WannaCry勒索软件仅获利11万美元，什么阻止了它?

2017 年 5 月 12 日星期五上午开始，WannaCry 勒索软件在48小时内袭击了100多个国家/地区内的众多组织机构。到5月底，根据MalwareTech的统计，全球超过100多个国家共有423，804套系统受到了破坏。WannaCry 攻击破坏了关键基础设施，包括医院、电信和分销/供应链服务甚至加油站，本次攻击是迄今为止使用勒索软件发动的规模最大的全球性网络攻击。

然而，有意思的是，WannaCry勒索者并没有从这次攻击中大规模获益。根据一家位于伦敦专门追踪非法比特币使用公司Elliptic Enterprises的统计，截止到2017年5月26日，全球向三个公开的与勒索者相关比特币钱包的支付仅达区区的116,019.59美元。按300美元起步的赎金计算，423，804套系统的赎金保守估计为1.27亿美元。那么，是什么阻止了受害者向WannaCry勒索者支付赎金?

IBM大中华区安全事业部总经理Vincent Chen接受采访时表示，实际上受害者向勒索软件支付的意愿非常高，根据IBM X-Force于2016年12月发布的《勒索软件:用户和企业如何衡量数据的价值》调查报告，经历过勒索软件攻击的企业中70%曾付费找回数据。一些企业为解决问题付出的代价很大，超过一半的企业支付了10,000多美元。然而， WannaCry不是第一个使用比特币支付的勒索软件，那么什么阻止了WannaCry的黑色利益呢?

成也比特币，败也比特币

(上图为CryptoWall勒索软件提供的比特币支付说明)

众所周知，比特币相当于国际流通的数字货币。比特币诞生于2008年11月1日，2009年1300个比特币才可以兑换1美元，到2011年2月9日1比特币价格才首次达到1美元，到了2017年5月9日1比特币最高已经达到1779美元，远高于黄金价格。

然而，根据IBM X-Force的数据，比特币是与勒索软件攻击相关的最流行支付方法，比特币被网络罪犯选中得益于它提供的匿名性，以及通过交易跟踪实际收款人的困难性。 IBM X-Force 研发团队专门研究和监视最新的威胁趋势，包括各种漏洞、漏洞利用、活跃的攻击、病毒及其他恶意软件、垃圾邮件、网络钓鱼和恶意Web内容等。

尽管使用比特币对于勒索软件来说有种种好处，但也有其弊端。IBM的调查显示，比特币对于很多用户来说并不熟悉，用户也不知道如何通过比特币进行支付，因此即使受害者在一开始有意愿支付赎金，但复杂的支付过程让很多受害者选择放弃支付。为此，曾经有一个名为CryptoWall的勒索软件非常“贴心”地为受害者提供了比特币支付操作说明书。

除了复杂的支付操作外，IBM中国区企业信息安全销售总监张朝鹏还认为支付的网络不通畅也在一定程度上阻止了受害者的支付。比特币依赖于全球互联网络，不同国家之间的互联网在支付的时候有受阻情况，很多中国用户甚至无法连接到支付服务器上，从而导致比特币支付失败。

此外，比特币账户与受害者电脑之间似乎也没有直接联系，没有证据证明在支付了赎金后受害者的电脑就能自动解除，这类似于受害者的银行账户与受害者的电脑并没有直接联系，因而降低了受害者的支付意愿。

勒索经济拉开序幕

(上图为Jigsaw恶意勒索软件要求受害者立即支付的界面)

尽管比特币在一定程度抑制了WannaCry的获益，这并不代表全球企业和消费者就能对勒索软件掉以轻心。IBM大中华区企业信息安全事业部总经理Vincent Chen在接受采访时表示，基于勒索软件的勒索经济已经拉开了序幕。

勒索软件是 2016 年最流行的在线威胁，有时每天发生超过40,000次攻击，占携带恶意代码的所有垃圾邮件的65%以上。跟踪垃圾邮件趋势的IBM X-Force研究人员指出，2016 年勒索软件垃圾邮件的上升速度达到了惊人的6000%，从2015年占垃圾邮件的0.6%上升至2016年占垃圾邮件的平均40%，2017年情况只会更糟。

