啥病毒？我有360 -路人甲
辣雞，我用win10自帶的殺毒 -路人乙
？ -360

提要

對(duì)于知識(shí)，不同的人的有不同的看法，有的人點(diǎn)到為止，有的人吹毛求疵。本人長(zhǎng)期關(guān)注安全圈并參與某些活動(dòng)，因此本文會(huì)以一個(gè)安全愛(ài)好者的身份為大家?guī)?lái)一個(gè)不一樣的解析。

名詞介紹

棱鏡計(jì)劃

棱鏡計(jì)劃（英語(yǔ)：PRISM）是一項(xiàng)由美國(guó)國(guó)家安全局自2007年開(kāi)始實(shí)施的絕密級(jí)電子監(jiān)聽(tīng)計(jì)劃。該計(jì)劃的正式名稱為“US-984XN”。
國(guó)家安全局在PRISM計(jì)劃中可以獲得的數(shù)據(jù)電子郵件、視訊和語(yǔ)音交談、影片、照片、VoIP交談內(nèi)容、檔案?jìng)鬏敗⒌侨胪ㄖ?，以及社交網(wǎng)絡(luò)細(xì)節(jié)。
2007年和2008年，美國(guó)政府曾威脅雅虎：如果雅虎不按照美國(guó)國(guó)安局（NSA）的棱鏡計(jì)劃要求，向其繳交網(wǎng)站的使用者資料，那么將受到政府每日25萬(wàn)美元的罰款處罰。
美國(guó)國(guó)家情報(bào)總監(jiān)James Clapper發(fā)布了一份聲明，證實(shí)了美國(guó)政府在長(zhǎng)達(dá)近六年的時(shí)間里一直以保衛(wèi)國(guó)家安全為由，利用諸如Google和Facebook等大型互聯(lián)網(wǎng)服務(wù)公司收集位于美國(guó)境外的外國(guó)人的信息。

特定入侵行動(dòng)辦公室

特定入侵行動(dòng)辦公室（英語(yǔ)：Office of Tailored Access Operations）是美國(guó)國(guó)家安全局其中一個(gè)部門，主要工作是收集其他國(guó)家的電腦信息，大約在1998年設(shè)立。國(guó)家安全局稱其為“電腦網(wǎng)絡(luò)的非法利用”。

方程式組織

方程式組織（英語(yǔ)：Equation Group）是一個(gè)十分先進(jìn)而隱秘的計(jì)算機(jī)間諜活動(dòng)團(tuán)體，計(jì)算機(jī)安全專家Claudio Guarnieri和一位匿名前情報(bào)組織成員懷疑其與美國(guó)國(guó)家安全局（NSA）有所關(guān)聯(lián)。Equation Group是由卡巴斯基實(shí)驗(yàn)室命名，命名的原因是該團(tuán)體在間諜活動(dòng)中喜好使用復(fù)雜的加密算法和混淆策略?？ò退够赋?，該團(tuán)體的惡意軟件已感染起碼42個(gè)國(guó)家的各類設(shè)備。

影子經(jīng)紀(jì)人
影子經(jīng)紀(jì)人（英語(yǔ)：The Shadow Brokers，縮寫：TSB）又名影子掮客，是2016年夏季出現(xiàn)的一個(gè)黑客組織，發(fā)布了包括美國(guó)國(guó)家安全局的黑客工具在內(nèi)的數(shù)個(gè)漏洞，其中包括數(shù)個(gè)零日攻擊。這些漏洞針對(duì)企業(yè)防火墻、殺毒軟件和微軟軟件。影子經(jīng)紀(jì)人稱這些漏洞來(lái)自與美國(guó)國(guó)家安全局特定入侵行動(dòng)辦公室有關(guān)的方程式組織。其中EternalBlue工具包含的0day漏洞（MS17-010）被用于WannaCry蠕蟲(chóng)攻擊。

MS17-010
Microsoft 安全公告 MS17-010 - 嚴(yán)重
Microsoft Windows SMB 服務(wù)器安全更新 (4013389)
發(fā)布日期：2017 年 3 月 14 日
執(zhí)行摘要
此安全更新程序修復(fù)了 Microsoft Windows 中的多個(gè)漏洞。如果攻擊者向 Windows SMBv1 服務(wù)器發(fā)送特殊設(shè)計(jì)的消息，那么其中最嚴(yán)重的漏洞可能允許遠(yuǎn)程執(zhí)行代碼。

永恒之藍(lán)
永恒之藍(lán)（英語(yǔ)：EternalBlue）是美國(guó)國(guó)家安全局開(kāi)發(fā)的漏洞利用程序，于2017年4月14日被黑客組織影子掮客泄漏。
盡管微軟于2017年3月14日發(fā)布操作系統(tǒng)補(bǔ)丁修補(bǔ)了這個(gè)漏洞，5月12日WannaCry勒索軟件利用這個(gè)漏洞傳播時(shí)，很多Windows用戶仍然沒(méi)有安裝補(bǔ)丁。
由于WannaCry的嚴(yán)重性，微軟于2017年5月13日為已超過(guò)支持周期的Windows XP、Windows 8和Windows Server 2003發(fā)布了緊急安全更新，以阻止WannaCry的傳播。

