2017年5月15日，又一个周一。

和往常相比，这个周一有了很多不同——各大企业和组织员工上班前做的第一件事，是在打开电脑之前，先拔掉网线，关掉无线连接，然后再启动电脑，在忐忑不安中查杀电脑是否中了“WannaCry”病毒。

这个病毒也被翻译成“想哭”病毒，是一种勒索病毒，它可以使感染的电脑在10秒内锁住，电脑里所有文件全被加密无法打开，只有按弹窗提示以价值300美元的比特币交付赎金才能解密。

从5月12日起，这个仅有3.3MB大小的病毒，以罕见传播速度以及严重破坏性，攻陷了全球150多个国家和地区的网络，造成了迄今为止人类世界最为严重的互联网领域“生化危机”。

在中国，有近3万家机构遭受影响，涉及高校、加油站、火车站、自助终端、邮政、医院、公安等政府企事业办事终端等领域，不少公共服务被迫关闭。在英国，几十家医院被迫暂停急救；在俄罗斯，内政部千台电脑遭攻击，铁路、银行和第二大手机运营商被要求缴纳赎金；在法国，汽车制造商雷诺被迫中止其多个地区生产活动；在西班牙，电信巨头、能源供应商、电力公司网络系统瘫痪；在美国，美国联邦快递公司等纷纷“中毒”，甚至就连迪士尼未上映新片也受到威胁……

这样肆虐全世界的病毒袭击，已很久没有出现在人类世界新闻当中了，它也注定将被写入人类互联网史册浩劫。截至本报发稿（5月18日），在全球施虐的“想哭”，虽然中途出现了多个变种，但扩散速度似乎有放缓迹象。

虽然病毒威胁放缓，但围绕WannaCry的种种谜团，却是越来越多：谁是勒索病毒元凶？是美国安全局NSA，还是没有“中毒”的朝鲜，还是另有他人？动机又是什么？

更让人不安的问题是：勒索病毒，是普通的黑客，还是别有用心的网络攻击？是否打开了网络恐怖主义的“潘多拉盒子”？一个网络攻击的新时代，是否正在悄然来临？

互联网“生化危机”

 “浩劫”来临那刻，一切都是那么措手不及。

 5月12日晚9点左右，大四的魏静正在电脑上做毕业设计，桌面上几个WORD和PDF文档图标突然变成了白色,文件名的后缀变成了.WNCRY。“点开这些文件,就会弹出一个红白色相间的对话框, 能选择中文、韩文、日文、英文等，上面写着发生了什么事情、如何恢复、怎么交钱。”

魏静以为是一个垃圾弹窗，她关掉了显示窗口，但窗口又跳出来了。检查电脑时发现，包括Word、PPT、图片、视频在内的所有文档，已全部被锁定了。随之被一同锁定的，还有她辛苦了几个月、即将上交的毕业设计。

 魏静就读于华南一所理工类高校，平日里接触了不少网络相关技术，但“黑客”一词,在魏静意识里,依旧是个神秘存在。她做梦都没想到，电影、新闻中才有的网络攻击，会突然发生在自己身上。

     惊慌失措之中，班级微信群乱成一锅粥的消息更是让她惊恐：学校所有开机的、安装Win7系统的电脑全部“中招”——而在贴吧、论坛中，众多高校“沦陷”帖子正疯狂生长。

5月的校园,众多学生正为毕业论文做最后冲刺。勒索病毒的突然袭击，让国内整个高校处于惶恐之中，尽管此后有官方回应称感染病毒的高校仅66所，但显然无法挽回魏静她们的损失，难以平息其恐慌之情。

这注定是一个恐慌的夜晚，WannaCry勒索病毒迅速在校园网之外蔓延。中石油旗下2万座加油站在5月13日凌晨突然断网，用户加油只能使用现金支付。此后，央视新闻报道称，国内包括机场、银行、加油站、火车站、医院、邮政、警察、出入境等众多企事业单位都受到了勒索病毒攻击，导致医院手术无法继续、警察单位网络瘫痪，甚至飞机航班安全都受到了影响。

   “弄了整整一宿，数据也没有恢复过来。”一名民警说，受到勒索病毒影响，单位电脑被锁定，学习计算机专业的他也只能束手无策。

幸运的是，由于勒索病毒的爆发正好赶上周末，这给了政府和企业难得的48小时应对时间。国内几大安全厂商纷纷出台了各自的解决方案，但他们也承认，对于已经中毒的电脑无能为力。

