摘要：2017年5月12日，利用“永恒之藍(lán)”SMB漏洞入侵的“想哭”蠕蟲(chóng)病毒在全球范圍內(nèi)大規(guī)模爆發(fā)，被感染電腦被要求支付約300美元等值的“比特幣”方可解密文件。該事件正值我國(guó)《網(wǎng)絡(luò)安全法》將要實(shí)施之時(shí)，筆者作為系統(tǒng)學(xué)習(xí)過(guò)軟件工程及法律的研究生，從事件一開(kāi)始便開(kāi)始關(guān)注，事件爆發(fā)后筆者第一時(shí)間找到該蠕蟲(chóng)病毒的源代碼并進(jìn)行分析，得出該病毒破壞原理。并結(jié)合該病毒為案例，從預(yù)防蠕蟲(chóng)病毒感染的角度提出幾點(diǎn)建議。

關(guān)鍵詞：網(wǎng)絡(luò)安全法；永恒之藍(lán)；蠕蟲(chóng)；預(yù)防

中圖分類號(hào)：D924.3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-4379-（2017）23-0249-01

作者簡(jiǎn)介：晏子昂（1993-），男，漢族，湖南益陽(yáng)人，云南財(cái)經(jīng)大學(xué)法學(xué)院，法律碩士研究生，研究方向：訴訟法；導(dǎo)師：佴澎。

一、事件背景

2007年，美國(guó)秘密啟動(dòng)“棱鏡”互聯(lián)網(wǎng)監(jiān)控行動(dòng)。制作了一系列攻擊工具進(jìn)行監(jiān)聽(tīng)，而其中就有“永恒之藍(lán)”這一在十年后肆虐全球的蠕蟲(chóng)工具[1]。今年4月初，美國(guó)國(guó)家安全局內(nèi)部泄露出這一系列蠕蟲(chóng)工具的源代碼。4月16日，我國(guó)負(fù)責(zé)互聯(lián)網(wǎng)安全的CNVD機(jī)構(gòu)嗅探到了對(duì)我國(guó)互聯(lián)網(wǎng)安全具有潛在性威脅的這一事件，發(fā)布了一系列預(yù)防的公告。5月12日，該蠕蟲(chóng)病毒在全球范圍內(nèi)大規(guī)模爆發(fā)。僅僅24小時(shí)之內(nèi)，全世界近一百個(gè)國(guó)家和地區(qū)受到波及，受到蠕蟲(chóng)病毒感染的計(jì)算機(jī)文件被加密，并被要求支付約300美元等值的“比特幣”方可解密文件。當(dāng)晚，山東大學(xué)、江蘇大學(xué)、太原理工大學(xué)、桂林電子科技大學(xué)等十幾家高校也遭受攻擊[2]

二、“想哭”病毒的破壞原理

通過(guò)對(duì)病毒的源代碼進(jìn)行分析，病毒對(duì)被感染的計(jì)算機(jī)系統(tǒng)內(nèi)的文件進(jìn)行高強(qiáng)度加密，文件加密的過(guò)錯(cuò)大致如下，首先通過(guò)隨機(jī)數(shù)設(shè)置一個(gè)密鑰，并將其REA兩次加密，隨后開(kāi)始掃描全盤(pán)文件，根據(jù)后綴名的不同，其一，對(duì)于exe、dll等文件不進(jìn)行加密；其二，對(duì)jpg、doc等170種文件進(jìn)行加密；其三，對(duì)于既非exe等不加密后綴也非jpg等加密后綴的文件識(shí)別其是否大于200M，若是則加密。最后根據(jù)加密文件的目錄，若是桌面（Desktop）、我的文檔（Documents）等關(guān)鍵目錄則覆蓋后刪除以防恢復(fù)，其他則直接刪除。該過(guò)程完成后彈出框向受害者勒索一定金額的比特幣換取解密密鑰。

