酷玩实验室原创作品

7月19日,全世界约850万台安装了Windows系统的电脑,集体陷入蓝屏死机。

事出突然,美国加拿大澳大利亚英国日本等多个国家的航班停飞手术中断物流卡顿,乱成了一锅粥。

恰逢周五,打工人们面对突然罢工的生产力工具,空气中都弥漫着悲伤的气氛。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

事故的原因很简单,总部位于美国的云端安全服务供应商CrowdStrike更新了自家的防病毒软件,结果和Windows系统发生了冲突,导致了这一波大规模的蓝屏重启。

朋友问我,为什么国内的微软系统没事啊,难不成我们真是天选打工人?

很简单,咱们有自己的安全杀毒软件。

可能现在很多人都不知道杀毒软件为何物了,但在21世纪初,电脑病毒还是非常普遍的存在。

你在深夜偷偷打开的小网站,邮箱里莫名其妙的中奖链接,以及看起来绿色无害的软件下载网页,都可能暗藏端倪。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

ILOVEYOU病毒蠕虫病毒熊猫烧香冲击波木马……几乎每种病毒都感染了数以百万计的电脑,在全球造成大规模破坏。

但某一天,肆虐全球互联网的病毒,突然就销声匿迹了。

2004年,中国计算机用户病毒感染率为87.9%,按当时我国5299万台的PC总量来算,就是4600多万台电脑中毒。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

到2016年,猎豹移动安全实验室的报告显示,全年捕获病毒样本总量为3952万个,相比起2015年的1.046亿个,直接减少62.2%;360公司也得出了类似的结论,他们拦截的病毒攻击同比2015年下降26.7%。

而《2020年中国互联网网络安全报告》的数据显示,当年我国中毒电脑总数为534万台,不管是绝对数量还是比例,都大幅下降。

电脑病毒,到底是如何出现的?又为什么消亡了?

01:炫技

1982年,《时代》杂志的“年度风云人物”榜上,出现了一个新鲜玩意儿:

个人电脑。

这一年,微型计算机开始进入美国家庭,技术浪潮之下,英特尔IBM微软索尼一派勃勃生机万物竞发,而15岁的高中生里奇·斯克伦塔(Rich Skrenta)也闲来无事,编写了一段针对苹果计算机的病毒程序Elk Cloner。

说是病毒,Elk Cloner其实更像一种熊孩子的恶作剧。

当时,很多人都习惯共用软盘安装系统程序,斯克伦塔将Elk Cloner存在软盘上,一旦计算机启动,程序会自动拷贝到其它未感染的软盘中,像病毒一般传播。

被感染的电脑每启动50次,屏幕就会突然跳出一段绿莹莹的话:

警告,此处Cloner出没,它会像胶水一样粘着你。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

好比千禧年流行过一段时间的那种“不要打开这个邮件,里面有你想象不到的内容。”

等你打开想一探究竟,屏幕那头冷不丁会会冒出一个眼睛冒血披头散发的贞子,伴随着恐怖的音效蹿到跟前,吓人一跳。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

斯克伦塔拿着Elk Cloner到处霍霍同学老师,本质上就是炫技,杀伤性不大,烦人性极强。

但当恶作剧触及到利益,利害便开始升级。

1987年,一对巴基斯坦兄弟开了一家公司,主要是卖电脑和软件。

本来是好事一桩,奈何当时盗版软件横行,俩人吭哧哼哧编写的程序,老是被人白嫖,一气之下,干脆搞了个「大脑病毒」,植入自己原创的软件。

一旦有人盗版,病毒就会发作,占据磁盘的剩余空间,导致电脑运行速度严重拖慢。

怎么办呢?

兄弟俩贴心地在病毒弹窗中放上了自己的电话号码,小样,来求我啊。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

盗拷软件的人没办法,只能付费请两人修电脑,并乖乖安装正版软件。

有病毒,自然就有杀毒。

站在厂商的角度,我卖电脑程序的,高科技产品,动辄被病毒干扰,我不要面子的吗?