类似影响，在全世界各国不断发生。比如受WannaCry影响，英国各大医院和医生门诊取消预约，救护车也被临时调回，对英国数十万病患产生了直接影响。“我们无法进入病人的病历、处方和预约系统。”英国国立医院的医生发表Twitter称，“这是人命关天的事情。”

一个接一个难解的谜团

截至5月16日，勒索病毒已感染了超过30万台电脑，不过侵袭速度开始放缓。硅谷网络风险建模公司Cyence首席技术官George Ng称，此次网络攻击造成的全球电脑死机直接成本总计约80亿美元。

现在，围绕WannaCry的，是一个接一个难解的谜团。

“这并不是什么新的攻击手段,不法分子只是利用‘永恒之蓝(Eternal Blue)’改造的远程‘蠕虫病毒’,它能够实现远程攻击Windows的445端口(共享文件夹或共享打印机)。”5月16日，360安全监测与响应中心一位负责人告诉记者。

 他说，从5月12日周五晚发现勒索病毒开始，整个团队就几乎没有合过眼。不仅是360，几乎所有互联网安全团队都是24小时不眠不休，推出了一系列预防方案。

 对全世界所有互联网安全厂商而言，WannaCry的传播路径，至今为止是个谜团，互联网安全厂商们仍无法确切还原。腾讯安全团队在溯源中发现，病毒爆发是在校园网用户里，但从哪开始不详。猎豹移动安全专家李铁军则表示，病毒来源和传播路径目前没有结论，什么时间潜伏进内网的，都需要更多研究来分析。

在国外，包括欧盟警方在内也表示，他们不知道此次袭击是由网络罪犯或某个国家发起，也不确定此次攻击的主要动机是否为了赚钱。”这是一个长期而复杂的追踪调查。”

猎豹移动安全专家李铁军对记者表示，WannaCry作者从保加利亚语到越南语设置了28国语言，这是不同寻常的。毕竟，很长时间以来，勒索病毒都支持多国语言，但一般的勒索病毒支持的语言为6、7种，大部分在10种以内——WannaCry的实际传播情况确实没有辜负其精心准备的28种语言，让150多个国家和地区遭遇病毒攻击。

5月13日晚间，一名英国研究员于无意间发现的WannaCry隐藏开关（Kill  Switch）域名，意外遏制了病毒的进一步大规模扩散。只是，被意外发现的Kill Switch同样是个谜团。没人能回答病毒作者为何设置了停止开关，安全专家们只能给出如下推测：可能是编码错误，也可能是作者没想到；可能源于作者担心病毒无何止传播。

而在大家觉得可喘口气的时候，病毒2.0版本来了，域名解析已经没有效果了。这同样有着谜团，没人知道，这是原有病毒扩散者的行为，还是其他人的浑水摸鱼。

同样让人感到困惑的，还有WannaCry的勒索行为本身。截至美国时间5月15日，全球范围已有超过20万个系统遭到勒索，但犯罪嫌疑人仅收到约5.5万美元价值的赎金。

 WannaCry勒索病毒横扫全球范围，但收益如此之少，这让人颇为不——尽管勒索病毒是2013年才开始出现，但在2016年，就有超过100种勒索病毒通过这一行为模式获利。比如去年，CryptoWall病毒家族一个变种就收到23亿赎金。

此外，出乎外界意料的是，黑客看上去并没有提取这些比特币的打算，也就无法追查到具体的银行账户和开户者信息。另外还有安全人士发现，受害人电脑的IP地址和其汇出比特币电脑的IP地址没有对应关系，黑客并不知道是哪台电脑给自己汇了比特币，因此即使支付了赎金，黑客可能还是不能自动恢复电脑。

若真如此，这次全球勒索都不像是一场真正的勒索，而比特币仅仅是这场“轰动事件”制造者所利用的一个工具。“或者可能是作者根本就没有想解密；还有一种可能是，这是事件本身不是以勒索为目的，而是以勒索者的表现达到其他目的。”安天实验室首席技术架构师肖新光说。

找不到的病毒元凶

一个谜团接着另一个谜团，但最大的谜团，WannaCry勒索病毒元凶是谁？

没有答案。

360核心安全团队负责人郑文彬表示，勒索病毒溯源一直是比较困难的问题。FBI曾经悬赏300万美元找勒索病毒的作者，但没有结果，目前全球都没有发现勒索病毒的作者来自哪个国家。

