从WannaCry攻击中拯救世界的研究人员，为下一波浪潮

这位23岁的年轻人在5月份从毁灭性的网络攻击中拯救了世界，上周在英国海滨小镇伊尔弗拉科姆 (Ilfracombe) 的床上睡着了，此前他参加了一夜的聚会，另一场在线勒索运动在全球蔓延。

6月27日在下午6点附近，自学成才的计算机安全研究人员，狂热的冲浪者马库斯·哈钦斯 (Marcus Hutchins) 被同事打来的电话唤醒，告诉他正在进行另一次袭击。哈钦斯 (Hutchins) 害怕上个月停止追踪的强大的WannaCry恶意软件的回归，因此登录到他与父母和弟弟共享的房屋中的计算机上，以扫描最新报告。

到那时，包括航运巨头Ap Moller-Maersk A/S和俄罗斯最大的石油公司Rosneft pJSC在内的80多家乌克兰银行，政府机构和跨国公司受到勒索软件攻击的打击，该攻击像电子瘟疫一样在其网络中蔓延。在20分钟内，哈钦斯后来叙述道，他掌握了恶意软件的样本，并松了一口气，看到这不是另一个WannaCry，它感染了150多个国家的数十万台计算机，而是更有针对性和毒性的东西。

尽管这两种攻击都利用了Microsoft Corp Windows操作系统中的缺陷来传播有效负载，但WannaCry还是使用internet进行自我传播，每台受损计算机都会扫描并感染另一台计算机，从而产生滚雪球效应，而所谓的petya攻击仅限于本地网络。起初，petya之所以显得更大，是因为黑客袭击了乌克兰软件公司M.E.Doc，并使用自动更新功能将其恶意软件下载到该软件所有用户的计算机上，Hutchins说。

不太可能的英雄

像哈钦斯 (Hutchins) 和他的同事在洛杉矶的威胁情报公司Kryptos Logic的研究人员类似于地震学家，他们在互联网上扫描可能预示下一次袭击的电子震颤。这次他只是一名观察员，但在5月12日，哈钦斯阻止了WannaCry袭击，该袭击使从英国国家卫生局到德国的德国铁路和欧洲的雷诺SA工厂的组织瘫痪。

哈钦斯 (Hutchins) 留着卷发，宽松的牛仔裤，t恤和运动鞋，是一个不太可能的英雄。他很少离开北德文郡农村，他从8岁起就住在那里，直到去年才出国旅行。他在12岁时学会了对计算机进行编程，并在有人付钱给他之前，一直在跟踪和破坏僵尸网络攻击以供自己享受。

哈钦斯 (Hutchins) 在十几岁的时候就以化名MalwareTech开了一个博客，并被Kryptos 2015年雇用。他说，直到WannaCry袭击，他的父母和朋友甚至都不知道他有工作。

奶酪薯条

哈钦斯本来应该享受一个星期的假期，但是在与朋友共进午餐后回到家，吃了汉堡和俗气的薯条，看到大屠杀的WannaCry正在造成，他忍不住跳了进去。

袭击发生几周后，哈钦斯在一次采访中说: “如此多的NHS信托基金同时受到打击的事实几乎是史无前例的。” 袭击发生几周后，哈钦斯在Ilfracombe的一家酒店酒吧里喝了可口可乐，这是一个风景如画但褪色的旅游小镇。“对我来说，这是一个巨大的危险信号，表明这件事正在自行蔓延。”

大多数勒索软件对目标计算机上的文件进行加密，以迫使其所有者付款以换取解密，这些勒索软件是通过恶意发件人的电子邮件附件传播的，这些发件人在打开主机时会感染主机。哈钦斯说，他希望有少数人在几天内点击大量电子邮件，而不是同时有数十家医疗机构的数千名员工。

在分析了该恶意软件的样本并发现其通过利用Microsoft网络文件共享协议中的漏洞而传播后，他意识到该恶意软件正在使用据称从美国国家安全局窃取的网络武器。它被称为 “EternalBlue”，是针对微软软件的复杂NSA黑客工具的一部分，这些工具是去年由影子经纪人犯罪团伙获得的，并在4月泄漏到互联网上。

哈钦斯还注意到一个深藏在恶意软件代码中的怪癖。它测试了未注册的无意义域名的存在。他立即为8.5镑注册了该域名 (11美元)，并将所有流量重定向到旨在捕获恶意数据的服务器，称为 “污水坑”，这将使他能够监视攻击的进度。

切断开关

尽管他当时没有意识到，但哈钦斯无意中触发了恶意软件的杀死开关。在感染和加密计算机的硬盘驱动器之前，WannaCry会查询该域，只要该域未注册，就会继续进行攻击。现在，当恶意软件检查域并发现它处于活动状态时，它立即关闭。根据Kryptos的数据，自那时以来，约有10000万种感染计算机的尝试 (包括美国的700万多种) 得到了缓解。

