美國阻止比特幣病毒

1. 比特幣病毒到底是什麼

昨天抽風去了電子閱覽室，剛插上U盤沒多久，老師就突然大聲說讓大家把U盤拔下來，有學生發現U盤里的文件全部都打不開了，還多了兩個要錢的文件。

於是大家都匆忙查看，只要U盤在學校電腦上插過的都中毒了，晚上出現大規模電腦中毒情況。

很多人的資料、畢業論文都在電腦中，真的覺得黑客這種行為太惡心了，為了錢，不管不顧學生的前途，老師畢生的科研成果……

希望盡早抓到犯罪分子，給予法律的嚴懲！

這個病毒會掃描開放 445 文件共享埠的 Windows 設備，只要用戶的設備處於開機上網狀態，黑客就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。

一些安全研究人員指出，這次大規模的網路襲擊似乎是通過一個蠕蟲病毒應用部署的，WannaCry 可以在計算機之間傳播。更為可怕的是，與大部分惡意程序不同，這個程序可以自行在網路中進行復制傳播，而當前的大多數病毒還需要依靠中招的用戶來傳播，方法則是通過欺騙他們點擊附有攻擊代碼的附件。

這次襲擊已經使得 99 個國家和多達 75,000 台電腦受到影響，但由於這種病毒使用匿名網路和比特幣匿名交易獲取贖金，想要追蹤和定位病毒的始作俑者相當困難。

2. 比特幣勒索病毒是真的嗎的最新相關信息

比特幣勒索病毒是真實的，比特幣勒索病毒「wanacry」

WannaCry（想哭，又叫Wanna Decryptor），一種「蠕蟲式」的勒索病毒軟體，大小3.3MB，由不法分子利用NSA（National Security Agency，美國國家安全局）泄露的危險漏洞「EternalBlue」（永恆之藍）進行傳播[1] 。

該惡意軟體會掃描電腦上的TCP 445埠(Server Message Block/SMB)，以類似於蠕蟲病毒的方式傳播，攻擊主機並加密主機上存儲的文件，然後要求以比特幣的形式支付贖金。勒索金額為300至600美元。

2017年5月14日，WannaCry 勒索病毒出現了變種：WannaCry 2.0，取消Kill Switch 傳播速度或更快。截止2017年5月15日，WannaCry造成至少有150個國家受到網路攻擊，已經影響到金融，能源，醫療等行業，造成嚴重的危機管理問題。中國部分Window操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。

目前，安全業界暫未能有效破除該勒索軟體的惡意加密行為。微軟總裁兼首席法務官Brad Smith稱，美國國家安全局未披露更多的安全漏洞，給了犯罪組織可乘之機，最終帶來了這一次攻擊了150個國家的勒索病毒。

3. 比特幣病毒是美國病毒武器庫泄露的嗎

12日，全球99個國家和地域產生超過7.5萬起電腦病毒攻打事件，罪魁罪魁是一個名為「想哭」(WannaCry)的勒索軟體。俄羅斯、英國、中國、烏克蘭等國「中招」，其中英國醫療系統陷入癱瘓、大批病人無法就醫。

這款病毒源自上月遭泄密的美國國家保險局病毒武器庫。不少網路專家和電腦安全公司批駁，美國網路項目開支的90％用於研發黑客攻擊武器，一旦該「武器庫」遭泄密，勢必殃及全球。

路透社援引美國聯邦政府頒布的數據以及情報部門官員的話報道，美國網路項目開銷中，90％用於研發黑客襲擊武器，例如侵入「敵人」的電腦網路、監聽大眾、想法讓基本設施癱瘓或碰壁等。

得知最新攻擊事件後，「棱鏡」監聽項目曝光者、美國前防務承包商雇員愛德華·斯諾登12日發推文說，「只管屢次被忠告，（美國國安局）依然研製了危險的攻擊工具。今天，我們見到代價……醫院里的病人性命受到威脅」。

