转自：大数据文摘

编译：牛婉杨

2017年，一位名叫Marcus Hutchins的少年从有史以来最严重的网络攻击事件“WannaCry 勒索病毒”中拯救了互联网。

如果你是个geek，那么你对WannaCry这个名字一定不陌生， 这是一种可以自行传播的病毒软件，通过互联网散布到了世界的各个角落，摧毁了数十万台计算机中的数据。正是Hutchins找到并激活了其代码中隐藏的死亡开关，进而遏制了 WannaCry的进一步蔓延。

没想到，三个月后，这位拯救了互联网的天才少年却被戴上了手铐。

一开始Hutchins以为警察只是想了解自己在WannaCry上的工作，但当他们问到了一个名为“Kronos”的程序之后，他意识到，自己可能回不了家了。

Marcus Hutchins从小就痴迷计算机，他与同龄人最大的不同是，Hutchins对计算机超乎寻常的兴趣和天分。

13岁生日时，Hutchins的父母同意给他买一台个人电脑，但他要求购买零件，自己组装。这台电脑很快就成了他的“宝贝”。

得到自己的计算机后不到一年，他开始浏览初级黑客网络论坛——一个致力于在当时流行的即时通信平台 MSN 上搞破坏的论坛。他对黑客有了初步的了解，在他眼中这些黑客“太酷了，编程居然能做这种事。”他也想这么做。

于是14岁那年，他在论坛上提交了自己做的一个简单的密码窃取软件。只要将其安装在某人的电脑上，它就能直接拉取受害者存储在 IE 浏览器中的网络账户的密码。

后来，Hutchins又在 HackForums 社区接触到了僵尸网络，即成百上千台会遵照该黑客的指令办事的被恶意软件感染的计算机。年仅15岁的Hutchins很快就在那个论坛上吹嘘自己运行着一个包含 8000 台计算机的僵尸网络，其中大多数都是他通过 BitTorrent上传的虚假文件劫持的。

不仅如此，Hutchins还开始了自己的事业。他开始租用服务器，然后以按月收费的方式向 HackForums 的成员出售网络托管服务。

在当时，他意识不到这些属于犯罪。

然后16岁那年，他遇到了令他陷入噩梦般生活的人——Vinny。

Vinny联系到了他，他给Hutchins的工作任务是：一个多功能且易于维护的 rootkit，以便他能在 Exploit.in 和 Dark0de 等比 HackForums 更加专业的黑客市场上进行销售。而且回报不是预付款，而是一半的销售利润。

他们将这款产品称为 UPAS Kit。

Vinny 不同于Hutchins曾遇到过的那些黑客，他更专业，口风更紧，从不谈论有关个人生活的任何细节。

但Hutchins却并未对自己的个人生活那么守口如瓶。于是 Vinny 要了Hutchins的地址和出生日期。他说要给Hutchins送一个生日礼物。Hutchins提供了这两个信息，但很快他就后悔了。

Hutchins 17 岁生日那天，一个包裹被邮寄到了他父母家，里面装着一包毒品。

9个月后，Hutchins完成了 UPAS Kit，并在 2012 年夏季将这款 rootkit 上市销售。Vinny 开始以比特币向Hutchins支付 UPAS Kit 的佣金，数额通常等值数千美元。

UPAS Kit 很成功，随后 Vinny要求Hutchins帮助开发 UPAS Kit 2.0。在新版本中， Vinny希望可以记录受害者键盘输入和监控受害者显示器的新功能。最重要的是，还有向受害者观看的页面注入虚假文本字段或其它内容的功能。

Hutchins说，最后这项要求让他感到不安。在他看来，注入虚假文本字段的目的很明确：银行诈骗。这在Hutchins看来是很严重的犯罪。

在过去几年中，Hutchins一直在网络犯罪的道路上小步前进，却不知不觉已经跨过了自己曾警惕的红线。他就这样一步步走向深渊，无法抗拒 Vinny 的要求，因为 Vinny 掌握着他大量的个人信息。

尽管如此，Hutchins还有一个选择——退出。然而这意味着他也不会再收到佣金。他将承受所有犯罪风险，同时没有任何回报。

他还是选择帮助 Vinny 继续维护银行恶意软件。

后来，Vinny改名为Kronos。最终，Kronos 成为了史上最臭名昭著的银行木马病毒之一。

2017年5月12日中午，WannaCry 病毒首次出现在了英国皇家伦敦医院。

网络安全研究人员将这个蠕虫病毒命名为“WannaCry”，得名于其在加密文件时添加在文件名称后的 .wncry 扩展名。WannaCry 在加密计算机时还会使用名为 EternalBlue 的一套强力代码传播自身。EternalBlue 是由一组名为 Shadow Brokers 的黑客从国家安全局（NSA）窃取出来并公布在网络上的，老旧的 Windows 计算机很容易被其感染。

短短一个下午的时间，该病毒就破坏了将近 25 万台计算机的数据，预估损失在 40 亿-80 亿美元之间。而且情况似乎还将继续恶化。

当天下午2:30 左右，Hutchins坐回电脑前才看到这场互联网大灾难。

几分钟后，一个代号Kafeine的黑客朋友给Hutchins发送了WannaCry的代码副本。来不及吃午餐，Hutchins就开始剖析这些代码。

首先，他在隔离的虚拟机中运行了这个程序。然后很快他就注意到其在执行加密时会向一个看起来随机生成的网址发送一条查询信息：

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

很显然，这个病毒采用了“命令-控制”模式，即某个地方的服务器能给被感染的计算机发送控制指令。Hutchins将这个网址放到浏览器中，却发现根本没有网站。

因此他访问了域名注册商 Namecheap，在下午 3:08 用 10.69 美元注册了这个地址。Hutchins希望此举能从WannaCry创造者那里夺回部分受害计算机的控制权。或者他至少可通过 sinkholing（沉洞）技术获知受害计算机的数量和位置。

当Hutchins将这个域名定向到 Kryptos Logic 的一组服务器上后，就立马收到了全世界数千台新被感染的计算机的连接。Hutchins在 Twitter 上通报了这一信息，引起了世界各地的研究者、记者和系统管理者的关注。