虽然病毒元凶目前还找不到，但一个已经明确的证据是，WannaCry得以获得如此快速传播的重要原因，是采用了前不久美国国家安全局NSA被泄漏出来的MS17-010漏洞，微软高管也因此指责美国政府部门“私藏了大量的漏洞信息”，“用传统武器进行类比，这就像是美国军方的一些战斧导弹被盗。”

    NSA又称国家保密局，隶属于美国国防部，是美国政府机构中最大的情报部门，专门负责收集和分析外国及本国通讯资料，手中握有大量开发好的网络武器。黑客所使用的“永恒之蓝”，就是NSA针对微软MS17-010漏洞所开发的网络武器，主要用于对付极端组织“伊斯兰国”（IS），阻断其国际资金流。

2013年6月，黑客组织“影子中间人”（ShadowBreakers）通过社交平台称，已攻入NSA的网络“武器库”——“方程式组织”。今年4月，“影子中间人”曝光了该局一批档案文件，同时公开了“方程式组织”使用的部分网络武器。这其中，就包括“永恒之蓝”。

“方程式组织”与美国国家安全局关系密切，是一个该局可能“不愿承认的”部门，据称是全球技术“最牛”的黑客组织。“方程式组织”是全球最顶尖的黑客团队，这个团队的加密程度无人能及。2010年毁掉伊朗核设备的震网病毒和火焰病毒，也被广泛认为出自“方程式组织”之手。

据CNN报道，“影子中间人”曾经尝试在网络上出售这批网络武器，但是未能成功。而在此前的3月，微软已放出针对这一漏洞的补丁，但由于种种原因，造成了一个并不新鲜的勒索病毒，一夜间横扫全球百多个国家。

不过，尽管在互联网上兴风作浪，但至今没有人知道“影子中间人”究竟是谁。也没人知道，WannaCry勒索病毒，是影子中间人制造出来的，还是在出售公开后他人制作的。

实际上，围绕“影子中间人”，也是众说纷纭。此前，斯诺登曾认为，从间接证据来看影子经纪人与俄罗斯当局有关。而美国有人士则分析指出，影子经纪人有可能来自美国安全部门的内部人士。

当然，还有其他无法解开的谜团：NSA为什么会知道微软的漏洞，并且制作了专门的网络武器，然后这些武器中的一部分还落到了黑客的手里？作为美国国家安全局，为何专门盯着系统漏洞专门搞武器？NSA利用这一漏洞又有多久了？

网络恐怖主义盒子已打开

甚至有观点认为，攻击可能与朝鲜有关。在受到勒索病毒贡献的150多个国家和地区中，并不包括朝鲜。

《华尔街日报》网站5月17日报道，韩国安全官员称，朝鲜核心黑客队伍规模为1700人，另有超过5000人的支援团队。此外美国媒体CNNMoney盘点了朝鲜可能参与的多次黑客入侵事件，其中包括2016年2月 的孟加拉国银行网络攻击和2014年索尼影业遭到大规模攻击，也包括去年12月，韩国地铁系统和手机遭到的攻击。

是否与朝鲜有关，这个问题至少在数周内都不会有答案。只是，种种迹象表明，网络恐怖主义的“潘多拉盒子”已打开。“此次勒索病毒爆发，其冲击力和效果将给恐怖分子带来启发，可以说网络恐怖主义的潘多拉盒子也将就此打开。” 360公司董事长周鸿祎说。

周鸿祎认为，网络攻击新时代已经被开启了。未来，整个国家和社会都将运转在互联网之上，如果遭受大规模的互联网攻击，对整个社会秩序、社会稳定，对每个人的日常生活都将带来巨大影响。

“举个例子，这次民航和很多交通枢纽没有受到严重的攻击，如果是民航空管系统被攻击，可能会导致航班错乱，大批旅客滞留机场，其后果是非常严重的。”周鸿祎称。

“像交通、医院、电力等比较特殊的行业，如果遭受以制造混乱为目的的攻击，出现人员伤亡也不是不可能的。”网络安全研究学者、上海国际问题研究院全球治理研究所副研究员鲁传颖对此观点表示认同。事实上，此次勒索病毒攻击了英国数十家医院，在国内，医疗、企业、电力、能源、银行、交通等多个行业均遭受不同程度的影响。

