從上周末、準確地說是5月12號開始，“比特幣勒索病毒”WannaCry（或稱WannaCrypt、WannaCrypt0r）席卷全球。

一旦計算機被這種病毒感染，電腦中所有文件會被加密鎖定，除非在指定時間內支付價值300美元的比特幣才能紓困，超時金額翻倍；如果用戶選擇拒絕，那么電腦中的文件可能會被徹底清空。

WannaCry先是從歐洲爆發，在相繼襲擊了西班牙電信、英國國民衛生服務體系（NHS，National Health Service）、聯邦快遞和德國鐵路股份公司等大型國有和商業機構的計算機后迅速蔓延至全球。在國內，山東大學等高校和部分政府機構的計算機成了WannaCry的第一批受害者。

受波及的電腦數量仍在增加。根據360安全中心的報告，截止到2017年5月15日零時，全球近百個國家的超過10萬家組織和機構被該病毒攻陷。國內，僅12日到13日兩天時間里就有29000個公網IP地址遭到感染，而更多的非聯網IP是暫時無法監測的。

這只是周末時的統計，要知道工作日一到，大量機構內位于同一網絡下的計算機一旦開始工作，只要其中一臺受到感染就會波及整個局域網中的所有電腦——這意味著，潛在受害者數不勝數。

特別諷刺的是，國內各家安全公司平日里最喜歡炫耀的就是它們的裝機量和滲透率：根據媒體公開報道，360安全衛士的PC月活高達5.23億、滲透率高達98%；騰訊電腦管家的裝機量達3.5億，百度安全衛士裝機量3億，（金山）毒霸裝機量過億、日活5000萬……在中國，幾乎每臺Windows電腦上都會安裝有起碼一款“安全衛士”或“電腦管家”之類的殺毒軟件。

但各大網絡安全公司只能在事后應對，卻沒能像往常一樣在事前就抵御住病毒進攻。

而且，如果你看過PingWest品玩此前對這個病毒的報道就會知道，WannaCry背后是“永恒之藍”，利用的是Windows的一個系統級漏洞——可這個漏洞早在今年3月時就被微軟通過系統更新的方式封鎖了。

但我們還是在一夜之間就回到了那個不敢隨便登錄不明網站、插入電腦一個U盤就要擔驚受怕的時代。

互聯網并沒有越來越安全，只是危險變了花樣

故事回到2016年夏天，美國大選尚未開始，黑客戰卻讓這一次大選成為了有史以來最科幻的一回。

無政府主義黑客組織Shadow Brokers在當年8月入侵了美國NSA下屬的情報組織Equation Group，并從中竊取了包括永恒之藍在內的數十種廣泛存在于Windows、Android和iOS的漏洞。如果你是一位科技愛好者，可能還記得當時蘋果、NSA、Shadow Brokers和FBI企圖解鎖iPhone之間的恩恩怨怨。

但這個Shadow Brokers絕非正義之師。在竊取了這些漏洞之后，他們試圖將這些漏洞以約5億美元的價格出售，因為價格之高，導致了交易最終沒有完成。

時間轉到了2017年4月，Shadow Brokers自認拍賣無望，便將包括永恒之藍在內的從NSA盜取的漏洞打包上傳了GitHub，并于幾天后公布了壓縮包的解壓碼密碼。

至此，勒索病毒傳播的基礎——“永恒之藍”漏洞就曝光給了所有人。這個漏洞利用了Windows早期版本在文件共享上的一個漏洞實現內網傳播，也就是說，只要你的電腦存在這個漏洞，即便是不做任何操作也有可能被公司、校園、家庭里的其它聯網電腦傳染。

　　在維基百科的詞條中，記載了更為詳盡、全面的關于WannaCry的爆發記錄

在WannaCry爆發之后，很多人提到了熊貓燒香。在國人的經驗里，似乎自熊貓燒香之后，再沒有一款病毒像剛剛爆發的WannaCry那樣引起社會的廣泛關注了。的確，過去數年來，蠕蟲病毒數量一直在下降。

