龔蔚

鳳凰科技訊（作者/白楊）上周五開始爆發的勒索病毒WannaCry，目前仍在發酵。今天上午，有著中國黑客教父之稱的WiFi萬能鑰匙首席安全官龔蔚就此事撰寫了一篇文章。

龔蔚在文章中介紹了疑為美國國家安全局編制內的“方程式”組織，稱他們擁有這個世界最先進的網絡攻擊手段及網絡攻擊組織能力。而一個月前，名為影子經紀人的黑客團隊攻破了該組織的網絡大門，并竊取了大量信息。

龔蔚強調，這次出現的勒索病毒幾年前就已經存在，這次主要是因為勒索軟件借助之前方程式組織泄露的高級漏洞可以自動傳播入侵，一下子將勒索軟件傳播的效率指數倍的提高，所以導致毒勒索軟件事件大規模發生。

龔蔚認為，抓到影子經紀人核心團隊要到密碼是解開文件的唯一辦法。這次病毒擴散如此之廣主要是因為利用了泄露漏洞，從技術上看并不難。

另外，他建議，受到勒索的企業和個人不要付費，否則結果一定會是收到更多的勒索。

龔蔚英文名Goodwell，有中國黑客教父之稱。是綠色兵團創始人、COG發起人。

以下是龔蔚撰寫的全文：

勒索病毒之問：是誰打開了潘多拉的魔盒

5月12日，一次迄今為止最大規模的勒索病毒網絡攻擊席卷全球。這種勒索病毒名為WannaCry（及其變種），全球各地的大量組織機構遭受了它的攻擊。這一切的一切要從一個叫“方程式組織”說起。

早在幾年前，多家安全研究機構及安全實驗室對一些重大的網絡犯罪行為及重大的網絡病毒進行跟蹤分析后，發現所有的這些病毒樣體及攻擊源頭都指向了一個叫做方程式組織（Equation Group）的機構。

根據當時掌握的信息，這個組織規模龐大資金充足，并擁有足夠的調用互聯網資源的能力。追蹤發現，全世界至少有42個國家的幾百個惡意軟件和這個組織有關。從2001年到現在，“方程式組織”已經在伊朗、俄羅斯、敘利亞、阿富汗、阿拉伯聯合大公國、香港、英國、美國等全球超過30個國家感染了數千個，甚至上萬個受害者。

隨著調查的繼續，猶如美國大片一樣撥開層層迷霧，最終這個神秘組織初露端倪，雖然到目前為止沒有公開的證據足以證明，但很多線索告訴我們，他和美國國家安全局有密不可分的關系，甚至有部分美國國家安全局的代號編碼被收入在這個組織的軟件代碼中，通過代碼時間戳的行為習慣分析這個組織一般只在周一到周五編寫代碼，更像某種商業機構或政府企業，種種分析這個叫做“方程式”的組織或許就是美國國家安全局編制內的一個機構，亦或是提供美國國家安全局網絡攻擊武器的軍火商。總之這個組織擁有這個世界最先進的網絡攻擊手段及網絡攻擊組織能力。

大概在一個月前，有個叫影子經紀人的黑客團隊攻破了方程式組織的網絡大門，竊取了大量的內部信息，同時“影子經濟人”希望方程式組織支付只夠多的費用（要價100萬美金比特幣）用于贖回被竊取的內部資料，看上去這一切就像是黑吃黑。影子經紀人的黑客團隊為了證明自己的確攻破了方程式的大門，隨后在網上公布了他們武器庫的一部分資料。

當資料被公布的那一刻，全世界網絡安全的人員驚呆了，這個武器庫如此之強大，就好像給你展示了一個時空穿越機器，而且這個機器可能是他的實驗室里眾多的設備之一，而且這東西可能人家很多年前就有了，擱在那都積灰了的陳舊設備。

鋪墊了這么多才開始說正事，回到我們這次大規模爆發的勒索軟件，其實勒索軟件早在幾年前就存在，且每年成上升的趨勢，之前的勒索軟件主要傳播的途徑是通過一些仿冒郵件的方式，而這次勒索軟件主要依賴之前方程式組織泄露的高級漏洞可以自動傳播入侵，一下子將勒索軟件傳播的效率指數倍的提高，所以導致毒勒索軟件事件大規模發生。

最后說幾個自己的看法，如果沒有影子經紀人披露的“方程式"武器庫（網絡漏洞庫），如果搭載這些高級漏洞的也不是勒索軟件，作為全世界唯一擁有這個秘密的美國國家安全局是否會搭載一些其他的程序（例如情報收集）？影子經紀人公布的只是一小部分武器庫，現實世界美國國家安全局是否已經全面部署了這種全世界情報獲取的方式？這一切的一切不是遐想，只是他會不會這么做，是不是已經做了。

方程式入侵事件后美國公民自由聯盟律師在聲明中稱：“這些攻擊事件彰顯了一個事實：網絡安全漏洞不僅會被我們的安全機構利用，也會被世界范圍內的黑客和犯罪分子利用。”

而今天發生大規模勒索事件后，我很想再把這句話倒過來說一下“網絡安全漏洞不僅會被黑客和犯罪分子利用，也會被安全機構用來作為全世界爭奪網絡空間控制權的武器。”

目前來看，抓到影子經紀人核心團隊要到密碼是解開文件的唯一辦法。這次病毒擴散如此之廣主要是因為利用了泄露漏洞，從技術上看并不難。國內也有類似的黑客勒索，不排除會利用這次泄露的漏洞。建議受到勒索的企業和個人不要付費，否則結果一定會是收到更多的勒索。