三、蠕蟲(chóng)病毒防范策略

（一）首先要加強(qiáng)防火墻的防護(hù)能力。防火墻屬于IP數(shù)據(jù)包過(guò)濾器，較為嚴(yán)格的防火墻可以設(shè)置只允許匹配特定來(lái)源或目的的IP地址、TTL值、端口或網(wǎng)段等屬性規(guī)則的數(shù)據(jù)包通過(guò)，禁止除白名單外的任何數(shù)據(jù)進(jìn)入防火墻，從而達(dá)到在網(wǎng)絡(luò)入口處篩選數(shù)據(jù)包的功能，對(duì)于過(guò)濾不明文件有著極為有效的預(yù)防作用。

（二）修復(fù)必要的系統(tǒng)漏洞?？梢苑乐购诳褪褂眠h(yuǎn)程執(zhí)行代碼的攻擊，比如本文所著重提到的“想哭”病毒，微軟公司已于2017年3月14日在其TechNet上發(fā)布了MS17-010號(hào)的信息安全公告，并向用戶推送了安全補(bǔ)丁“KB4013389”封堵此漏洞[3]，但并不是所有的用戶都安裝了該漏洞，騰訊電腦管家在“永恒之藍(lán)”事件后對(duì)于為何屏蔽該補(bǔ)丁做出了解釋，稱該補(bǔ)丁中包含ci.dll文件，可能導(dǎo)致盜版系統(tǒng)電腦重啟反復(fù)藍(lán)屏。可以看出使用正版操作系統(tǒng)并及時(shí)更新補(bǔ)丁對(duì)于防范病毒也是非常必要的。微軟公司在其最新發(fā)布的Win 10系統(tǒng)中強(qiáng)制打開(kāi)所有用戶的自動(dòng)更新功能[4]從而使得Win 10系統(tǒng)幾乎不存在被病毒感染的個(gè)例。

（三）在不需要使用網(wǎng)絡(luò)時(shí)將其斷開(kāi)以減少與網(wǎng)絡(luò)不必要的連接，對(duì)于存儲(chǔ)有重要文件的計(jì)算機(jī)盡可能24小時(shí)處于脫機(jī)狀態(tài)，以隔絕本地文件與外界的聯(lián)系從而達(dá)到保護(hù)計(jì)算機(jī)的目的，就本文所言的“永恒之藍(lán)”事件，其大規(guī)模的攻擊集中在2017年5月12日20時(shí)至次日12時(shí)之間，如果用戶謹(jǐn)慎的采取少聯(lián)網(wǎng)的措施，便極有可能在某種特定病毒的爆發(fā)期內(nèi)幸免。

除了個(gè)人的防范，網(wǎng)絡(luò)運(yùn)營(yíng)商的防范也尤為關(guān)鍵，就本次肆虐全球的“永恒之藍(lán)”事件而言，擁有全世界網(wǎng)民數(shù)量最多的中國(guó)受災(zāi)人數(shù)遠(yuǎn)低于美國(guó)。正是由于我國(guó)三大網(wǎng)絡(luò)運(yùn)營(yíng)商均關(guān)閉了445端口的緣故，避免了一起我國(guó)網(wǎng)絡(luò)用戶遭受巨大損失的事故。

[參考文獻(xiàn)]

[1][美]Edward Snowden.NSA collecting phone records of millions of Verizon customers daily[N].The Washington Post，2013-06-06.

[2]何利權(quán)，李思文，劉蕓.勒索軟件病毒肆虐中國(guó)多所高校[EB/OL].http：//www.thepaper.cn/newsDetail_forward_1684721.

[3][美]Security Bulletins.Microsoft Security Bulletin MS17-010[EB/OL].Security TechCenter.https：//technet.microsoft.com/en-us/library/security/ms17-010.aspx.

[4][美]Woody Leonhard.Windows 10 forced updates[EB/OL].http：//www.infoworld.com/article/2949622/microsoft-windows/windows-10-forced-updates-dont-panic.html.endprint