于是计算机在“出厂设置”阶段就加入了防御措施,拿Windows 3.0来说,微软开启了保护模式和保护环的概念,让自己的系统内核以及设备驱动拥有比应用程序更高的权限。

每当病毒发作,官方系统就可以凭借更高权限,来个“官大一级压死人”,直接给你灭了。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

这又激起了技术自由主义的胜负欲——人写的代码,肯定有漏洞,我就专门找这些系统漏洞绕过防御,发动攻击。

1999年爆发的CIH病毒,就利用了Windows95/98系统中的检测漏洞。

它非常狡猾地将病毒本体分成了好几个部分,然后隐藏到不同的运行程序下。由于拆分的数据过小,系统感知不到内存变大,就会当作统计误差给忽略掉,自然无法阻止病毒发作。

CIH病毒感染之后,会直接覆盖掉磁盘上的关键信息造成蓝屏,甚至会破坏BIOS,重装都不好使,还可能直接损坏硬件。

据统计,CIH病毒感染了全球数百万台电脑,造成的损失超过10亿美元。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

感染CIH后的蓝屏界面

2006年末,熊猫烧香病毒又席卷中国,感染了几百万台电脑。

它利用Windows的漏洞跟exe程序捆绑在一起,只要运行就会释放病毒,不仅会破坏所有的exe程序,将图标变成熊猫,还会删除掉后缀为gho的备份文件,让电脑无法还原。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

当时的Windows还存在一个共享漏洞,局域网中的计算机缺乏隔离。

熊猫烧香也利用了这个漏洞,很多网吧计算机教室企业机房,只要有一台电脑感染,其余的电脑全部在劫难逃。

02:猫鼠游戏

厂商这边肯定不能坐以待毙。

这边黑客们发现漏洞制造病毒,那边厂商就打起补丁补上窟窿。

90年代末,计算机巨头相继建立了专门的安全部门,每天高强度盯着全球各地爆发的病毒,分析这个病毒利用了哪个漏洞,然后光速推出相应的系统补丁。

你来我往,修修补补,宛如一场猫鼠游戏。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

只不过,这个补丁有个巨大的bug——得花钱。

用户需要自己购买对应的软盘或者光盘来安装,要么就得去官网下载安装,比较麻烦,很多人都不愿意折腾。

像是熊猫烧香,在安全专家眼中根本没什么技术含量,它利用的漏洞,微软早在一年前就发布了修复补丁。

但就像你会选择性忽视系统更新一样,不到不能用,谁会去管那个更新提示啊。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

中国信息协会

等到真的不能用了,用户的第一反应也是找官方解决——呼叫人工客服,我要投诉。

在吃瘪无数次之后,巨头们终于想到了,还是给用户老爷们现成的吧。

直接在系统里推送更新包,自动解压自动安装,只要连了网就可以快速打补丁,这种思路的典型代表产物就是Windows Update。

Windows Update上线后,微软固定每星期二向用户推送补丁,修复最新发现的安全漏洞,如果出现重大威胁,则补丁制作完成就立即推送,Adobe甲骨文等也纷纷效仿这种制度,因此业内出现了一个梗——“补丁星期二”。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

线上推送补丁的出现,让病毒泛滥的时间窗口大大缩短了,很多新病毒刚刚开始传播,还没来得及出现在我们眼前,就在下个星期二灰飞烟灭。

与此同时,厂商对于权限的控制,也越来越严格。

喜欢捣鼓手机的人都知道,要玩透iPhone,必须得越狱,而安卓机则需要root,其原因在于,iOS和安卓有大量的高级权限不对应用程序开放,必须要破解系统才能绕开限制。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

PC端也是同样的道理。早年的Windows主要采用黑名单机制,拒绝一些特定恶意程序的使用权限。

不过随着猫鼠游戏升级,威胁增加,Windows逐步改为了白名单机制,白名单内就是值得信任的homie。

而对于不受信任的来源发布者未知的程序,全部一刀切,在用户手动确认前,系统不会给予任何权限。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

这样一来,只要用户还没有莽到一路开绿灯,病毒基本上就没机会作乱。

厂商的补丁和黑名单,多数时候是为了抵御已知的病毒,还有一些漏网之鱼该怎么办?