很不幸，互聯網“變得更安全了”只是一種錯覺。

根據《CNCERT互聯網安全威脅報告》2016年12月（總第72期）顯示，當月中國境內總計感染終端281萬個，其中蠕蟲病毒66萬，木馬病毒有215萬之多。蠕蟲病毒逐漸減少的最重要原因是：制作蠕蟲病毒的作者無法從蠕蟲感染中獲得利潤。

在“熊貓燒香”事件之后，中國的黑客們意識到制造和傳播病毒所存在的巨大風險，因此紛紛轉向灰色產業和黑色產業尋求更高的收益，而病毒也不再以”破壞用戶電腦“為主要發作形式。中了蠕蟲病毒之后電腦會變慢、文件會打不開、程序會崩潰，可木馬病毒十分追求”用戶體驗“——它靜默地運行在后臺，可以做到讓用戶毫無察覺。

木馬病毒可以控制感染者的電腦，使整個電腦都為黑客所用。在木馬病毒的整個黑色鏈條中，一臺肉雞（被感染的電腦）宛如在一個現代化的雞肉加工流水線上：會有專門的人判斷機器的性能如何，是否可以用于攻擊他人的電腦、是否可以用于搜集某些數據、是否可以直接盜取機主的銀行或理財信息等等。

木馬病毒背后的產業鏈要做到的是“物盡其用”，在剩余價值被完全榨干之前，病毒一般不會選擇“盜取帳戶”這種會直接引起用戶警覺的行為。這正是讓許多用戶誤以為“自己很久沒中過毒”的原因。甚至于，在WannaCry之前可能已有其它的木馬病毒利用“永恒之藍”入侵了用戶的電腦，但卻沒有引起廣泛注意，因為他們不會影響電腦的正常使用。

照上文所說，木馬當道、蠕蟲式微，WannaCry簡直是給了這種古老病毒第二春。它的攻擊方式也非常明目張膽唯恐天下不知：直接將用戶的重要文檔進行加密鎖死。

在2013年以前，涉及勒索、轉賬、匯款的病毒并不是一個好主意。因為黑客在銀行的每一筆支取都是有據可循的。這會直接讓黑色產業鏈曝光于陽光之下。

直到比特幣出現。

雙刃劍比特幣：它真的會變成黑客的幫兇嗎？

“比特幣勒索病毒”這個媒體創造的名稱，其實很有誤導性。

這個名字好像在說“是比特幣勒索了你”，但這個病毒的實質是——病毒的生產者勒索了你，它索要的贖金是比特幣——一種可以完全隱藏收款賬戶身份的虛擬貨幣。

在比特幣媒體巴比特的一篇文章中這么寫道：

這種黑客勒索軟件從1980年開始就已經存在。根據Cyence的資料顯示，黑客往往鎖定醫院、企業等一些資訊化程度不高的場所，平均每單的贖金支付在500~1000美元。而由于比特幣的存在，讓全球勒索相比盜刷信用卡之類的犯罪，變得更加低成本和低風險。

比特幣社區并不想替黑客背這個黑鍋，但也承認之所以這次的勒索病毒之所以會找上比特幣，原因與比特幣的特點有很大關系。

根據Wiki詞條“知名病毒和蠕蟲歷史列表”記錄，勒索病毒CryptoLocker早在2013年9月就已經誕生了，除了利用的傳播方式不同之外，在加密用戶文件和比特幣支付等方面與2017年5月12日爆發的WannaCry幾乎一模一樣。

隨后，在2016年2月和2016年10月又有不同的勒索病毒小規模爆發，均是在傳播方式上略有不同，運作模式沒有任何變化。

“比特幣圈子對這次事件的反映特別淡定。“張力，某比特幣平臺企業市場負責人在聽說我要采訪關于512比特幣勒索病毒時這么說，“這種病毒的出現也不是一天兩天了，圈子里其實一直沒想到它能夠會有集中爆發的一天。”

