这是我们的一个技术（天天用英语团队的技术）写的文章，竟然妙趣横生，竟然比 Guardian 那篇“’Accidental hero’ halts ransomware attack and warns: this is not over”更好玩，因为还有作者自己的一点“实证参与”……

我从来都认为任何人都能写出好文章的 —— 只要有料。没有料，文笔再好也没啥用处；有料，根本用不上文笔…… （虽然说，文笔这个东西也是很有用处的罢。）

我看了两遍，找 Frank，让他开通了白名单，转载到这里。

大家知道吗？前几天刷屏的勒索病毒被一个英国的安全研究员意外的关闭了。
大致上相当于一个原子弹被一个普通人用10块钱的扳子给拆除了，真是个有趣的故事。不过病毒的制造者也发现病毒被关闭了，攻击者已经释放了新的版本，并在扩散中。

先来个斯诺登的推特，交代一下背景。

当NSA（National Security Agency，美国国家安全局）“帮助下”研发的勒索软件吞噬互联网的时候，反而是民间的一个研究员关掉了开关，而不是国家机构。
— 斯诺登

斯诺登提到的NSA是美国的国家安全局。NSA除了保护美国的网络之外，还会研发一些网络攻击武器，用来进行网络军事战争和从事间谍活动。

在 2017年4月初，一个专门贩卖这种国家级攻击武器的黑客（ShadowBroker）释放了一个武器库。这个武器库是NSA下最厉害的黑客组织 Equation Group 的内部工具，ShadowBroker 拿（黑吃黑）到后，将它分为两个部分，一部分不加密公开，另一部分加密后公开，并售价100亿人民币（是的你没看错，购买的肯定是国家级的客户了）。 下图是当时的国内新闻：

这次勒索病毒就是利用了其中不加密部分的一个工具，这个工具叫做“永恒之蓝”，永恒之蓝仅仅是 ShadowBroker 为了出售100亿的武器而放出的几十个例子中的一个。

不能想象这个价值100亿的武器会厉害成什么样子（导致全国电网自毁，电脑自毁？？）。

勒索病毒的制作者非常迅速的利用到这个工具，赶在缺陷厂商打补丁之前制作出了这个病毒。然后就是我们看到的病毒的大规模传播了。

交代完背景，然后有意思的事情开始了。 在各国的安全情报部门都在战斗状态处理这次网络安全危机的时候，一个英国22岁的民间网络安全研究员也注意到了这个刷屏的病毒。

休息了几天的他，开始工作了，于是找到样本开始分析这个病毒。他搭建了一个虚拟机环境来体验病毒，发现病毒每次启动的时候，都会去请求一个叫“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”的网站，可能是出于职业直觉，他觉得这个网址有可能是黑客用来统计僵尸网络的感染情况用的，但是这个域名没有被注册，他就去自己买下了这个域名（10美元一年）。

购买日期是2017-5-12

购买完后，也没有什么发生，因为域名生效有延迟，病毒没有发生变化。一段时间后他发现这个域名的服务器开始有大量的网络请求，由于他希望记录下僵尸网络都在发送些什么数据给这个服务器，就开始去优化这个服务器去了。

他用这个 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的服务器收集到了很多数据，并做成了一个我们新闻里常看到的图片。可见到这时候，他还是在想着监控这个网络的感染情况，没有开始处理病毒呢。这都火烧连营了，他还在看火势呢，而且折腾这个图也挺花时间的吧大哥。

万万没想到的是，正是这个意外终止了病毒的传播。

过了一会另一个分析员好友告诉他，“好像你把病毒给关了”。

@MalwareTech就是22岁的英国人

第一个推特显示，有人告诉他注册这个域名停止了感染，他想确认一下。第二个推特他发现是自己关掉了病毒，并坦白不知道注册域名可以停止感染，所以纯属意外（被赞了6912次）。

后来他的这个好友逆向（病毒的二进制代码编程源代码）了病毒样本。

发现病毒的逻辑是：

• 病毒程序启动。
• 寻找 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 有返回就关闭，否则继续
• 拼命感染互联网和局域网的机器，并加密你的数据文件