面對外界批評，美國國安局尚未作出回應。美國國土安全體盤算機緊迫應對小組表現，正親密關注這起波及全球的黑客攻擊事件。

4. 誰是勒索軟體真正的攻擊目標

據悉，這個在國內被大家簡稱為「比特幣病毒」的惡意軟體，目前攻陷的國家已經達到99個，並且大型機構、組織是頭號目標。


在英國NHS中招之後，緊接著位於桑德蘭的尼桑造車廠也宣告「淪陷」。西班牙除了最早被黑的通訊巨頭Telefonica，能源公司Iberdrola和燃氣公司Gas Natural也沒能倖免於難。德國乾脆直接被搞得在火車站「示眾」。這個被大家稱之為「比特幣病毒」的勒索蠕蟲，英文大名叫做WannaCry，另外還有倆比較常見的小名，分別是WanaCrypt0r和WCry。
它是今年三月底就已經出現過的一種勒索程序的最新變種，而追根溯源的話是來自於微軟操作系統一個叫做「永恆之藍」（Eternal Blue）的漏洞。美國國家安全局（NSA）曾經根據它開發了一種網路武器，上個月剛剛由於微軟發布了新補丁而被「拋棄」。

三月底那次勒索程序就叫WannaCry，所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的說法，所指也是本次爆發的勒索程序。

隨後，微軟在3月發布的補丁編號為MS17-010，結果眾多大企業們和一部分個人用戶沒能及時安裝它，才讓不知道從什麼途徑獲取並改造了NSA網路武器的WannaCry有機可乘。
而且這回的勒索軟體目標並非只有英國NHS，而是遍布全球，總覺得有種「人家不是只針對英國醫療系統」一樣、奇怪的「有人跟我一樣糟就放心」了的潛台詞。雖然最後事實證明確實全球遭殃。
但WannaCry最早從英國NHS開始爆發，真的只是巧合嗎？

對於任何勒索病毒而言，都是最有可能被攻擊的「肥肉」：醫護人員很可能遇到緊急狀況，需要通過電腦系統獲取信息（例如病人記錄、過敏史等）來完成急救任務，這種時候是最有可能被逼無奈支付「贖金」的。
醫療信息與管理系統學會的隱私和安全總監Lee
Kim也解釋說，出於信息儲備過於龐大以及隱私考慮，「在醫療和其他一些行業，我們在處理這些（系統）漏洞方面確實會不那麼及時」。這也是為什麼科技領域普遍認為WannaCry幕後黑手的時機把握得非常巧妙，畢竟微軟更新MS17-010補丁還不到兩個月。從開發並釋放WannaCry人士角度來考慮這個問題，他們其實並不在乎具體要把哪個行業作為攻擊目標，因為他們的邏輯就是任何有利可圖的領域都是「肥肉」，都要上手撈一筆。所以他們確實並不是非要跟英國NHS過不去，只不過是好下手罷了。
個人電腦用戶被攻擊的比例比企業和大型機構低很多，這不僅僅是因為個人電腦打補丁比較方便快捷，也因為這樣攻擊不僅效率不高、獲利的可能也更小。WannaCry的運作機制，根本就是為區域網大規模攻擊而設計的。

這樣看來，前面提到的全世界其他受攻擊大型企業和組織，無論交通、製造、通訊行業，還是國內比較慘烈的學校，確實都是典型存在需要及時從資料庫調取信息的領域。

至於敲詐信息的語言問題，Wired在多方搜集信息後發現，WannaCry其實能以總共27種語言運行並勒索贖金，每一種語言也都相當流利，絕對不是簡單機器翻譯的結果。截至發稿前，WannaCry病毒的發源地都還沒能確認下來。
與其說WannaCry幕後是某種單兵作戰的「黑客」，倒不如說更有可能是招募了多國人手的大型團伙，並且很有可能「醉溫之意不在酒」。畢竟想要簡單撈一筆的人，根本沒有理由做出如此周全的全球性敲詐方案。