在許多媒體的報道中將比特幣比喻成Q幣，但這種比喻是不恰當的。如果你的Q幣如果被盜了，可以找騰訊申訴找回。比特幣雖然是由礦池“生產”，但比特幣卻并不由礦池發行，礦池和比特幣交易所都無法對比特幣實現像騰訊對Q幣那樣的“強管理”。

而比特幣并不由任何特定的機構發行和管理，它像是一個完全透明的銀行機構。你擁有多少比特幣，所有人都能看到，并被所有人認可——因此我們可以從區塊鏈賬簿，這記載著有史以來所有比特幣交易的數據庫中看到有多少人向黑客繳納了“贖金”——但卻無法知道黑客是誰。

　　其中一個“黑客帳號”的實時交易記錄

比特幣愛好者@宋林峰_，在微博上公布了他收集到的4個勒索帳戶，截止到2017年5月15日中午12點，這4個賬號共計收到比特幣25.00個，交易次數159次。與感染數量相比，病毒爆發48小時后繳納贖金的數量并不算多。

盡管比特幣并沒有大量的流入黑客的帳戶，但比特幣的價格還是受到黑客的影響稍稍走高，在原本已經達到9000元人民幣高點的情況下一舉突破了萬元大關。

按照目前比特幣價格10,690元/個計算，黑客的累計收入為26萬元人民幣。黑客尚沒有將比特幣從這些帳號取出，但比特幣這一數字貨幣的“安全性”確保了沒有人能追回這些贖金。

“我們覺得這是比特幣在大眾認知里又一次比較成功的PR吧，雖然每次這樣的PR都是負面新聞。但是其實，每次負面爆發之后都會有一些對比特幣感興趣的人意識到比特幣、區塊鏈其實是一個非常有價值的新技術……我并不覺得這是比特幣背黑鍋，目前國內的幾大商業銀行和IBM等大公司都在研究比特幣和區塊鏈的應用，監管的條例也在逐步的摸索。這些都是發展之中的一些階段……”該市場負責人說，“你一旦自愿的把比特幣轉給了黑客，就算是公安介入，也不太可能發一個通知凍結賬戶然后把比特幣追回來。”

正規商業機構也正是看中了區塊鏈這樣的“優勢”，它排除了金融交易系統里人和政策這兩種最大的不確定性，不同政體、不同信用程度的人和公司可以在同一套交易體系中交易。但也正是這樣的特性，為黑客帶來了可趁之機——匿名、即時、無法修改，一旦交易完成你就沒有機會追回。

但是，比特幣圈內對“直接勒索用戶”這種黑客的新興變現渠道并不看好，原因主要有兩個點：

一，對普通人來說，繳納贖金的過程太為復雜；

二，目前很多國家（中國、美國和歐盟一些國家），對比特幣與實體貨幣之間的兌換設置了實名制關卡，在把比特幣提現的過程中會存在一些風險，對黑客來說并不真的“安全“。

其中第一個問題是比特幣圈內認為這次黑客勒索的資金規模并不算大的原因——

黑客這次按照不同的地區定制了不同的價格，希望的是廣撒網“薄利多銷”。但對于普通用戶而言，沒有那么多重要數據到能驅動他們從頭到尾學習如何交易比特幣。而會用比特幣的用戶往往都是“極客”，對電腦的防護比較到位。

“我們要給普通用戶推廣比特幣都挺難的，更別說讓黑客來推廣了。”一位比特幣交易平臺的工作人員說。

安全軟件，可能讓你的電腦更危險

在病毒爆發的第一時間，有人將這次病毒的爆發指向了落后的操作系統——在最初的報道中，不乏學校機房、企事業單位的公用電腦受感染的照片，在這些照片里，Windows XP標志性的藍天白云成了勒索窗口的背景。

病毒爆發后不久，微軟破例針對已經終止后續維護的Windows XP發布了修復漏洞的補丁，但對XP以后的系統卻并沒有推出專門的補救措施，原因很簡單：所有在微軟生命周期內的Windows系統都已于今年3月的月度安全更新中修正了這次病毒賴以傳播的漏洞。

