病毒发作界面(图片来自于网络)
周末爆发的“红色”病毒
不知道您对几周前刷爆屏的红色锁屏病毒还有没有印象。这次病毒造成国内很多机关院校和公共事务部门的电脑出现瘫痪。除了国内,国际上很多国家也受到不同程度的影响,例如英国很多医院的电脑都被侵入,医生们不得不改为手写模式。
这个病毒名叫WannaCry(想哭),是不法分子利用美国国安部门NSA泄漏的黑客工具(名叫“EternalBlue”)制造出来的。
WannaCry病毒主要利用了微软早期Windows系统网络文件共享服务SMB的漏洞,通过基于互联网的服务节点(kill-switch),快速地传播到世界各地。虽然后来衍生出很多病毒变种,但它们的原理都差不多。
如果您不幸中毒了,那计算机内的常规文档,例如日常工作中使用的图片、word、PPT,IT人员熟悉的html、script等文件会被加密。由于我们没有解密钥匙(道理类似于开锁),我们无法打开这些被加密了的文件的。据说国内很多研究生因为资料被加密而不得不考虑延期毕业。
那么黑客自然不会无聊到随便加密我们的文件。他真正的目的是勒索钱财。如果你想解密文件,那么请给我付款,否则你是无法再打开它们的。
既然是黑客嘛,肯定不会选银行转帐这么低端的抢钱套路。出乎大家预料的,这次黑客选择比特币(bitcoin)来交易,还非常“贴心”地告诉您比特币是什么、如何交易等。
什么是比特币
我想要不是因为这场病毒事件,国内很多人根本不知道比特币是什么。
比特币是一种彻头彻尾的电子货币,有点类似于Q币。它没有金属、纸、塑料等实体形态,是完全存在于计算机网络中的数据。有些国家出品过比特币硬币,但只在区域内流传,没有被广泛接受。
传统货币大多印在纸上,发行和回收受中央银行管理。比特币是计算机生成的,存活和交易都靠互联网,因此原则上它的发行不受任何央行、机构、和个人影响。
比特币不是印出来的,是通过计算机算出来的。这里的计算机或者背后的人叫做“矿工”,计算过程叫做“挖矿”。矿工首先运行挖矿程序,然后向网络证明自己挖矿的结果。作为回报,网络会生成一些比特币来奖励矿工。于是乎新的比特币就这么诞生了。
但回报并不是无限的。比特币的设计规则是通过增加程序难度和减少回报数量来逐步降低新币的投放。最近的新闻足以证明生成一个新的比特币已经有多难:
中国的算力已经占到了全世界的75%以上,也就是说全世界有75%的比特币都是中国人生产的。2014年,每天50万元电费产出100个比特币,仅电费成本每枚就要5000元,到了现在,同样的成本已经翻了一倍以上,每枚比特币电费成本高达万元。
区块链
比特币的交易方式和区块链技术
前面介绍了比特币,但没有解释黑客为什么独选这种方式来获取赎金。接下来我就简要地说一说。
比特币是谁发明的?到现在并没有一个确定的说法,流传最多的是一名叫做中本聪的科学家,又名中本哲史,英文名Satoshi Nakamoto。据说中本聪有一定的反社会倾向。他认为人类应该是自由的,不受政府管辖。由于政府的腐败和无节制地印钱,他决定用技术创造一个独立的、不能被随意控制的货币。于是比特币就这么诞生了。
那么比特币是如何体现它独立、不受控制的特性哪?
首先比特币不受任何央行管理,它的发行完全依靠“挖矿”。央行可以7×24小时地开动印钞机,但比特币不能随意发行,它的总上限是21000000枚 。央行可以私下左右货币走向,而比特币由网络分发,不能一家独占。央行可以调节利息、利率、汇率等货币政策,而比特币没有利息一说,只能用于交换。
其次比特币是网络虚拟货币,没有实体介质,可以随意流通。现实世界中的货币大多是纸质,不方便大量携带,还有假币问题。此外不同国家的货币流通还受到汇率、政策管制等。电子化的比特币只需要网络传播,没有携带、假币、汇率、管制等问题,可以随时自由交换。
比特币天生具有匿名属性。矿工可以匿名造币,然后使用匿名的电子钱包来完成货币交易和保存。任何交易都可以是匿名的,货币的保存和提取也可以是匿名的。如果交易双方隐藏了身份,任何国家和组织都无法破解交易者的身份和地址等信息。大家能看到的只是双方使用的电子钱包和交易的数量等公开信息。
日常的货币行为,例如存款、消费、转账等都会受到中央银行的监控和保护。比特币由于去中心化,推出了新的管理手段:区块链技术。简单来说以前中央银行手里有一本帐本,里面记录了所有人的金融信息。现在使用区块链技术,网络上的所有计算机都保存相同的账本,并随时记录所有新发生的交易,不管是自己的还是别人的。
由于每一笔交易都会记录在所有的账本里,如果有人想反悔或者对交易进行作假,他就需要修改大多数机器里的账本记录(有点大家说了算的意思)。初期参与比特币交易的电脑很少,某些强大的机构或者个人修改大部分账本来篡改、混淆交易还是有可能的。但随着计算机和账本数量的增加,目前已经没有任何国家或者组织有能力去修改交易记录了。因此区块链技术是黑客选择比特币的重要原因之一。
