来源：界面新闻 王付娇

　　刚刚过去的一个周末是对互联网安全从业者的一场大考。

　　安全从业者像是在和病毒的始作俑者玩一场“猫和老鼠”的游戏。勒索病毒攻城掠地，袭击一个又一个国家地区、感染医院、学校、警察局，甚至连边检站也遭到毒手；安全人员像救火一样研究病毒样本、提醒用户尽快修补漏洞，试图止住蔓延的趋势，降低用户损失。

　　情况刚刚好一点的时候，网上又有关于勒索病毒2.0版本的消息出现，用户“心又提到了嗓子眼”，在这场与勒索病毒的攻防战中，不少安全人员都彻夜未眠。病毒已经可以达到“载入史册”的量级了，他们的故事同样值得被记录。

　　D1：病毒来了

　　从5月12日周五晚发现勒索病毒开始，360安全监测与响应中心负责人赵晋龙就几乎没有合过眼。

　　周五晚上，赵晋龙就陆续在论坛上看到有学校学生感染了某种蠕虫病毒，通过Windows系统的445端口，感染用户数据，勒索比特币。赵晋龙放下困意，起来开始搜集信息，职业本能告诉他，这场病毒来头不小。

　　凌晨1点半，同事打电话来，说客户那边出事儿了。对方是超大型企业客户，同事的电话坚定了赵晋龙的判断，这是个很大的事情，得马上搞定。

　　当时市面上还没有任何报道，能做出判断的原因有两点：第一，在安全界，蠕虫和勒索病毒是两个最大的混蛋。蠕虫会自我复制、传播性强，现在有些老蠕虫即使没有危害了，但依然在活动，一旦发现就像牛皮藓一样难以根除；勒索病毒是这几年的新兴事物，在业界被称为“数字绑票”，破坏用户数据，给挂一个闹钟倒计时，简单粗暴。

　　现在，这两个最大的混蛋聚在一起，简直是暴乱。

　　判断过后，客户的问题是当务之急。由于赵晋龙的团队偏后端，在凌晨1点半时，就有同事赶往“现场”了，他们必须第一时间出现在客户办公室。

　　去现场的路上，作为负责人的赵晋龙顺带叫醒了几个主力同事。安全团队的同事有个习惯，睡觉不关机、也不静音，24小时随时stand by。

　　周六凌晨3点左右，在客户那里，赵晋龙的团队拿到了病毒样本。在另一头，360企业安全集团总裁吴云坤成立了一个临时的指挥中心，一部分人赶到办公室、另一部分先在线上办公、远程协助。

　　争分夺秒。凌晨4点多时，360已经给出了用户材料和简单的措施建议。比如，这么大样本量怎么能抑制住它的传播？怎么能保证主机不被它控制？已经中毒的怎么清理？怎么恢复核心业务？

　　结合用户提出的具体问题，在凌晨5点左右，整个团队拿出了一个可落地的执行方案。同时，一个临时的免疫工具出台。8点左右，官网信息发布。

　　据360企业安全集团总裁吴云坤介绍：“截至15日上午9点，360推送给政企客户的预警通告更新了8个版本，提供了7个修复指南，6个修复工具。出动近千人，提供上万次的上门支持服务，超两万多次电话支持服务，我们还制作了5000多个U盘和光盘发放到客户上手上，手把手教会客户修复电脑，配置网络。”

　　一些大型企业也在第一时间重视了该病毒，避免了周一上班时的大规模感染。之前大家担心，周一上班，将会迎来电脑开机高峰，如果没有做好预警和安全措施，后果不可想象。

　　好在各地的配合也都高效积极。某银行在上周六上午六点半就建立了响应群，将免疫工具下发，八点半部署全国防护策略，从网络、服务器、终端360度无死角，到5月15日早晨十点半，全行无一例感染；南宁市网信办联合发改委信息中心、南宁公安局网安支队在13日下午召开紧急会议，由网安支队提供360的第七套解决方案，并由网安支队刻了600张光盘，由发改委、网信办、网安支队一起发放全市各政府企事业单位，整个南宁的病毒感染率极低。

　　对付电脑病毒，头24小时是战争的最关键时间。

　　“同行竞争也是存在的。大家都在比谁跑得快，谁会脱颖而出。所以你会看到，很多公司都在输出各种版本的报告和病毒防治方法。”互联网安全创业公司白帽汇员工吴明告诉界面新闻记者。

　　吴明认为，做安全企业，一定要对自己和用户负责。报告一定是要自己验证过的才能发布出去。所以在发现勒索病毒后，吴明和他的团队第一时间做的工作是搭建测试环境、搭建攻击环境、反反复复做样本测试。

　　“团队最开始也是在网上先交流信息，也通过一些圈内朋友了解样本资源，双方互相交换。周六开始样本测试。我们在后来运行样本时发现，很多细节并不像网上说的那样。”吴明说。

　　每个样本文件都有特定的“哈希”（hash），安全术语特定字符串的意思，有点类似一个唯一识别码。根据不同文件的哈希，吴明的测试在不同平台上展开。

　　毫无疑问的一点是，这样反复验证反复测试，会影响报告发布的时间。“准确度是会影响时间，我们是为了验证与其他人不同的地方，找出差异性。”

