一場互聯網領域的“生化危機”正在全球上演。令人不安的情況仍在繼續：WannaCry病毒還在擴張自己的領地。這大概是世界上成名最快的一款互聯網程序，從5月12日開始，在短短24小時內，由于罕見的傳播速度以及嚴重的破壞性，勒索病毒WannaCry已經成為全球關注的焦點。

勒索病毒侵襲全球 互聯網世界上演“生化危機”

　　2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發，感染了大量的計算機，該蠕蟲感染計算機后會向計算機中植入敲詐者病毒，導致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元(約合人民幣2069元)的比特幣才可解鎖。目前已經波及99個國家。在WannaCry攻城拔寨的傳播過程中，5月13日晚間，由一名英國研究員于無意間發現的WannaCry隱藏開關（KillSwitch）域名，意外的遏制了病毒的進一步大規模擴散。

　　獲知此消息的云縱首席科學家及研發副總裁鄭昀忍不住在微博感嘆，“這個事件從頭到尾都像是一部電影，開始的離奇，結束的詭異。”但事情遠未結束，現實證明KillSwitch的發現只是一個插曲。

　　5月14日，在停止開關被發現18小時后，國家網絡與信息安全信息通報中心發布新變種預警：WannaCry2.0即將來臨；與之前版本的不同是，這個變種取消了KillSwitch，不能通過注冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。截至14日10時30分，國家互聯網應急中心已監測到約242.3萬個IP地址遭受“永恒之藍”漏洞攻擊；被該勒索軟件感染的IP地址數量近3.5萬個，其中中國境內IP約1.8萬個。同時，由于WannaCry大規模爆發于北京時間上周五晚8點，國內還有大量政企機構網絡節點尚在關機狀態。因此，今日周一開機已經是一場安全考驗。

　　新的危險正在步步逼近，而人們目前對WannaCry病毒本身所知依然有限。

　　神秘謎團

　　WannaCry的傳播路徑是個謎團，互聯網安全廠商們仍無法確切還原。病毒最先在英國大規模爆發，影響范圍波及醫療體系，一些手術被迫中止。國內，在病毒感染數據達到被監測機構注意到的閾值之前，首先讓外界注意到這一病毒的，是國內社交網絡上不少大學生反映學校網絡故障的言論。

　　5月12日，多個高校發布了關于連接校園網的電腦大面積中勒索病毒的消息，一位來自桂林電子科技大學的同學對記者證實，該校某創新實驗基地幾百臺電腦由于受到勒索病毒的攻擊，已經陷入癱瘓。感染范圍很快從校園網蔓延出去，根據統計，國內包括校園網用戶、機場、銀行、加油站、醫院、警察、出入境等事業單位都受到了攻擊并且中毒。騰訊安全團隊在溯源中發現，病毒爆發是在校園網用戶里，但從哪開始不詳。獵豹移動安全專家李鐵軍則表示，病毒的來源和傳播路徑目前沒有結論，什么時間潛伏進內網的，都需要更多研究來分析。

　　好消息一度在病毒大肆傳播24小時后傳出，12日晚間8點多，有消息稱WannaCry被互聯網安全人員找到阻止其傳播的方法，這一消息隨后得到國內多家安全廠商的證實。

　　被意外發現的KillSwitch同樣是個謎團。沒人能回答病毒作者因何為WannaCry設置了停止開關，安全專家們只能給出如下推測：可能是編碼錯誤，也可能是作者沒想到；可能源于作者擔心病毒無克制傳播。總之，沒有定論。KillSwitch是WannaCry眾多謎團中的一個，同樣讓人感到困惑的，還有WannaCry的勒索行為本身。病毒被傳播后，繳納贖金的人數在持續增長，根據騰訊安全團隊提供的數據，截至5月13日晚間，全球共有90人交了贖金，總計13.895比特幣，價值超過14萬，到了5月14日下午四點半，繳納贖金的人數增長至116人。

　　盡管目前安全專家們仍未找到解密病毒感染文件的方法，但互聯網安全專家們堅持建議受感染用戶不要繳納贖金。原因在于，“WannaCry的勒索行為似乎無法構成一個完整的業務回路，”反病毒引擎和解決方案廠商安天實驗室創始人、首席技術架構師肖新光介紹，在繳納贖金解密文件這個問題上，“我們的判斷和網上的傳聞（繳納贖金成功解密）有出入，即支付了贖金也無法解密。因為每個用戶都是個性化的密鑰，意味著受害人需要向攻擊者提供標識身份的信息。”而實際上受害者在繳納贖金的過程中無法提供標識身份的信息，因此，這意味著即使受害者交了贖金，依然無法獲得解密。

　　對于這種情況，肖新光分析原因可能在于“我們的分析過程中不夠縝密”。但騰訊安全團隊得出了同樣的結論：經驗證，交錢的過程，作者并沒有核實受害者的邏輯，只是收了錢，并沒有幫忙解密。這顯然并非巧合。肖新光給出另外兩種可能的推測：“或者可能是作者根本就沒有想解密；還有一種可能是，這是事件本身不是以勒索為目的，而是以勒索者的表現達到其他目的。”

　　一個謎團接著另一個謎團，解開它們是戰勝WannaCry的關鍵。