勒索軟件
勒索軟件是一種特殊的惡意軟件，又被人歸類為“阻斷訪問(wèn)式攻擊”（denial-of-access attack），其與其他病毒最大的不同在于手法以及中毒方式。其中一種勒索軟件僅是單純地將受害者的電腦鎖起來(lái)，而另一種則系統(tǒng)性地加密受害者硬盤上的文件。所有的勒索軟件都會(huì)要求受害者繳納贖金以取回對(duì)電腦的控制權(quán)，或是取回受害者根本無(wú)從自行獲取的解密密鑰以便解密檔案。勒索軟件通常通過(guò)木馬病毒的形式傳播，將自身為掩蓋為看似無(wú)害的文件，通常會(huì)通過(guò)假冒成普通的電子郵件等社會(huì)工程學(xué)方法欺騙受害者點(diǎn)擊鏈接下載，但也有可能與許多其他蠕蟲(chóng)病毒一樣利用軟件的漏洞在聯(lián)網(wǎng)的電腦間傳播。

WannaCry
WannaCry是一種利用NSA的“永恒之藍(lán)”（EternalBlue）漏洞利用程序通過(guò)互聯(lián)網(wǎng)對(duì)全球運(yùn)行Microsoft Windows操作系統(tǒng)的計(jì)算機(jī)進(jìn)行攻擊的加密型勒索軟件兼蠕蟲(chóng)病毒（Encrypting Ransomware Worm）。該病毒利用AES-128和RSA算法惡意加密用戶文件以勒索比特幣，使用Tor進(jìn)行通訊，為WanaCrypt0r 1.0的變種。

比特幣
比特幣（英語(yǔ)：Bitcoin）是一種用去中心化、全球通用、不需第三方機(jī)構(gòu)或個(gè)人，基于區(qū)塊鏈作為支付技術(shù)的電子加密貨幣。

時(shí)間回溯

如果你已經(jīng)對(duì)上面的名詞有了一定的了解，那么我們按照事件線的順序?qū)κ录鲆粋€(gè)完整的回溯。

1998年，美國(guó)安全局成立主要工作是收集其他國(guó)家的電腦信息的特別入侵小組
2007年，美國(guó)安全局實(shí)施棱鏡計(jì)劃
2015年，卡巴斯基發(fā)布了關(guān)于方程式組織的調(diào)查報(bào)告，該組織被懷疑為美國(guó)安全局旗下的國(guó)家級(jí)黑客組織
2016年，影子經(jīng)紀(jì)人發(fā)布了數(shù)個(gè)與美國(guó)安全局有關(guān)的漏洞以及攻擊工具，其中包含eternalblue永恒之藍(lán)漏洞信息
2017年3月14日，微軟對(duì)所有在生命周期內(nèi)的系統(tǒng)發(fā)布了針對(duì)永恒之藍(lán)MS17-010的補(bǔ)丁4013389
2017年4月14日，微軟修復(fù)漏洞的行為引起了影子經(jīng)紀(jì)人的不滿，eternalblue相關(guān)利用工具被全部放出。
2017年5月12日，WannaCry勒索軟件爆發(fā)
2017年5月13日，微軟發(fā)布了對(duì)已經(jīng)過(guò)了生命周期的系統(tǒng)，包括xp win8 2003的緊急安全更新補(bǔ)丁，以阻止WannaCry的傳播

疑難解答

永恒之藍(lán)是什么玩意？
永恒之藍(lán)是一個(gè)針對(duì)微軟smb文件共享服務(wù)的漏洞利用工具，該漏洞編號(hào)為ms17-010，補(bǔ)丁編號(hào)為4013389.

勒索病毒跟比特幣有關(guān)系？
永恒之藍(lán)比特幣勒索病毒實(shí)際上只是一個(gè)利用永恒之藍(lán)工具傳播的勒索病毒，而比特幣僅僅是贖金的支付手段

win7是否更脆弱？
我們不難看出，win7的補(bǔ)丁已經(jīng)在勒索軟件爆發(fā)的前兩個(gè)月，永恒之藍(lán)利用工具發(fā)布的前一個(gè)月就已經(jīng)發(fā)布。
而病毒爆發(fā)的直接原因是win7的系統(tǒng)更新被手動(dòng)關(guān)閉了

win10是否受影響？
如果不打補(bǔ)丁，那么以下版本的win10將受影響
win10 正式版 x86 x64全部版本
win10 1511 x86 x64全部版本
win10 1607 x86 x64全部版本
因此win10免疫勒索病毒，實(shí)際上只是win10自動(dòng)更新已經(jīng)修復(fù)了ms17-010漏洞。win10并沒(méi)有對(duì)勒索軟件的免疫能力。

國(guó)內(nèi)xx衛(wèi)士的修復(fù)工具怎么來(lái)的？
國(guó)內(nèi)xx衛(wèi)士針對(duì)xp的修復(fù)工具僅僅是通過(guò)防火墻關(guān)閉了smb協(xié)議的通訊，跟修復(fù)完全扯不上關(guān)系

總結(jié)
如果真相很復(fù)雜，人們就不會(huì)去關(guān)心。在網(wǎng)絡(luò)上依然大量流傳諸如win7不安全，win10免疫勒索病毒等錯(cuò)誤的說(shuō)法。我不能改變所有人，但我希望看到文章的你，能了解到真相，僅此而已。