美国政府的统计数据表明，勒索软件攻击在 2016 年增长了4倍。FBI 则报告，仅在 2016 年的前3个月，在美国就支付了2.09亿美元勒索软件资金，与有统计的2015年美国全年2400万美元相比大幅增加了 771%。FBI 预计2016年网络罪犯的勒索软件收入将达到10亿美元。

WannaCry本次攻击的规模如此之大，主要是因为微软Windows操作系统中的一个漏洞导致的，该漏洞名为 ETERNAL BLUE(永恒之蓝)，它利用了微软SMB协议漏洞，这是一项用于在Windows主机之间共享(文件、打印机或其他内容)的协议。WannaCry扫描网络和互联网，寻找那些没有修补过微软SMB漏洞的机器进行传播，这样就可以在没有用户打开被感染文档的情况下进行传播，这被方式也称为“蠕虫”式自行传播。

除了“永恒之蓝”外，Vincent Chen表示最近又看到了更多漏洞，包括“永恒之石”、“雅典娜”等等。“这么多的漏洞防不胜防，无法通过人工方式逐一监测和修复，企业必须要有一个‘免疫’系统。”张红卫表示。

建立企业的安全“免疫”系统

(上图为IBM企业最佳安全实践及产品组合)

IBM大中华区企业信息安全事业部技术总监张红卫介绍说，在“永恒之蓝”爆发的当天，IBM内部并没有受到影响，这是因为IBM内部IT系统已经在今年3年微软发布SMB补丁的时候就被强制打补丁了。IBM的SIEM(安全信息与事件管理)平台Qradar和终端管理平台BigFix，当Qradar监控到微软漏洞后，就会由BigFix推送补丁给用户，很好的完成从更新补丁、异常告警到隔离终端等一系列工作。

张红卫表示，最佳企业信息安全实践有监测、响应、补丁和阻断四大步骤。其中，监测主要利用深度的安全分析来关联不同的数据、检测新的威胁，响应主要为拟定安全事件的回应计划，补丁为采用关键的补丁以缩小攻击面，最后是通过阻断以保护网络避免受到升级的威胁及恶意软件攻击。

早在两年前，IBM提出了一套根据最佳安全实践的安全免疫系统，该系统主要是利用Qradar侦测产品搭建类似人体的的免疫系统，不仅有防御能力，还有一定的侦测能力，可以指挥防御系统对监测的问题进行响应，就像人类的免疫系统可以消灭入侵的病菌一样。Qradar的侦测机制与安全设备进行双向集成，不仅安全设备可以把安全事件发送给Qradar，Qradar也可以把命令发回到安全设备，让安全设备对侦测出的事件进行响应。

针对于WannaCry勒索软件，Qradar可以侦测到终端在短时间内有大量文件被更新，一旦确定了规则后就可以马上发指令到终端设备“杀掉”引发文件更新的ID。当然，这必须要形成集成联动，也就是说这个“杀掉”指令必须在短时间内完成，一旦勒索ID对文件的加密完成，“杀掉”ID就无意义了。除了IBM自己的安全设备外，Qradar也开放了API接口，以供第三方安全设备的集成，从而在最大范围内响应和阻断勒索软件。

IBM一直是企业级信息安全的领导厂商，为80%的财富100强公司、全球75家最大的金融服务机构、前25家最大的银行中的22个银行以及前50大保险机构中的40家提供安全服务。IBM每天在133个国家/地区监视35亿个安全性事件，并拥有3,700多项专利。IBM X-Force 研究和开发小组，可提供安全威胁情报，并提供针对身份和访问管理、数据库安全、应用程序开发、风险管理、端点管理以及网络安全等的解决方案。

除了IBM安全免疫系统外，IBM还在将人工智能和认知计算加入到信息安全体系中，即认知安全。认知安全利用大数据安全情报为基础，通过Watson认知计算技术自动化和智能化进行安全大数据分析，该系统可以处理和解读现今80%的非结构化数据，可用以分析数以千计的研究报告、会议材料、学术论文、新闻报道、博客文章和行业警报等。随着认知系统持续观察事件和行为，它利用集成防御来阻止新威胁的能力会变得越强大。

当然，在针对勒索软件这种特殊的信息安全事件中，数据备份就显得十分重要，毕竟勒索软件使用的是加密算法进行勒索。“一旦备份了数据，所有勒索都不会成立了，这是最关键的。”Vincent Chen强调。