隨著“永恒之藍”以驚人速度傳播，各種各樣的“搭車傳播”層出不窮，盡管我們尚不能鎖定其究竟誰是主謀，但只要循著“產(chǎn)業(yè)鏈即利益鏈”、“利益最大者即嫌疑最大者”的思路耐心跟蹤，真相大白的一天就不會太過遙遠(yuǎn)。

　　文/ 陶短房

　　超級蠕蟲病毒、勒索軟件“永恒之藍”自5月12日開始發(fā)作，迄今已席卷150個以上的國家，造成逾20萬部電腦和局域網(wǎng)癱瘓，醫(yī)院、工廠和公共服務(wù)設(shè)施成為“重災(zāi)區(qū)”，正如一位IT資深業(yè)者所坦言，“我們還從未見過如此迅速傳播的惡意軟件”。

　　亡羊補牢從來都是這類惡性事件發(fā)作后人們最集中的念頭，但如今的情況卻是羊被偷了，偷羊的工具也找到了，誰偷的羊、工具從何而來，卻仍是一頭霧水。

　　勒索軟件背后產(chǎn)業(yè)鏈沒那么簡單

　　為弄清這一切，人們需要盡早梳理清楚此次勒索軟件背后的“產(chǎn)業(yè)鏈”。

　　表面上看，這條產(chǎn)業(yè)鏈?zhǔn)呛唵蚊髁说模赫厥抡咦约河脦资N語言寫明了勒索標(biāo)的（200比特幣），給出了支付渠道，承諾“款到解鎖”，并威脅“不給錢后果自負(fù)”，這是經(jīng)典的“綁票勒贖”，只不過作案地點從現(xiàn)實搬到虛擬空間，“肉票”從大活人變成了局域網(wǎng)或電腦。

　　但真這么簡單嗎？

　　法國電腦雜志《LeMagIT》副主編馬奇夫（Valéry Marchive）就一針見血地指出，如果肇事者真的指望“比特幣產(chǎn)業(yè)鏈”能讓自己大撈一筆，他的金融知識可謂完全不及格：盡管受害者多達20萬，但截至5月16日僅有200出頭的受害者乖乖付錢，占比勉強達到1%，贖金總額更剛過6萬美元。而且隨著時間的推移，受害者（不論沃特迪士尼那樣的企業(yè)集團或小小的終端用戶）正迅速達成“不交贖金”的共識，因為一來交了似乎也是白搭，二來事已經(jīng)鬧大，接下來“也就好辦了”。有人譏諷稱，“如此綁票，連本都撈不回來”。

　　一些業(yè)內(nèi)人士譏諷此次行動“很業(yè)余”：攻擊時間選擇在效果最差的周五中午，而非效果最好的周一早上；設(shè)置統(tǒng)一的“取消開關(guān)”；比特幣看似不易跟蹤其實對政府級別的審查者而言并非不能追蹤到受益人……更重要的是，迄今并無一例“付了贖金便能解鎖”的實例，且事情一下被鬧大，網(wǎng)上綁匪即便想提供“售后服務(wù)”，恐怕也是太冒險了。

　　嫌疑最大者依然撲朔迷離

　　問題在于，這條“明產(chǎn)業(yè)鏈”很可能不過是虛晃一槍。

　　隨著“永恒之藍”以驚人速度傳播，各種各樣的“搭車傳播”如雨后春筍，層出不窮：各路反病毒公司一面不斷提出一個又一個“疑似嫌犯”，來頭一個比一個大、一個比一個神秘，意在強調(diào)“矛利”，一面不斷明示暗示自己所賣的“盾堅”；電腦操作系統(tǒng)和網(wǎng)絡(luò)硬、軟件服務(wù)商則或指責(zé)“疑似責(zé)任人”，或影射“無能的同行”，或強調(diào)自己產(chǎn)品的安全可靠——即便已被“永恒之藍”證明不那么安全可靠，也忘不了提醒一聲“我們可是早就出了補丁的，你們不打不關(guān)我事”；甚至，那些有名或不那么有名的黑客組織也趁機“炫耀武力”，揚言“下次我們會干得更嚇人”。

　　“賣矛的”（黑客）、“賣盾的”（反病毒公司）、“賣武士的”（軟硬件和操作系統(tǒng)服務(wù)商）的做法看似混亂，實則個個有跡可循：夸大“敵情”，強調(diào)自己是唯一可靠的御敵、退敵出路。很顯然，不論是哪一類商品或“服務(wù)”熱銷，其最終所得都將是驚人的大手筆。與之相比，賬面上人人看得見的那幾萬美元，幾可忽略不計。

　　我們必須相信一點，能制作并散布如此規(guī)模和級別勒索軟件的“黑手”，絕不會愚蠢到買櫝還珠或金炮彈打跳蚤的地步，他們所謀求的回報，必定遠(yuǎn)遠(yuǎn)超出其可觀的付出。

　　盡管到目前為止，我們尚不能從有限的線索中圈出“真產(chǎn)業(yè)鏈”中真正的受益者（也就是事件的主謀），尚不能鎖定其究竟是上述“三賣”中的哪一“賣”，但只要循著“產(chǎn)業(yè)鏈即利益鏈”、“利益最大者即嫌疑最大者”的思路耐心跟蹤，真相大白的一天就不會太過遙遠(yuǎn)。

　　國家計算機病毒中心監(jiān)測發(fā)現(xiàn)勒索病毒新變種

　　國家計算機病毒應(yīng)急處理中心常務(wù)副主任陳建民說，該勒索病毒與目前正在流行的“WannaCry”勒索病毒采用了類似的傳播方式，也使用微軟公司W(wǎng)indows操作系統(tǒng)的SMB服務(wù)漏洞（MS17－010）進行傳播感染。該勒索病毒會將受害用戶文件加密后重新命名，新文件名將帶有“.UIWIX”后綴名。