這也解釋了國內第一批受感染的電腦為什么出現在學校和政府機構：出于統一部署服務和軟件的需要，這些電腦大多運行著落后的操作系統（XP），安全維護無法做到及時全面。因此，它們的漏洞修補只能是“亡羊補牢”。

但是，Windows7、8、10的中毒用戶也不在少數……這是為什么呢？原因十分中國特色：這些用戶主動、或者在安全軟件的“幫助”下關閉了微軟的自動更新。

在教育網外，許多用戶“沒有及時升級系統”的原因恰是因為“善解人意”的殺毒軟件在看準用戶不想更新系統這個需求，提供了“關閉Win10系統更新”和“關閉Windows Defender”等功能——許多殺毒軟件摧毀了系統廠商建立的長城，然后用泥巴糊了一做土墻，讓用戶的系統“看起來”安全。

在騰訊電腦管家論壇關于此次WannaCry的官方知識貼中，主動解釋了“為何微軟3月發布的補丁會被屏蔽”

微軟作為操作系統廠商，比任何第三方殺毒軟件都能更早的發現運行于Windows平臺上的病毒以及系統自身的漏洞，并與系統內置的權限組功能配合對安全問題進行修正。從Windows10開始，微軟強制打開所有用戶的自動更新功能，這也導致了在微博和朋友圈里我們總能看到曬“升級”——Windows不合時宜的系統更新為用戶帶來了不少的困擾，但這確實也帶來了全方位的保護。

另外，微軟早在Windows 7開始便在系統內置了名為Windows Defender的殺毒軟件。初期的Windows Defender效果并不是很好，但經過幾年的發展，它已經成為Windows平臺上最有效的殺毒軟件之一。

其實，普通的正版Windows用戶只要同時開啟自動更新、內置防火墻和Windows Defender，其實已經沒有安裝第三方殺毒軟件的必要。

可無論是自動更新還是這款免費的殺毒軟件，都不受中國用戶的歡迎——在百度上，你能夠搜到許多關于“如何關閉Windows Defender”的提問。在普通用戶的認知里，360、騰訊助手和百度衛士是可以加速并保護電腦的——因為他們會在右下角彈出提示框展示自己的加速功績。而默默在后臺工作的Windows Defender則成為了“電腦卡”的罪魁禍首。

那么國內這些安全軟件對這次WannaCry的抵御效果到底如何呢？卡飯論壇網友tg123321在模擬離線環境（不更新病毒庫）下，對國內包括瑞星、百度衛士、金山毒霸、騰訊電腦管家、360安全衛士和瑞星殺毒在內的5款軟件進行了查殺測試，結果無一攔截成功全線陣亡——而本次受到WannaCry感染電腦中剛好有大量長期不聯網的內網電腦。

　　那么沒有主動屏蔽微軟系統更新的安全軟件呢？

360在5月15日發布的輿情報告中稱：360并未主動屏蔽Windows補丁，360的5億用戶中僅20萬用戶沒有成功安裝補丁且攻擊被安全衛士攔截。但事實上，在5月12日之前，微軟并未發布針對Windows XP和7的補丁——在另一份360官方發布的時間表中，360針對舊系統（XP、2003、Win8）的推送時間與微軟官方時間一致，是在5月13日下午。

根據統計機構StatCounter的調研，中國大陸Windows XP和Windows 7的PC終端時至今日依然占據50%以上的市場，360的補丁滲透率與這一數據并不相符。更可信的說法應該是，360在4月17日NSA漏洞包被上傳的時候就做了預警，才勉強提前保護住了用戶。

　　許多人嘲笑的Win10更新和Win10更新文案，此刻顯得由為特別。

你有沒有發現，讓我們暴露在WannaCry病毒之下的，其實是我們自己？最后，我們希望借本次事件和這篇文章再次提醒大家，即使是裸奔的盜版Win10，都比正版XP+全幅殺軟更安全……

改掉與全國用戶PK的習慣，去勤快地更新系統吧。