根据记者了解，所谓网络恐怖主义，必须包括几大基本要素：行为者抱有明确的政治目的、把信息网络作为攻击目标、采用暴力手段、目的是要引发社会恐慌。

1997年，美国加州情报与安全研究所首度提出“网络恐怖主义”一词，认为它是“网络与恐怖主义相结合的产物。”美国政府此前公布的一份国

家安全报告认为，21世纪对美国国家安全威胁最严重的是网络恐怖主义。

随着网络武器化趋势的加剧，物理破坏不再只存在于想象之中，美国国家安全局前雇员斯诺登就证实了美国使用网络武器攻击伊朗核设施的事例。2009年，奥巴马政府下令使用代号为“震网”的病毒攻击伊朗核设施，病毒爆发后，控制并破坏了伊朗核设施的关键设备——离心机。2010年，病毒爆发，控制并破坏伊朗核设施的离心机如那件，最终造成1000余台离心机永久性物理损坏，不得不暂停浓缩铀的进程。

这仅仅只是美国网络攻击的一例。2015年，网络安全厂商卡巴斯基发布监测报告称，卡巴斯基在全球42个国家发现了“方程式组织”的500个感染行为。卡巴斯基还表示，这只是冰山一角，由于这个黑客团队制造的“武器”拥有超强的自毁能力，绝大多数进攻完成之后，不会留下任何痕迹。

而在美国当地时间5月16日，“影子中间人”也在社交网站上发出威胁称，他们将发布更多黑客工具的代码。从6月开始向“任何愿意付钱的客服”出售可用以入侵大部分电脑的程式码，甚至是俄罗斯、伊朗及朝鲜的核武及导弹计划资料。

他们还威胁说，将盗取和披露大量银行数据，但是并未对此说明更多细节。“影子经纪人”宣称，他们依然拥有美国75%的“网络武器”。从下月开始，每个月都会发布用以入侵电脑的新软件及工具，让有意者购入，对浏览器、路由器、手机等发动攻击。

一位观察人士说，没人希望电影生化危机中由部分决策机构私利驱动造成的灾难，在互联网世界重复上演。问题是现在看上去，无论是来自黑客还是国家的网络攻击，危机却只是愈演愈烈。

链接：

美国国家安全局，是一个什么样的局？

NSA现在手中握有多少网络武器，当然是美国的机密。但根据维基解密的说法，不仅NSA手里有，CIA手里也有，他们的网络情报中心创造了超过1000种电脑病毒和黑客系统——这还是斯诺登2013年确认的数量。

其实对于大多数人而言，在此次勒索病毒和2013年“棱镜门”事发之外，只是偶尔从美国影视作品中看到NSA（National Security Agency，缩写NSA）。于大多数人而言，他们的第一反应是：有这么个机构吗

NSA给人的印象，正如其缩写的另种解读——No Such Agency（没有这个局）。不过，在斯诺登爆料之后，NSA大曝于世。自此，NSA又被赋予了新的含义——No Secret Agency（没有秘密局）。

NSA存世已六十多年

沿第95号州际公路向北，从32号出口转向马里兰州首府安纳波利斯方向，进入一条双向高速公路，通过老的1号出口，然后会爬上米德堡的一座小山。到达山顶，就会发现一座占地15公顷的建筑矗立在脚下。这就是美国国家安全局总部。

 通过卫星天线与电缆，NSA的触手就这样延伸所及编织了一个包括4个密码中心、遍布全世界数千家分支机构、超过30000名雇员的巨大网络，借助当今世界最先进的手段和技术，保卫美国的安全，偷听别国的无线电和网络通信。

据NSA官网记载，NSA前身是1949年5月20日成立的国防部“武装力量安全局”（AFSA）。1952年11月4日，根据杜鲁门总统的秘密指令，在AFSA的基础上正式组建了国家安全局，以全面负责通信情报工作。

这个文件在一代人的时间内一直保密。在冷战结束前，“国家安全局”，其运作是个谜，只有极少数人知道它的存在，更少数的人知道它的功用。由于过于神秘，甚至完全不为美国政府的其他部门所了解，所以它的缩写NSA经常被戏称为“No Such Agency(没有这个局)”。

NSA刚成立时，曾设想通过建立新的指挥中心统一协调众多分散的机构。苏联第一颗原子弹试爆，让美国政府最终决定保持分散状态，以确保其不至于被苏联对华盛顿的核袭击一窝端。NSA最终选择了马里兰州的米德堡，这里距离以华盛顿为中心的核爆区域有足够远的距离，足以求生。

1968年，AFSA/NSA的建设一直延续到1968年才算完成。在2012年NSA出版的《国家安全局：保卫祖国60年》小册子中，披露了NSA的建立和扩充，与中国还存在些许关系。