WannaCry在隱藏操作者真實身份這方面，提前完成的工作相當縝密。不僅僅在語言系統上聲東擊西，利用比特幣來索取贖金的道理其實也是一樣：杜絕現實貨幣轉賬後被通過匯入賬戶「順藤摸瓜」的可能。而且WannaCry的開發者早就有了一個范圍寬廣、長期作戰的策劃：「在情況好轉之前，它會先變糟糕的——相當糟糕。」（This』ll get worse—a lot worse—before it gets better.）
不過，在晚些時候，一位22歲的英國程序猿小哥就似乎「誤打誤撞」阻止了WannaCry的進一步擴散。

這位小哥在社交網路上的昵稱是MalwareTech（中文意思大概是「惡意軟體技術」，聽起來反而更像個黑客），阻止了WannaCry的進一步全球肆虐後，他在自己的博客上寫下了全過程，甚至英國情報機關GCHQ都在官網轉po了這篇博文。
MalwareTech本來應該在度假中，不過他還是迅速反應，找到了一份WannaCry軟體的樣本。閱讀代碼時，他發現了一個沒有被注冊過的域名，下面的代碼意思就是WannaCry在黑點電腦前的運行中會先試圖訪問該域名，如果訪問失敗就黑掉系統，如果成功則自動退出。

於是MalwareTech就把這個域名給注冊了。

在後來一些中文媒體的報道中，小哥的這一舉動被強調成是「突發奇想」或者「下意識」之舉。正是因為無效域名被注冊，後來被WannaCry感染的電腦都在訪問該域名時得到了肯定的返回值，於是沒有再鎖定信息、展開敲詐。
不過MalwareTech自己解釋卻不是這樣的。他在博客中寫道，注冊這個域名是他作為網路安全工作人員的「標准做法」（standard practice）。過去一年裡，遇到所有這樣短時間訪問量激增的無效域名，他都會將其注冊後扔進前面圖里提到的「天坑」（sinkhole）里，而這個「天坑」的作用就是「捕獲惡意流量」。

WannaCry樣本中域名，在昨天全球范圍攻擊開始後訪問量瞬間激增，此前卻沒有任何被訪跡象。

然而MalwareTech職業靈敏度，讓他開始考慮WannaCry是否會定期或在特請情況下修改程序中的無效域名，因為如果是這樣的話，僅僅注冊他所發現的這個域名就無法阻止未來襲擊。

即使軟體里沒有這樣的部分，開發者依然能夠手動升級WannaCry後再度把它傳播開來，所需要做的也就僅僅是替換一個新的無效域名而已。






還有一種更糟糕的情況：如果WannaCry程序中還有另一層自我保護機制，那麼無效域名的注冊很有可能導致目前所有被感染電腦自動為所有信息加密，無法復原。
為了排除後一種情況，MalwareTech乾脆修改了自己一台電腦的主機文件，讓它無法連接那個已經被注冊了的前無效域名。

電腦成功藍屏了。
MalwareTech寫道：「你可能無法想像一個成年男人在屋裡興奮得跳來跳去，原因竟然是自己電腦被勒索軟體搞失靈了。但我當時確實就那樣了。」測試結果表明，他的「標准做法」確實阻止了WannaCry的進一步傳播。

但是小哥親自警告：「這事沒完」
和某些信息平台熱炒MalwareTech「拯救了全世界」的梗不同，英國《衛報》和《英國電訊報》都在標題里明確告訴大家，小哥自己都已經作出警告：「這事沒完！」
域名被注冊後WannaCry的停止擴散，在他看來只是病毒製造者一個不夠成熟的自我保護機制。對方的真正意圖並非通過域名是否能連接上來「指揮」病毒的運行，而是通過這種方式判斷病毒是否被電腦安全高手捕獲。
一旦WannaCry運行時發現域名有反應，真實反應並不是「好心」地停止攻擊，而是避免自己被扔進「沙盒」（sandbox）安全機制被人全面分析，乾脆退出獲得域名響應的電腦系統。