最后比特币是数字虚拟货币,它的存储、交易等都是完全加密的。随着计算机软硬件的进步,破解这些加密算法并不是不可能,只是我们日常生活中的信用卡交易、公安信息、秘密函件、政府通讯等都使用了这些加密算法。破解了比特币也就意味着其他数据都可能会暴露在空气中。因此黑客从不担心数据泄漏。哪怕真被暴力破解了,随便加一点手段就可以躲过去。
各种比特币钱包
比特币的交易和保存
讨论了比特币和传输特点,我们该谈谈它的交易和保存特性了。
真实货币的材质和面值决定了交易方式和交易数量。比特币是纯数字的,只要有网络就可以交易。通常我们习惯称比特币为“枚”,例如一枚,两枚等。但枚并不是比特币的面值,也不是交易单位。
比特币的最小交易单位叫做Satoshi,它大约是0.00000001个比特币。也就是说你可以每次只交易0.00000001个比特币,或者0.00123个比特币,这些数值都符合交易规则。
网络资源并不是无限的,而且每次交易都要被写入账本,具有一定的成本。因此为了防止一些人恶意发送大量小额交易,浪费网络资源,大家建议每笔交易支付0.0001个比特币作为手续费。当然由于去中心化,这个手续费并不是强制的,你也可以不支付交易费用。但这样的交易要等比较长的时间才能完成,例如2到3天,等大部分账本接受这笔交易后才能完成。
就像现实中我们手里的钱包一样,比特币也有电子钱包。电子钱包保存着我们的比特币,是一种加密程序,可以通过电脑、手机APP、网站等方式访问。
每一个电子钱包都有一个数字地址,就像我们的email地址一样。当交易者知道对方电子钱包的地址之后,他就可以像写email一样,打开自己的电子钱包,输入交易的比特币数量,然后输入对方的钱包地址,然后点击交易。当这笔交易被大多数区块账本记录之后,对方就收到你的比特币了。
通过电子钱包看看黑客共勒索了多少钱财
虽然我们不知道比特币交易双方的信息,但是电子钱包和交易数量是全网公开的。这就给我们查看赎金提供了便利:通过黑客公布的电子钱包地址,看看他到目前收到了多少比特币。
不知道您是否注意到红色病毒屏幕里右下角那一长串的数字。没错!那就是黑客的钱包地址。从目前公开的信息来看,黑客一共掌握着3个电子钱包:
1. 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
2. 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
3. 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
国内中毒的用户见到最多的是第二个钱包地址。
由于钱包和交易信息是公开的,我们可以到比特币权威网站:blockchain.info来查看3个钱包目前的交易数量和收到的比特币数量。为了方便大家查看,我收集了从5月1号到22号的数据,并制成了图表。
3个账户的交易次数
从交易数据分析结果来看,所有交易都是从5月13号开始的,并且在14到16号之间达到交易峰值。第一个钱包在这期间共获得了95次交易。第二个钱包获得102次。第三个钱包获得117次。可能是受到媒体宣传和反病毒软件的控制,基本上没有人在22号之后还向这三个地址“付款”了。
3个账户的交易数量
从每次交易的比特币数量来看,交易峰值同样发生在14到16号之间。所有钱包在22号之后基本没再收到比特币了。从13号有交易开始,第一个钱包大致收获了13.602267个比特币。第二个钱包大致收获了16.868387个比特币。第三个钱包收获了18.56499个比特币。汇总之后,黑客共收获了49.0356个比特币。
根据5月25日比特币对人民币的报价,即1比特币兑换17850人民币,截至到5月22号黑客收到的比特币赎金已接近90万人民币。还是很可观的。
WannaCry病毒的解决办法
赎金不是我们的,电脑才是我们的。如果您不幸中毒了,还是看看如何应对吧。
由于病毒依靠的是Windows系统的SMB漏洞,如果您还在使用Windows XP、Vista、Windows 8、Server 2003和2008等系统,请立刻去微软官方下载最新的补丁。
除了打补丁之外,建议您立刻对重要数据进行备份。例如把文件拷入移动硬盘,然后把硬盘和其他系统和网络隔离。或者把数据上传到网络硬盘,例如百度云或者微软OneDrive等。
另外如果您正在使用XP、2003、Vista、2008、7等Windows系统,并且刚刚中毒,请不要慌张,并不要关机或者做太多的操作(如果在中毒之后您关闭过计算机或者进行了太多的操作,解毒工具可能会失效)。您应该立刻到Github搜索最新的解锁工具Wanakiwi,用“干净”的电脑下载它,然后拷贝到中毒的电脑内解压运行。
Wanakiwi解毒工具会自动在系统中找到WannaCry病毒的运行文件wnry.exe或者wcry.exe。通过几分钟的运算,解毒工具会在内存中收集线索,然后计算出解锁密匙。密匙生成后解毒工具会搜索电脑内的中毒文件,然后对它们进行解锁。
文件恢复之后建议您立刻备份,然后重新安装系统。如果解毒工具不管用,那太抱歉了。您只能等待新的解毒工具出现,或者在其他地方找找历史数据,例如已发送的email里。
