要的文件存放在雲端，如果電腦被感染，他們只需要清空硬盤和重裝操作系統就行了。還有一個原因是比特幣使用起來比較麻煩，或者是彭德格拉夫特和巴尼斯遇到的500美元限制。

另一個原因是Wana Decrypt0r的支付系統太爛，簡直和沒有一樣。很多受害者會做些調查，想知道他們付了錢後能不能拿回文件。就WannaCry而言，可以找到的好消息幾乎沒有。Wana Decrypt0r的支付系統只使用三個比特幣地址，似乎無法知道受害者是否付了贖金。