谁是勒索病毒背后主谋？目标并不是300美元这么简单

　　比特币勒索病毒席卷全球，你的电脑中招了吗?想必大家都非常想知道这次网络届的“生化危机”什么时候能够结束，自己的文件怎么样才能恢复呢?这勒索病毒背后主谋又是谁呢?

　　随着“永恒之蓝”以惊人速度传播，各种各样的“搭车传播”层出不穷，尽管我们尚不能锁定其究竟谁是主谋，但只要循着“产业链即利益链”、“利益最大者即嫌疑最大者”的思路耐心跟踪，真相大白的一天就不会太过遥远。

勒索病毒

　　超级蠕虫病毒、勒索软件“永恒之蓝”自5月12日开始发作，迄今已席卷150个以上的国家，造成逾20万部电脑和局域网瘫痪，医院、工厂和公共服务设施成为“重灾区”，正如一位IT资深业者所坦言，“我们还从未见过如此迅速传播的恶意软件”。

　　亡羊补牢从来都是这类恶性事件发作后人们最集中的念头，但如今的情况却是羊被偷了，偷羊的工具也找到了，谁偷的羊、工具从何而来，却仍是一头雾水。

　　勒索软件背后产业链没那么简单

　　为弄清这一切，人们需要尽早梳理清楚此次勒索软件背后的“产业链”。

　　表面上看，这条产业链是简单明了的：肇事者自己用几十种语言写明了勒索标的(200比特币)，给出了支付渠道，承诺“款到解锁”，并威胁“不给钱后果自负”，这是经典的“绑票勒赎”，只不过作案地点从现实搬到虚拟空间，“肉票”从大活人变成了局域网或电脑。

黑客

　　但真这么简单吗?

　　法国电脑杂志《LeMagIT》副主编马奇夫(Valéry Marchive)就一针见血地指出，如果肇事者真的指望“比特币产业链”能让自己大捞一笔，他的金融知识可谓完全不及格：尽管受害者多达20万，但截至5月16日仅有200出头的受害者乖乖付钱，占比勉强达到1%，赎金总额更刚过6万美元。而且随着时间的推移，受害者(不论沃特迪士尼那样的企业集团或小小的终端用户)正迅速达成“不交赎金”的共识，因为一来交了似乎也是白搭，二来事已经闹大，接下来“也就好办了”。有人讥讽称，“如此绑票，连本都捞不回来”。

　　一些业内人士讥讽此次行动“很业余”：攻击时间选择在效果最差的周五中午，而非效果最好的周一早上;设置统一的“取消开关”;比特币看似不易跟踪其实对政府级别的审查者而言并非不能追踪到受益人……更重要的是，迄今并无一例“付了赎金便能解锁”的实例，且事情一下被闹大，网上绑匪即便想提供“售后服务”，恐怕也是太冒险了。

永恒之蓝

　　嫌疑最大者依然扑朔迷离

　　问题在于，这条“明产业链”很可能不过是虚晃一枪。

　　随着“永恒之蓝”以惊人速度传播，各种各样的“搭车传播”如雨后春笋，层出不穷：各路反病毒公司一面不断提出一个又一个“疑似嫌犯”，来头一个比一个大、一个比一个神秘，意在强调“矛利”，一面不断明示暗示自己所卖的“盾坚”;电脑操作系统和网络硬、软件服务商则或指责“疑似责任人”，或影射“无能的同行”，或强调自己产品的安全可靠——即便已被“永恒之蓝”证明不那么安全可靠，也忘不了提醒一声“我们可是早就出了补丁的，你们不打不关我事”;甚至，那些有名或不那么有名的黑客组织也趁机“炫耀武力”，扬言“下次我们会干得更吓人”。

　　“卖矛的”(黑客)、“卖盾的”(反病毒公司)、“卖武士的”(软硬件和操作系统服务商)的做法看似混乱，实则个个有迹可循：夸大“敌情”，强调自己是唯一可靠的御敌、退敌出路。很显然，不论是哪一类商品或“服务”热销，其最终所得都将是惊人的大手笔。与之相比，账面上人人看得见的那几万美元，几可忽略不计。

　　我们必须相信一点，能制作并散布如此规模和级别勒索软件的“黑手”，绝不会愚蠢到买椟还珠或金炮弹打跳蚤的地步，他们所谋求的回报，必定远远超出其可观的付出。

比特币勒索病毒

　　尽管到目前为止，我们尚不能从有限的线索中圈出“真产业链”中真正的受益者(也就是事件的主谋)，尚不能锁定其究竟是上述“三卖”中的哪一“卖”，但只要循着“产业链即利益链”、“利益最大者即嫌疑最大者”的思路耐心跟踪，真相大白的一天就不会太过遥远。

　　你需要知道的8个问题

　　面对这突如其来的病毒攻击，作为普遍网民的我们该怎么处置，保护个人财产安全?某实验室就此整理了八大问题，分析了这个蠕虫的前世今生，并提出了几项有效的应对措施。

　　问题一：已经感染病毒的如何降低影响?

　　如果你的电脑被勒索病毒感染，或者你的朋友中招，向你求助，那我们该怎么处理将影响降到最低呢?

　　首先，这是一款勒索蠕虫，蠕虫病毒的特点是会通过网络进行自动复制和传播，就像电影《釜山行》中，被僵尸噬咬过的人也会变成僵尸去传染给更多的人。

如何降低影响

　　所以第一步需要做的就是断开网络，防止自己的电脑去感染更多的电脑。

　　其次，建议中招用户将硬盘进行格式化处理，彻底消除硬盘上蠕虫病毒，就像一次彻底的细胞切除手术。

　　然后，再重新安装系统，并安装相应的系统补丁。

　　最后，还需要安装杀毒软件，并把杀毒软件的病毒库更新到最新版本。

　　目前，许多人最常犯的错误就是心存侥幸，将受到感染的电脑继续连接到网络里，做各种尝试操作，亦或是认为支付赎金可以解密。其实该勒索蠕虫会对电脑中的文档进行RSA加密。这种加密方式的特点是，只要加密密钥足够长，普通电脑需要数十万年才能够破解，等于说个人几乎是不可能破解的。所以一旦电脑中毒，基本没有挽回余地。