早在1946年，马歇尔出面调停国共内战，为了了解中共态度，美国开始对中共通信进行监听。到了1950年代初，红色中国成为其最主要的监控对象。1950年6月2日，朝鲜战争爆发。AFSA的分析人员根据中国军队的通信情报分析了从中国中部到沿海地区再到东北的军队，通信情报提供的信息包括位于中朝边界的中国军队的数量。不过，截获的信息，没有说中国军队已经进入朝鲜。于是美国对中国的行动发生了误判。

朝鲜战争是一个分水岭。“几乎在一夜之间，美国开始快速、大量扩充军队和情报部队。”《60年》称。而这一政策最终催生了NSA。而且，这一政策还导致NSA从成立之初就开始不断膨胀。1952年NSA共拥有7600名军事和文职雇员，而如今，其雇员超过了3万人。

“9·11”事件后紧盯互联网

冷战开始前后，美国监听重点逐渐从德国、日本转向苏联、东欧、中国以及朝鲜。为此，美国开始兴建大量监听设施，最终一个三级通信情报系统出现在世界范围内，在古巴导弹危机中，NSA及其监听站发挥了决定性的作用。

冷战时代NSA参与的最后一次大规模行动就是海湾战争。海湾战争期间，NSA在“沙漠盾牌”和“沙漠风暴”行动期间提供了关键的信号情报侦察，在整个冲突期间，该局提供了大量侦听来的信息，并为战场提供了安全的战术通信，被布什称为“沙漠风暴中的无名英雄”。

而苏联的解体一度让NSA失去了目标，不过这一切到“9·11”事件之后发生了前所未有的改变，他们转向了反恐情报，紧盯互联网。“对手已经发生了变化，冷战时期，NSA首要关注的是苏联。现在，一个使用计算机的人就可能成为我们最大的威胁。”

“9·11”事件后，NSA得到了想要的一切，包括监控民用通信和网络的权利。NSA雇用了私营公司，这些公司主要负责建立监视系统，并负责系统的日常管理和技术维护工作。

据《大西洋月刊》网站报道，位于加利福尼亚州的帕洛·阿尔托市的帕兰迪尔技术公司是NSA最紧密技术合作伙伴。另外一家是“鹰盟”公司，而诺斯罗普·格鲁门公司的子公司则负责运行NSA公司IT项目。诺斯罗普·格鲁门公司在其网站上描述自己是“情报委员会首席信息技术管理服务提供商”。《赫芬顿邮报》报道则称，“在美国，与情报机构签约后为其工作的公司达1931家。他们要执行保障国家安全、防止恐怖袭击、间谍业务等任务，美国政府每年为这些人人均花费12.65万美元。”

不作恶保证变空谈

 现在，NSA通过侦察卫星和遍布全世界的监听站，监听了100多位总统的通话记录，号称可以截获世界各国绝大多数的无线电通讯信号，侦察各国的军事动向，破译各国的密码;搜集各国信息资料，揭露潜伏间谍通信联络活动，为美国政府提供各种加工整理的情报资料。

那么，NSA是怎么获得互联网数据的呢？

这和谓NSA密钥有关，NSA密钥是指1998年有人发现Windows操作系统中存在用途等详情不清的第二把密钥。1999年8月，加拿大Cryotonym公司的首席科学家Andrew Fernandes宣布，他发现这第二把密钥叫做NSAkey，而NSA就是美国国家安全局的简称，也就是说，微软公司在每一份Windows操作系统中都安装了一个程序上的“后门”，专供NSA在需要时进入全世界Windows用户的电脑。

而在操作系统漏洞上，NSA内部有个简称为VEP（Vulnerability Equity Process）的流程，其用处是，当NSA或美国其他政府部门发现一个软件的漏洞，要走这个流程，决定是不是把漏洞公开。把漏洞公开，微软等厂商很容易就能制造出补丁，漏洞就消失了；不把漏洞公开，这些政府部门就可以自己留着用，用于“执法、情报收集或者其他’攻击性’利用”。

虽然这一被奥巴马政府创造的流程既不是法律也不是总统令，但从2008年一直实施至今。2014年，奥巴马政府向美国民众保证，禁止联邦机构对受影响的企业隐瞒“重大”安全缺陷，尤其是可能危及消费者权益的缺陷。被安全机构利用的任何安全漏洞，只能用于国家安全目的。

但很显然，从勒索病毒来看，这个保证纯粹变成了空谈。