　　在最后的报告里，吴明他们对勒索病毒的重要时间线进行了梳理——从不同时间跨度到各种里程碑事件，那些圈内圈外知道不知道的事情，都被一一盘点了出来。也解答了用户对微软的抱怨——微软早在今年3月份就推过一轮补丁了。

　　D2：2.0版本是个伪命题

　　周六结束，在大家觉得可喘口气的时候，病毒的2.0版本来了。

　　白帽汇吴明最早看到2.0版本的病毒是周六晚上。1.0版本的病毒有个最明显的特征，它有个“隐蔽的开关”，在样本运行分析完后，吴明发现，通过域名解析后，就可以避免感染发生。但是周日凌晨发现的病毒，域名解析已经没有效果了。

　　来势汹汹的2.0版本基本没有域名，可以直接感染，唯一制止的办法就是装补丁。

　　腾讯电脑管家反病毒安全专家徐超认为，人们对2.0版本的病毒有误解，外界有夸大的成本。最开始说的关于“隐秘的开关”这个问题也并不准确。

　　腾讯的团队也确实发现了被人改过的样本，但根本没有所谓2.0的出现。这个更像一个国外安全人员的口误，他在推特上发布了所谓2.0的病毒，后来有人站出来辟谣。

　　根据徐超团队监控到的内容，原先版本的开关确实是失效了，但并没有外界说得那么邪乎，只不过是开关被人改动了。

　　杭州电子科技大学学生James给界面新闻记者提供了一个很有意思的观点，根据他的观察，病毒最开始提供的那个域名开关，会尝试连接一个不存在的网站，是病毒开发者为了怕病毒完全失控特意留下的bug，如果连上了就不是加密文件。

　　后来网站被注册，再后来，病毒2.0版本没有了这项机制，在任何情况下都会执行加密。

　　最奇怪的是，这个变种病毒是直接修改病毒可执行文件改出来的，并不是把代码改了重新编译的。所以James猜想的是，这个2.0版本的人可能不是原作者。极有可能是有人利用了1.0版本声势，想趁火打劫。

　　James是在学大学生，他没有参与任何商业团队，这种猜测只是凭个人研究兴趣。最开始的时候，是隔壁学校做毕业设计的大四同学找到他，文件没了，James第一反应是很正常，不就是勒索病毒嘛。在网络工程人员的眼中，见多了。

　　不久前，James刚刚破解了一个勒索病毒。上一次比较好破解是因为解密秘钥存在本地，直接写个程序就解密了。这次它把解密用的密钥通过Tor上传了，本地没有保留，丧失了通用的解决办法。但James没想到这次会形成如此大范围的传播。

　　勒索软件追凶者：我不是第一次见比特币勒索了

　　勒索软件追凶者唐平的第一次实战勒索病毒是在2014年夏天。你现在上网搜索，依旧可以看到一种名为CTB-Locker的勒索病毒曾经凶猛袭击过网络的战乱现场：“可怕”、“病毒式袭击”是当年常见的关键词。可当年曾经“凶猛”的CTB-Locker如果碰上现如今的WannaCry才是真的小巫见大巫。

　　2014年，唐平帮一个NGO组织里的女性朋友支付了比特币，即使当年病毒来自于邮件，支付比特币仍然是有效的方法。

　　所有的勒索病毒都长一个样子，第一绑架你的文件；第二，留下信息索要比特币。对于病毒制造者而言，绑架用户文件成本太低了。那位NGO的朋友一定要付钱，因为她需要文件，黑客索要一个比特币，大约价值500美元。

　　唐平尝试开始和黑客对话了。在暗网里，黑客像现在的客服一样，开放了一个“人道主义”的对话窗口，进入一个类似sdsdasdwanadnhbfhbagwag.onion这样的暗网网页后，唐平找到了对话框。暗网地址多由一个乱码跟上后缀onion构成。

　　通过Tor浏览器进去后，一般每个中毒者都会有一个ID或者特别的Token，这样实际上就等于中毒者有一个个人网页，与客服的聊天内容简直就像菜市场讨价还价一样简单。

　　“How much？”“May I have a discount？”虽然没有议价能力，但还价还是要的。

　　交易成功后，当年还算守信用的黑客给了一个软件和私钥，可以用来恢复你的文件。

　　唐平早年从事互联网安全行业，之前在广州一家小互联网安全公司工作，2013年春天开始接触比特币，后来就长期持有。渐渐地，他放弃了原有的打工生活，专心做起了“勒索软件追凶者”的工作，有一个同名的个人网站，实时更新勒索软件的最新动态信息。

　　他现在平时的主业是帮助一些愿意出钱的客户解决被病毒侵扰的难题。不管是支付比特币，还是他自己动手解决，反正是对方出钱，他负责消灾。来找他的人，经常有一些IT从业者和杀毒软件代理商。

　　唐平一直按照比特币市场价+20%的服务费来操作，并逐渐发现这是一门可以赚钱的生意。

　　2015年，唐平的存币量有400多个，当时比特币接触的人还不多。按照当时的存币量，唐平的收入显得非常可观。这两年，他反倒觉得自己忙忙碌碌什么都没干、人也很焦虑。

　　2017年5月12日，病毒爆发时，业内人士唐平觉得见怪不怪。当晚，一个学生私信他，想2000块钱解决论文问题。唐平远程操作她的电脑。然后唐平就看见了那幅后来流传各大媒体的勒索切图。