这就需要杀毒软件了。

早在1989年,世界上就诞生了首个杀毒软件「迈克菲」,历史几乎跟电脑病毒一样悠久。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

今天的网络红人雷军,90年代初期也是靠编写杀毒软件,赚到了人生的第一桶金。后来知名的金山毒霸,同样出自雷军之手。

与金山毒霸齐名的杀毒软件,还有小红伞诺顿瑞星江民360杀毒……

其中必须提一嘴的,就是这个江民杀毒软件。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

早期杀毒软件的基本原理,是收集病毒最有特征的部分代码。如果扫描到某个程序或者文件中包含这些代码,就清除或者隔离开。

这种模式就是所谓的“特征码”。

“特征码”就像给系统打补丁一样,需要预先“认识”病毒特征,对新冒出来的病毒下不了手,时效性比较差。

而江民科技采用了一种名叫广谱特征码的方法。因为他们发现,网络上流行的海量病毒,大多是某几种病毒的变体,只要提取这些病毒共有的那部分特征码,也就是广谱码,拿一个码通杀一个大类电脑病毒。

如果未来出现新的变体,不用更新数据库就能查出病毒。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

(江民科技创始人王江民)

那这些海量病毒从哪里来呢?

瑞星金山360等杀毒软件,搞了一个实时更新的病毒数据库,不同病毒的特征码能快速到达每个终端,联合击杀。

要是特征码越攒越多,占用过多内存怎么办?

大伙儿又搞了个云查杀功能。杀毒软件会把可疑文件的特征和行为模式,汇报到云端的服务器,让服务器分配更多资源调用更多特征库进一步确认,或者检索下中同样的文件是否破坏了其它用户的电脑,避免错杀或者错放。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

此后,杀毒软件又相继引入了沙盒机制,它会创造一个模拟的系统,把可疑的程序放进去运行,看看它会干什么。很多傻乎乎的病毒就这么信以为真,在模拟的环境中大搞破坏,然后就原形毕露了。

猫都学会骗耗子了,这还怎么玩?

03:根本问题

实际上,不管是早期的炫技,还是后来的猫鼠游戏,病毒的出现,本质上还是背后的人在操纵。

而伴随着电脑的普及,病毒带来的影响,也在日趋严重。

所以,要解决病毒,更高效的方法是解决制作病毒的人。

CIH病毒爆发仅仅四天之后,它的编写者,中国台湾黑客陈盈豪,就被警方逮捕。由于当时台湾省法规中不存在关于制作电脑病毒的处罚,陈盈豪没有被起诉。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

不过发布熊猫烧香的李俊就没有这么幸运了,他因为熊猫烧香病毒非法获利10万多,喜提破坏计算机信息系统罪,被判处有期徒刑四年。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

进入21世纪后,世界各国普遍加大了对电脑病毒制作散播者的打击力度,没有法条可依,那就立法,没有执法部门管这事,就创建一个新的部门。

在中国,这个部门就是公安部网络安全保卫局。在2018年的净网行动中,他们组织侦破网络犯罪案件5.7万起,抓获犯罪嫌疑人8.3万多人。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

(人民公安报)

互联网不是法外之地,瞎搞病毒是要牢底坐穿的。

不是,你当黑客的,都没法隐藏自己的身份吗?

可以是可以,但黑客总是想收钱的吧,钱能追查到吧。

而且,财大气粗的巨头厂商们,也开始向黑客们“招安”了。

系统上线之前,广请天下英雄来查找漏洞,发现一个,真金白银地打赏。

好比梁山好汉招安,一边是胆战心惊地犯罪,一边是光明正大地赚钱,就问你干不干。

仅2021年一年,微软就给46个国家的335名黑客,发放了1370万美元的漏洞赏金,其中最大的一笔奖励高达20万美元,算成人民币都超百万了。同一时间,苹果也给出了总共100万美元的赏金,而谷歌现在已经把单个漏洞的赏金提高到了15万美元。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