MalwareTech雖然功不可沒，但他只是阻止了「比特幣病毒」現行樣本的擴散，但開發者也已經意識到了這項弱點，隨時可能用升級版勒索程序卷土重來。
當然，也不排除，此次勒索軟體的最終目的，不是真的想勒索，而是想展現給一些有不法分子查看這個病毒的威力，從而出售這個病毒給他們。如果真的是這樣的話，那麼接下來的日子，網路安全，將會面臨一個很嚴峻的挑戰。
此次勒索軟體威脅的不僅是個人用戶，還有眾多機構和企業。
因此提醒，所有網路用戶今後都應加強安全意識，注意更新安全補丁和使用各種殺毒工具。

5. 比特幣病毒的病毒作者

據路透社報道，「比特幣敲詐者」木馬家族的作者名叫艾維蓋尼耶·米哈伊洛維奇·波格契夫（Evgeniy Mikhailovich Bogachev），是一名俄羅斯黑客。
據美國聯邦調查局（FBI）官網顯示，波格契夫在FBI通緝十大黑客名單中排名第二，是某網路犯罪團體的頭目。
2012年8月22日，波格契夫以「幸運12345」的昵稱受到內布拉斯加州聯邦大陪審團多項指控，包括合謀進行銀行詐騙、計算機詐騙和身份信息盜取。2014年5月19日，他再次被美國法院指控其犯有計算機詐騙、銀行詐騙、洗錢、電信欺詐等多項罪名。2014年5月30日，他的昵稱「幸運12345」第3次受到起訴，被指控合謀進行銀行詐騙。
根據FBI的調查，波格契夫僅憑「終結者宙斯」木馬病毒以及「比特幣敲詐者」勒索病毒，就令12個國家超過一百萬計算機感染，經濟損失超過1億美元。
FBI對抓捕波格契夫提出了巨額懸賞。懸賞令顯示，提供關鍵信息導致波格契夫被拘捕者可獲得300萬美元的獎勵，這也是美國在打擊網路犯罪案件中所提供的最高懸賞金。
據介紹，木馬最開始支付比特幣的時候沒有使用匿名網路導致伺服器暴露，病毒作者身份隨之被查出。自波格契夫身份暴露後，「比特幣敲詐者」家族木馬的設計愈發狡猾，比特幣支付環節改在TOR（洋蔥網）上進行，這使得警方對波格契夫的抓捕更為困難。

6. 比特幣真的是騙局嗎

比特幣本身不是騙局，只有利用比特幣實施詐騙犯罪行為的才是騙局。比特幣是一種由開源的P2P軟體產生的電子貨幣，是一種網路虛擬貨幣，不依靠特定貨幣機構發行。法律並沒有明文規定比特幣違法，根據罪刑法定原則，比特幣並不違法，但不法分子可能利用比特幣從事犯罪。
【法律依據】
《中華人民共和國刑法》第三條法律明文規定為犯罪行為的，依照法律定罪處刑；法律沒有明文規定為犯罪行為的，不得定罪處刑。第十三條一切危害國家主權、領土完整和安全，分裂國家、顛覆人民民主專政的政權和推翻社會主義制度，破壞社會秩序和經濟秩序，侵犯國有財產或者勞動群眾集體所有的財產，侵犯公民私人所有的財產，侵犯公民的人身權利、民主權利和其他權利，以及其他危害社會的行為，依照法律應當受刑罰處罰的，都是犯罪，但是情節顯著輕微危害不大的，不認為是犯罪。