这个22岁的年轻人非常坦诚，说这只是意外，而且也只是匿名的接受了新闻采访。

所以这就是第一波病毒攻击被关闭的故事了。

然后5月15日晚9点，他收到了一个邮件。

他说有人试图偷走这个 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的域名。然后非常多的人开始推测攻击来自中国了。。。。

当我点开一看

我的天，这是我之前工作的公司（DNSPOD）发出的域名找回邮件。我很了解啥时候会发出这个邮件。看到邮件后分析了一下，推测这个邮件应该是一个用户“Accidental，意外的”触发的。这个用户应该是个DNSPOD的新用户，想起到类似 @MalwareTech 一样劫持（或者这些黑客说叫sinkhole）这个www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com网址的目的，但是乱点了按钮。因为仅仅是在DNDPOD发送找回域名的请求，是不能修改记录的，他必须先黑掉域名的注册商。于是我判断这个是用户的 Accidental action，真正的黑客应该不会这么天真，在一个实名制的网站里试图找回一个不可能找回的域名（要先黑namecheap）。

于是我给他提供了一些细节，说明了为什么会有这个邮件。

右边的猫是我。。。

交流了一些后，我估计@MalwareTech 应该懂了，不会觉得那个邮件来是来自病毒作者了。

但是我一直很纳闷的是，黑客的中文为什么这么好。。。

中文的版本里第一句说：“我以人格担保，能够提供安全有效的恢复服务”。我怎么觉得这句话是中国人写的呢。英文版里就没有这个幽默的表达。

接下来的故事是，第二波攻击启动了。

因为黑客发现了这个病毒被人关闭了。还被人嘲笑太业余。

黑客此时的心情

于是他放出了新的版本，目前的变异版本是改变了域名的版本。所以威胁继续存在请注意防范。这个不是谣言，已经发现了多个变异的样本了。

@MalwareTech 把第一波攻击给有效的停止，给了世界上的机构和用户更多的时间升级，有效的打击了病毒，真是太酷啦。

周一如果你的电脑是在局域网（校园，单位）的话，请按照这个方法安全开机：（针对的是非windows 10 的几乎所有windows xp以上版本。没有mac和linux被报道中毒）

方法 1:

1. 如果你的电脑在单位局域网的话，拔网线，不要联网启动。
2. 找到网络管理员，或者可以完全启动电脑并联网的人（通常他们的系统是mac，linux，window 10），下载 http://dl.360safe.com/setup_jiuzai.exe （360的工具）或者 http://guanjia.qq.com/wannacry/ （腾讯的工具）这个软件到你的u盘。
3. 使用u盘，运行这个软件，等待修复完毕。

如果上述办法中的2无法完成，那么需要自救：

方法 2:

1. 如果你的电脑在单位局域网的话，拔网线，不联网启动电脑。
2. 立即关闭Windows系统的445端口：打开控制面板——网络和共享中心——更改适配器设置——右键点击正在使用的网卡然后点击属性——取消勾选Microsoft网络文件和打印机共享——确定。（如下图）
3. 重启电脑，后插上网线。
4. 下载 http://dl.360safe.com/setup_jiuzai.exe 或者 http://guanjia.qq.com/wannacry/ （腾讯的工具）

备注

• 个人和单位的重要的文件不应该被单独存储，应该多在云上备份，这是防止一切病毒的方法。Google和苹果的文件存储服务是军事级别的安全。
• 从这里我们可以看出国家级的网络安全武器库是多么危险（黑市价值100亿），如果不是这种恶性事件公众很难想象什么是网络攻击和网络监控。
• 我之前写过一个关于网络安全（domain的单词表）和网络攻击的文章（cyber的单词表，里面提到特朗普的网络安全议题，特朗普在2天前签字了。文章里的游戏下架了，很抱歉），可以复习一下。
• 盗版软件很危险，尽量正版。个人手机不要root和越狱，现在放出的这些武器都是过时的武器，新式武器会针对手机。
• 愚人节我发过一个帮你背单词的枕头的文章，那个是愚人节活动，为了专业点，我没有回复大家很抱歉。。。。。。。