很多原本潜藏在暗处的黑客,因为发现关键漏洞,得到了巨头的赏识,甚至跳过寒窗苦读艰难求职阶段,当场入职世界五百强企业,成为安全团队的一员,靠本事赚钱,还有了个更酷的Title——白客。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

2017年腾讯安全团队中的白客攻破特斯拉的防御,震惊全球

左手大棒右手胡萝之下,针对个人的电脑病毒日渐式微,进一步导致了杀毒软件的凋零。

十几年前,一套杀毒软件要价两三百元,有些杀软订阅数据库更新还需要持续付费,否则就不能防御最新的病毒。

在针对个人计算机的攻击逐渐减少后,杀毒软件市场迅速萎缩。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

大家纷纷调整战略,360率先推出了免费模式,个人用户不需要付一分钱就可以享受保护,2010年,金山也宣布免费,半年之后,瑞星跟进,对个人用户免费。

2014年,微软又亲自下场,在新推出的Windows10操作系统中,内置了免费的杀毒功能Windows Defender,用户实际上不用再额外安装杀毒软件,就能抵御大部分威胁。

在残酷的竞争中,大批杀毒软件走向没落,江民金山毒霸从火遍全国到无人问津,连瑞星这个曾经的行业龙头都已经销声匿迹,桌面角落打瞌睡的小狮子,留在了大家的回忆里。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

幸存下来的企业,也走上了曲线赚钱的路。

像360,就是通过各种弹窗广告捆绑安装软件修改用户首页搜索页面……等来收取广告费和渠道费,填上利润的窟窿。

这些收入,占了360总营收的一半以上。

曾经的勇士似乎变成了“恶龙”,所谓“一切早已暗中标好了价格”,可能就是如此吧。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

尾声:威胁消失了吗?

随着监管下场,厂商与杀毒软件的三方合力,针对个人电脑的攻击,变成了一桩没有“性价比”的生意。

你费劲吧啦黑了一台电脑,发现对方账户里钱还不够喝杯奶茶,图啥呢。

于是,黑客们不再对低价值的个人电脑大开杀戒,而是用病毒集中攻击高价值的企业机构电脑,锁死其中的宝贵的数据,进而勒索企业,赎金也用比特币支付,难以追踪去向,执法者束手无策。

其中典型,就是WannaCry。

在WannaCry第一波攻击中,英格兰/苏格兰的医疗系统瘫痪,不久之后,日产和雷诺的欧洲工厂也被WannaCry击溃,再接着就是西班牙联邦快递德国铁路波音公司台积电……

相比起感染百万电脑的CIH和熊猫烧香,“仅仅”瘫痪了20万电脑的WannaCry,却造成了40亿美元的损失,这还没有算上各大企业机构支付的赎金,毕竟他们要么急于恢复系统,要么就是保存了珍贵的商机机密,被撕票就麻烦大了。

并且病毒爆发后,半个世界的执法力量都在寻找攻击的发起者,但这么多年过去,幕后真凶依然成谜,WannaCry,想哭,确实令人想哭。

根据国家计算机病毒应急处理中心的说法:

“2023年,针对我国个人用户的计算机病毒攻击事件数量呈现进一步下降趋势;

与此同时,针对组织机构的计算机病毒攻击与去年同期相比则呈现上升趋势。

这反映出攻击者在对攻击目标的选择上具有明显的趋利性,相对于个人用户,攻击组织机构明显具有更高的潜在收益。教育金融卫健等领域的关键信息基础设施由于承载了大量公民敏感个人信息,成为2023年黑客攻击窃取数据的重点目标。”

现如今,在暗网黑市上,一个可以用于制作病毒的Windows系统漏洞,依然可以卖到十几万乃至几十万美元,就在今年四月份,暗网上还有人挂出了iOS系统的重大漏洞,要价200万美元。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

所以,电脑病毒从未真正消失,它们只是转移了攻击目标,我们的电脑榨不出什么油水,不值得黑客们冒着坐牢风险攻破重重防御,袭击企业的电脑才是划算的买卖。

猫和老鼠的游戏,还在继续上演,只是转移到了普通人看不见的地方。

<h1 class=啥年代了,850万台电脑还能蓝屏死机">

酷玩实验室整理编