一、案例简介

2017年5月12日，WannaCry勒索病毒通过MS17-010漏洞在全球范围爆发，受到该病毒感染的磁盘文件资料都无法正常打开，只有支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。

英国、美国、中国、俄罗斯、西班牙和意大利等上百个国家的数十万台电脑被感染，其中包括医院、教育、能源、通信、制造业以及政府等多个领域的计算机终端设备。有数据统计，该事件造成了80亿美元的损失，对金融、能源、医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。

相关链接：勒索软件简介

勒索软件（Ransomware），又称勒索病毒，维基百科将其定义为一种特殊的恶意软件，被归类为阻断访问式攻击，与其他病毒最大的不同在于手法。一种勒索软件单纯地将用户的电脑锁起来；另一种则系统性加密用户硬盘上的文件。所有的勒索软件都会使用户数据资产或计算资源无法正常使用，要求用户支付赎金以取回对电脑的控制权，或是取回用户无从自行获取的加密密钥。勒索软件编写者还在继续开发，导致勒索软件在持续变种，2014年来针对Android系统移动设备的勒索软件陆续出现。迈克菲实验室（McAfee Labs）预测，鉴于配电和医疗保健市场已经出现了物联网设备被劫持的案例，勒索软件随时可能移植到物联网领域。

在法律层面，2016年9月美国加州通过的参议院第1137号法案（Senate Bill No.1137-Chapter 725），将勒索软件定义为“未经授权的一种病毒，其将计算机病毒或锁死程序放置或感染到计算机、计算机系统或计算机网络中，限制已获授权的用户访问计算机、系统、网络及其所存储的数据，从而要求用户为其支付金钱或其他代价，以移除或通过其他方式修复该计算机病毒或锁死程序”，基本着眼于授权角度，再次重申了技术上对勒索软件的定义。

作为病毒的一种，勒索软件的概念自20世纪90年代开始出现，但其加剧威胁源自2005年开始运用更加复杂的RSA加密手段和2013年开始利用比特币等虚拟货币作为新的支付形式。暗网中已有越来越多的人提供勒索软件作为服务，勒索软件即服务（Ransomware-as-a-Service，RaaS）呈爆炸式发展趋势。我国日渐成为勒索软件泛滥的重灾区，2015年开始蔓延，2016年开始强势袭击各大互联网企业和个人用户，成为企业和个人数据安全的重大威胁之一。

新近意义上的勒索软件具有的主要特征在于：一是采用了加密技术（例如RSA）实现对用户系统、网络的加密和解密，以及支付形式的密码化（例如，比特币）；二是直接损害信息或数据的可用性的同时，也不完全排除侵入，或在无法实现获取赎金（财物）的“营利目的”时的窃取、破坏等危害保密性、完整性的行为，即其基于勒索行为实施的“成功”与否，决策如何进一步实施危害行为。如获取赎金的，可能解密、解锁，也可能窃取数据；如未获取赎金的，则损毁、窃取数据或者披露用户敏感信息；部分勒索实施行为甚至无论是否获取赎金，均会窃取、损毁数据。