7. 數字貨幣社區必須利用區塊鏈技術以自我監督

數字貨幣社區必須利用區塊鏈技術以自我監督
對發生在區塊鏈上的非法行動進行自我監督，可能很快就會成為數字貨幣社區的必要條件。
未來每一天，數字貨幣愛好者很可能都得花時間去識別違法交易去避免這些事情發生。美國的財政部門已經做了決定且不可更改。
幾周以前，美國財政部門悄悄發布其在外國資產控制辦公室（OFAC）的網站上對於FAQs部分補充部分，該機構負責監管美國經濟制裁。OFAC中的語言，計劃把『數字貨幣』地址包括在其特殊指定國民和封鎖人員（SDN）名單上。
這將成為一件重大的事情。
銀行和各個類型的企業都應該檢查SDN名單，以確保他們沒有提供金融服務給個人、組織和因為涉及恐怖分子，核擴散，盜竊，人權侵犯以及其他罪行而美國指定為『封鎖』的政府。
銀行可以合法凍結屬於OFAC名單上的他們所持有的財產，以及停止他們的交易。如果不這樣實行的話，經濟處罰可能更嚴重。盡管大多日常數字貨幣的投資者對於受到法律限制制裁的世界只了解一點點，但是任何形式的金融商業的經營者們都知道的，如果你不服從法律管理，你瞬間就可能會失去商業和財產。
以前從來沒有過一個特定的數字貨幣地址或者財產會被列入OFAC的行列，盡管法律專家這么多年來一直都明白，發送比特幣或者其他的數字貨幣給任何SDN名單上的任何人對美國人來說都會非法行為。
不過，在金融世界中的封閉資金，和可存在於數字貨幣領域的是有很大區別的。對等數字貨幣交易不能被第三方封鎖和監管。
所以一個OFAC指定的數字貨幣資金更可能會帶來它的外部地址的審查，而並非是指定資金本身。
一些數字貨幣產業的專家認為，數字貨幣資金的指定會迎來一個新的時代；這取決於他們與SDN地址的關聯程度，一個令牌被歸類為干凈的，被污染的或者是未知的時代。
這可能引起同一個區塊鏈上，硬幣的價格水平不同高低，干凈的令牌會比那些被污染過的或者說不明來源的令牌價格要高，以及終結自從數字貨幣存在以來就有的可替代性。
第一是可以期待區塊鏈取證工具價值將越來越高，以及越來廣泛的開展，因為數字貨幣交易旨在減少用戶交易污染貨幣的風險。
這取決於你
然而，一個新的時代最重要的一部分是由金融機構審查數字貨幣交易地址，這將是數字貨幣社區自己必須要做的事情：例行阻止區塊鏈上的非法交易。
這是數字貨幣社區不想聽到的事情。
數字貨幣專家經常指出『審查制度的阻力』作為技術的最具有價值的特徵，它可以讓任何人在沒有任何政府權利限制的情況下去存儲並發送資金。從理論上來講，這對於自由和民主都是非常強有力的推動。
在實踐當中，這種技術能力在大多數與金融犯罪相關的管轄范圍內的法律中都是不可能延展的。雖然逃避腐敗政府的行為是一個很值得的目標，數字貨幣社區應該意識到，保持被動在道德上不被接受的，然而犯罪分子和恐怖分子利用社區自由的證據越來越多。
近年來，反洗錢（AML）合規專家專注於區塊鏈行業的行為，鼓勵數字貨幣企業去超越傳統金融機構所需要的『了解你的客戶』（KYC）盡職調查，以及通過改變區塊鏈上的數據來進行『了解你的交易』（KYT）分析。
有很多初創企業專門從事這種區塊鏈取證工作，與其他執法機構和大型銀行的企業客戶一起，進行數字貨幣交易。這些公司的分析工具用來對抗犯罪是十分有效的，但是很多區塊鏈社區的聲音對這種工具進行批評--------說它會匿名化區塊鏈上的金融交易----去破壞隱私。然而，來自區塊鏈取證上大部分的信息都不是公開與大眾的。通常，需要一個公司或者政府客戶來訪問這種數據。
但是，OFAC列出數字貨幣地址就會增加KYT分析的風險。