“当时，我们就像 '耶，我们现在可以追踪它了，' 我们不知道我们已经阻止了它，” 哈钦斯说。“在我们注册域名的那一刻，我们看到的是5,000或6,000独特的系统都在连接，它在一个小时内上升到200,000。我记得当时在想: 天哪，这真是大。”

Hutchins是在线安全研究人员和博客作者的全球社区的一部分，他们白天和黑夜都在家庭办公室与黑客和网络罪犯作斗争。鉴于近年来的袭击浪潮，它们对政府和公司的需求很高，并且在20多岁的时候就可以获得六位数的薪水。

哈钦斯说，他受到了一些世界上最大的网络安全公司的追捧。2015年，他采访了英国绝密的政府通讯总部，但在他向他提出要约后，他转而为Kryptos工作，他说他 “无法拒绝”。

“伟大的网络战士”

“他是天生的天才，” 33岁的氪星首席执行官萨利姆·内诺 (Salim Neino) 说，他在阅读博客后聘请了哈钦斯。“他显然是在解决难题，他这样做不是为了金钱回报，而这些是伟大的网络战士的一些关键特征。”

Neino是一位自学成才的程序员，他在15岁时获得了第一份计算工作，并于9年前与他人共同创立了Kryptos。该公司不进行任何营销，其25名员工中没有销售人员。

哈钦斯说，他在WannaCry之后没有要求加薪，因为他刚刚得到了加薪。他不愿透露自己的收入，但在Ilfracombe，钱有很长的路要走，那里有五分之一的孩子来自收入不到全国平均水平60% 的家庭。他说，他将自己的收入投资于股票和比特币，并在该国去年投票决定退出欧盟后做空了数千英镑。

鉴于他的工作性质以及他倾向于在社交媒体上发声而没有太多过滤器的倾向，哈钦斯将他的在线生活和现实生活分开了。

“没有人知道双方都做了什么，” 他说。

永远改变

WannaCry永远改变了这一点。在5月的那个星期五下午注册了该域名后，哈钦斯在网上发布了一个链接，以便其他人可以跟踪攻击的进展。在几个小时内，很明显WannaCry已经停止了自我传播，其他研究人员开始在推特上说，是 @ MalwareTechBlog拯救了这一天。很快，他就被记者和安全公司在Twitter上的数千封电子邮件和直接消息轰炸，他们想知道他们的客户是否被感染。

哈钦斯 (Hutchins) 知道自己的身份被炸毁只是时间问题，并承认感到有些害怕。

哈钦斯说: “一般来说，你不想宣传你正在做的事情，因为你不想激怒坏人。”“我们发布了追踪器，却不知道我们挫败了它。如果我知道，我就不会公开是我。愤怒的罪犯是最坏的罪犯。”

在接下来的72小时内，哈钦斯 (Hutchins) 一直没有睡觉，同时抵御了黑客试图使其服务器脱机以禁用kill开关并重新传播WannaCry的攻击。

哈钦斯 (Hutchins) 认为，这主要是低级，半熟练的黑客的工作，在行业中被称为skid或script kiddies。他说，他们不是为了钱，他们只是想制造尽可能多的麻烦。

'非常震惊'

到周日，英国媒体已将哈钦斯确定为阻止WannaCry的人，第二天，他让记者在距伦敦170英里的房屋外扎营，通过信箱塞满名片并按门铃。哈钦斯一度跳过院子的后墙，逃离了一个停车场。

哈钦斯说: “当我外出时，我的父母非常震惊，我的朋友仍然不相信我有工作。”。“被揭露是非常可怕的。”

哈钦斯声称不太喜欢人，但他和蔼可亲，很有吸引力。在伊尔弗拉科姆 (Ilfracombe) 的港口周围漫步并穿过狭窄的街道时，几次朋友和熟人发出问候。他为被确定为英雄而感到高兴，并说他没有搬家的计划，尽管他确实喜欢最近去哥本哈根参加一次行业大会的演讲。

哈钦斯说: “就我们停止的规模而言，我们对WannaCry所做的事情令人印象深刻，但在技术层面上，我们所做的只是注册一个域名。”“我的雇主已经付给我的钱远远超过了我的价值，所以整个WannaCry的事情并没有真正改变什么。”

Kryptos的Neino坚决认为Hutchins应该被称为英雄，并警告每个人都应该为更多的攻击做好准备。内诺说: “如果影子经纪人兑现释放更多漏洞的承诺，我们将看到一波此类攻击。”“他们已经做好了所有其他威胁，所以没有理由认为他们这次不会。”

petya证明了未来还会有更多。哈钦斯又熬了一整夜后说，他只想回去睡觉。