2017年5月15日，又一个周一。

和往常相比，这个周一有了很多不同——各大企业和组织员工上班前做的第一件事，是在打开电脑之前，先拔掉网线，关掉无线连接，然后再启动电脑，在忐忑不安中查杀电脑是否中了“WannaCry”病毒。

这个病毒也被翻译成“想哭”病毒，是一种勒索病毒，它可以使感染的电脑在10秒内锁住，电脑里所有文件全被加密无法打开，只有按弹窗提示以价值300美元的比特币交付赎金才能解密。

从5月12日起，这个仅有3.3MB大小的病毒，以罕见传播速度以及严重破坏性，攻陷了全球150多个国家和地区的网络，造成了迄今为止人类世界最为严重的互联网领域“生化危机”。

在中国，有近3万家机构遭受影响，涉及高校、加油站、火车站、自助终端、邮政、医院、公安等政府企事业办事终端等领域，不少公共服务被迫关闭。在英国，几十家医院被迫暂停急救；在俄罗斯，内政部千台电脑遭攻击，铁路、银行和第二大手机运营商被要求缴纳赎金；在法国，汽车制造商雷诺被迫中止其多个地区生产活动；在西班牙，电信巨头、能源供应商、电力公司网络系统瘫痪；在美国，美国联邦快递公司等纷纷“中毒”，甚至就连迪士尼未上映新片也受到威胁……

这样肆虐全世界的病毒袭击，已很久没有出现在人类世界新闻当中了，它也注定将被写入人类互联网史册浩劫。截至本报发稿（5月18日），在全球施虐的“想哭”，虽然中途出现了多个变种，但扩散速度似乎有放缓迹象。

虽然病毒威胁放缓，但围绕WannaCry的种种谜团，却是越来越多：谁是勒索病毒元凶？是美国安全局NSA，还是没有“中毒”的朝鲜，还是另有他人？动机又是什么？

更让人不安的问题是：勒索病毒，是普通的黑客，还是别有用心的网络攻击？是否打开了网络恐怖主义的“潘多拉盒子”？一个网络攻击的新时代，是否正在悄然来临？

互联网“生化危机”

 “浩劫”来临那刻，一切都是那么措手不及。

 5月12日晚9点左右，大四的魏静正在电脑上做毕业设计，桌面上几个WORD和PDF文档图标突然变成了白色,文件名的后缀变成了.WNCRY。“点开这些文件,就会弹出一个红白色相间的对话框, 能选择中文、韩文、日文、英文等，上面写着发生了什么事情、如何恢复、怎么交钱。”

魏静以为是一个垃圾弹窗，她关掉了显示窗口，但窗口又跳出来了。检查电脑时发现，包括Word、PPT、图片、视频在内的所有文档，已全部被锁定了。随之被一同锁定的，还有她辛苦了几个月、即将上交的毕业设计。

 魏静就读于华南一所理工类高校，平日里接触了不少网络相关技术，但“黑客”一词,在魏静意识里,依旧是个神秘存在。她做梦都没想到，电影、新闻中才有的网络攻击，会突然发生在自己身上。

     惊慌失措之中，班级微信群乱成一锅粥的消息更是让她惊恐：学校所有开机的、安装Win7系统的电脑全部“中招”——而在贴吧、论坛中，众多高校“沦陷”帖子正疯狂生长。

5月的校园,众多学生正为毕业论文做最后冲刺。勒索病毒的突然袭击，让国内整个高校处于惶恐之中，尽管此后有官方回应称感染病毒的高校仅66所，但显然无法挽回魏静她们的损失，难以平息其恐慌之情。

这注定是一个恐慌的夜晚，WannaCry勒索病毒迅速在校园网之外蔓延。中石油旗下2万座加油站在5月13日凌晨突然断网，用户加油只能使用现金支付。此后，央视新闻报道称，国内包括机场、银行、加油站、火车站、医院、邮政、警察、出入境等众多企事业单位都受到了勒索病毒攻击，导致医院手术无法继续、警察单位网络瘫痪，甚至飞机航班安全都受到了影响。