這將對每一個涉及數字貨幣交易的人來說都十分重要，這可以讓他們驗證他們所觸及的地址的『合法性』。
雖然很可能指定地址的數量將會從最小開始（OFAC不會輕易指定地址），甚至是違反制裁的機會很小的會帶來順從風險降低，影響到百姓群體的令牌買家。
一個與被禁止的地址或者該地址已經被一個禁止的地址進行交易的不經意的交易，將會在公共區塊鏈賬本上可見，可能也會玷污到這個人的數字貨幣資金。
能夠幫助數字貨幣的日常用戶走出受到SDN影響的區塊鏈平台的唯一辦法就是擁有實時AML/KYT去洞察各種資金地址的資金流動。可以當前的處境來看，區塊鏈分析只是在筒倉當中，只是提供給金融公司和法律部門使用，所以這個辦法是根本不可能去實現的。
集中式的AML
我們需要一個開放資源的平台，在這個平台，非法活動被標記，詆毀信息被審查。我們把它叫做區塊鏈上的集中式AML。
我理解這個需求。作為一個非營利國家安全智囊團中的研究人員，我調查了數字貨幣和非法融資的事件，例如中東的比特幣恐怖分子資金活動。我們的團隊使用了免費公開的區塊鏈探索網站，來分析這些活動的捐贈。
這些工具不像政府跟銀行這種機制，可以使用昂貴的專門機器學習和演算法工具那麼的厲害。即使我通過嚴密的手動追蹤和區塊鏈活動的分析，我所看到的標志地址與恐怖分子資金交易，並沒有一個有效的方法去分享我在平台上的發現，所以日常的數字貨幣使用者們可以看見我的『標志』，盡可能的去評估他們的准確性並保持他們的地址不受到污染。
該行業可以幫助解決問題
兩年前，我建議數字貨幣專家應該建立他們自己的看門口小組，來尋找區塊鏈上的惡略活動，就類似於『白帽子』黑客是如何標志病毒和其他網路威脅的一樣。財政部門的計劃使現在對於數字貨幣社區最重要的來說，就是建立自我監督的倡導。
除了集合OFAC的黑名單以外，一個公開的眾包區塊鏈AML工具可以解決直接影響到數字貨幣用戶們的非法金融威脅：數字貨幣搶劫。這會讓勒索或者交易黑客的受害者們去自願列出他們敲詐或者被偷的令牌。
雖然這並不會將資金轉回到他們合法持有者的手中，但它會讓轉移或者偷盜硬幣的這種行為更為困難，並會長期影響數字貨幣偷盜行為。
當然，對於一個可以自我監督的AML平台來說，必須要有一個方法來審查列表，這樣的話，不精準的和一些非法的信息就不會被發不出去。否則，這樣的工具會被濫用於錯誤篡改地址，然後在經濟上迫害無辜的人們。但是在區塊鏈平台上實行AML是一個更具有技術性的解決問題的方法，而不是找理由拒絕去尋求一個更好的方法。
第一個區塊鏈的協議，比特幣的突破，是在設計分散性方法來激勵陌生人們去完成和肯定全球公共金融記錄的真實性。
當然，數字貨幣令牌在所有的注意力，時間，以及金錢的投資到一個新的產品和服務的基礎上，那些開發這個技術的人，應該能夠設計出方法來鼓勵保持區塊鏈的干凈，不受玷污。

8. 比特幣為什麼遭遇多國監管高壓

近日，德國財政部長彼得·阿爾特邁爾和法國財政部長布魯諾·勒梅爾在巴黎聯合舉行新聞發布會，表示將在今年阿根廷舉行的二十國集團峰會中聯合推動全球對比特幣的監管，將警告這一世界最流行的加密貨幣正在被非法團體利用。

比特幣的監管問題很有可能成為今年二十國集團峰會的新議題。勒梅爾就多次表示，他將提議在二十國集團峰會上討論比特幣的問題，對於投機風險，成員國都需要一起討論管理比特幣的規制。美國財政部長姆努欽日前也表示，他將與二十國集團合作，防止比特幣等加密貨幣成為匿名瑞士銀行賬戶的數字等價物。

專家建議，二十國集團和一些國際性的金融機構應加快制定相關原則和准則，為各國建立相協調的監管政策提供案例和遵循。同時在監管方面實現全球協同，共同打擊非法的加密貨幣交易和犯罪。