   “弄了整整一宿，数据也没有恢复过来。”一名民警说，受到勒索病毒影响，单位电脑被锁定，学习计算机专业的他也只能束手无策。

幸运的是，由于勒索病毒的爆发正好赶上周末，这给了政府和企业难得的48小时应对时间。国内几大安全厂商纷纷出台了各自的解决方案，但他们也承认，对于已经中毒的电脑无能为力。

类似影响，在全世界各国不断发生。比如受WannaCry影响，英国各大医院和医生门诊取消预约，救护车也被临时调回，对英国数十万病患产生了直接影响。“我们无法进入病人的病历、处方和预约系统。”英国国立医院的医生发表Twitter称，“这是人命关天的事情。”

一个接一个难解的谜团

截至5月16日，勒索病毒已感染了超过30万台电脑，不过侵袭速度开始放缓。硅谷网络风险建模公司Cyence首席技术官George Ng称，此次网络攻击造成的全球电脑死机直接成本总计约80亿美元。

现在，围绕WannaCry的，是一个接一个难解的谜团。

“这并不是什么新的攻击手段,不法分子只是利用‘永恒之蓝(Eternal Blue)’改造的远程‘蠕虫病毒’,它能够实现远程攻击Windows的445端口(共享文件夹或共享打印机)。”5月16日，360安全监测与响应中心一位负责人告诉记者。

 他说，从5月12日周五晚发现勒索病毒开始，整个团队就几乎没有合过眼。不仅是360，几乎所有互联网安全团队都是24小时不眠不休，推出了一系列预防方案。

 对全世界所有互联网安全厂商而言，WannaCry的传播路径，至今为止是个谜团，互联网安全厂商们仍无法确切还原。腾讯安全团队在溯源中发现，病毒爆发是在校园网用户里，但从哪开始不详。猎豹移动安全专家李铁军则表示，病毒来源和传播路径目前没有结论，什么时间潜伏进内网的，都需要更多研究来分析。

在国外，包括欧盟警方在内也表示，他们不知道此次袭击是由网络罪犯或某个国家发起，也不确定此次攻击的主要动机是否为了赚钱。”这是一个长期而复杂的追踪调查。”

猎豹移动安全专家李铁军对记者表示，WannaCry作者从保加利亚语到越南语设置了28国语言，这是不同寻常的。毕竟，很长时间以来，勒索病毒都支持多国语言，但一般的勒索病毒支持的语言为6、7种，大部分在10种以内——WannaCry的实际传播情况确实没有辜负其精心准备的28种语言，让150多个国家和地区遭遇病毒攻击。

5月13日晚间，一名英国研究员于无意间发现的WannaCry隐藏开关（Kill  Switch）域名，意外遏制了病毒的进一步大规模扩散。只是，被意外发现的Kill Switch同样是个谜团。没人能回答病毒作者为何设置了停止开关，安全专家们只能给出如下推测：可能是编码错误，也可能是作者没想到；可能源于作者担心病毒无何止传播。

而在大家觉得可喘口气的时候，病毒2.0版本来了，域名解析已经没有效果了。这同样有着谜团，没人知道，这是原有病毒扩散者的行为，还是其他人的浑水摸鱼。

同样让人感到困惑的，还有WannaCry的勒索行为本身。截至美国时间5月15日，全球范围已有超过20万个系统遭到勒索，但犯罪嫌疑人仅收到约5.5万美元价值的赎金。

 WannaCry勒索病毒横扫全球范围，但收益如此之少，这让人颇为不——尽管勒索病毒是2013年才开始出现，但在2016年，就有超过100种勒索病毒通过这一行为模式获利。比如去年，CryptoWall病毒家族一个变种就收到23亿赎金。

此外，出乎外界意料的是，黑客看上去并没有提取这些比特币的打算，也就无法追查到具体的银行账户和开户者信息。另外还有安全人士发现，受害人电脑的IP地址和其汇出比特币电脑的IP地址没有对应关系，黑客并不知道是哪台电脑给自己汇了比特币，因此即使支付了赎金，黑客可能还是不能自动恢复电脑。

若真如此，这次全球勒索都不像是一场真正的勒索，而比特币仅仅是这场“轰动事件”制造者所利用的一个工具。“或者可能是作者根本就没有想解密；还有一种可能是，这是事件本身不是以勒索为目的，而是以勒索者的表现达到其他目的。”安天实验室首席技术架构师肖新光说。