截至歐洲時間14日早晨，“想哭”勒索病毒已經侵害150個國家的20萬臺電腦，而這一數字還在增加；Intel被檢測出潛伏在其芯片內長達七年的漏洞，各類芯片病毒層出不窮，危害嚴重，芯片到底怎么了？

“想哭”病毒風暴席卷全球

至歐洲時間14日早晨，多達150個國家的20萬臺電腦遭“想哭”勒索病毒侵害。預料，到15日，人們回返公司上班，這一數字還會進一步增加。歐洲刑警組織和其他警察機構還不知道誰是幕后元兇，他們假設這是刑事案子，目前正朝這個方向調查。

據了解，此輪黑客攻擊在12日開始，全球包括歐美和亞洲等地至少150個國家的政府機構、銀行、工廠、醫院、學府的電腦系統先后遭黑客攻擊。俄羅斯和印度的情況最嚴重，這兩個國家“仍廣泛使用最容易中招的微軟視窗XP系統”。這一電腦病毒主要針對運行微軟視窗系統的電腦。電腦受感染后會顯示一個信息，指系統內的檔案已被加密，用戶須向黑客支付約300美元的比特幣來贖回檔案。若三天內未收到贖金，這筆錢將翻倍；若七天內還是沒收到，就會把所有文件刪除。有很多企業付錢，目前數額應該不多，但這筆金額或許還會增加。黑客列出的比特幣地址所收到的贖金大約有32000美元。美國國土安全部的電腦緊急應對小組稱，支付贖金也不能保證加密文件會被釋放，而是還可能讓這些黑客獲得他們的銀行信息。

多家網絡保安公司認定，該病毒源自美國國家安全局病毒武器庫。上個月，美國國安局遭遇泄密事件，其研發的多款黑客攻擊工具外泄。該病毒主要針對微軟的永恒之藍的漏洞進行傳播和攻擊。一旦電腦感染該病毒，被感染電腦會主動對局域網內的其他電腦進行隨機攻擊，局域網內沒有修補漏洞的電腦理論上將無一幸免的感染該病毒。

“想哭”勒索病毒發展速度迅猛，對我國的很多行業網絡也造成極大影響，目前已知遭受攻擊的行業包括教育、石油、交通、公安等，針對這個情況，公安部網安局正在協調我國各家網絡信息安全企業對這個勒索蠕蟲病毒進行預防和查殺。據公安部網安局專家介紹，雖然目前國內部分網絡運營商已經采取了防范措施，但是在一些行業內網中依然存在大量漏洞，并成為攻擊目標，高校成為了重災區。

根據網絡安全公司數據統計，截止5月13日晚8點，我國共有39730家機構被感染，其中教育科研機構有4341家，病毒利用了445的一個重要的端口。校園網因為ip直連的情況，導致沒有一個nat和防火墻來阻斷對445端口的訪問所以在校園網沒有打補丁的機器就直接暴露在病毒之下了。另外，病毒有主動攻擊的特性，所以每一次傳播范圍都很廣。電腦被感染后，不到十秒，電腦里的所有用戶文件全部被加密無法打開。加密的文件會根據病毒指引去付贖金獲得密鑰，但是根據目前的研究看成功的幾率非常低，整個互聯網安全界在積極的探索有沒有辦法解開這個密鑰。因為它用的是高強度非對稱加密的算法，這個密鑰空間非常大，就算用暴力破解也需要非常長的時間，目前來看是不可接受的。

針對已經被感染病毒的用戶，專家建議首先使用安全軟件查殺蠕蟲病毒，并保留被加密的文件，待日后網絡安全公司找到有效方法后再進行解鎖。目前唯一的防范措施就是上班一定要先拔網線，安裝安全軟件，打上補丁，然后再插上網線進行工作，否則沒有打補丁的電腦非常大的幾率會收到蠕蟲病毒攻擊。

微軟被千夫所指，Intel難逃厄運

“想哭”勒索病毒主要針對微軟永恒之藍的漏洞，而且使用WindowsXP，Windows2003操作系統的用戶暫時無法修復漏洞，一時間微軟被千夫所指，有口難辨。

無獨有偶，Intel在前幾日被檢測出潛伏在其芯片中長達7年的遠程劫持漏洞，其嚴重程度遠超想象，最新發現的漏洞存在于Intel的AMT主動管理技術當中，該技術允許用戶通過遠程連接來獲得計算機的完全控制權，因此安全性更加重要。

TenableNetworkSecurity在最新報告中稱，AMT技術被設計為訪問認證時系統會用加密哈希值（cryptographichash）驗證身份，然后才授權登錄。但是，最新研究發現這一驗證技術存在嚴重漏洞，哈希值可以是任何東西，甚至連文字串都不需要。對此，TenableNetworkSecurity的技術主管CarlosPerez表示，即使輸入錯誤的哈希值也可以獲得授權，甚至已有可以完全繞開驗證機制的方法出現。安全公司Embedi的技術人員也發現了上述AMT技術漏洞，并表示該漏洞自2010年就已經存在于Intel推出的部分芯片當中，比如vPro處理器。

對于曝光的安全問題，Intel目前已經表示會在一周內發布相關的修復補丁，并會通過新固件的方式推送。

果然！不是所有的芯片都是好芯片

除了Intel芯片漏洞之外，其它芯片問題也是數不勝數。

中國曾公布的《美國全球監聽行動紀錄》報告揭露了美國通過“棱鏡”計劃監聽世界各國特別是中國的證據。實際上，除了該報告以及之前各國媒體曝光的美國國家安全局監聽手段以外，還有后門植入芯片的竊密方式。

美國公司對外出售的一些服務器、程控交換機具備遠程維護功能。也就是通過網絡，由其母公司對服務器、交換機進行診斷和維護，而如果在這項功能中提前設置“被植入芯片的后門”，那意味著美國即便不與網絡經營商簽訂協議，也可以任意復制服務器上的信息，或者通過這種方式監控重要用戶信息。另外，“被植入芯片的后門”還可以通過計算機電源線竊取相關信息。

不過美國也自身難保，常常搬起石頭砸自己的腳，亦不能避免其它國家芯片病毒對自己的攻擊。

2003年，美國俄亥俄州核電廠控制網絡的一臺計算機芯片被“SQLServer蠕蟲”感染，其安全監控系統停機近5個小時；

2008年，在美國國家安全局一臺發電機控制系統芯片受到攻擊后被物理損壞。

2010年7月，德國專家發現世界上首個專門針對工業控制系統芯片的破壞性病毒，伊朗、印度尼西亞、印度和美國等國均遭到攻擊。

另外，國內芯片也是隱患重重，最常見的就是BIOS病毒，它寄生在主板BIOS芯片里，BIOS是電腦基本輸入輸出系統，安裝在計算機主板的芯片上，提供最底層的、最直接的硬件設置和控制。這是一個格式化硬盤也無法觸及的高地，典型的BIOS病毒包括CIH、BMW（mebromi）和諜影。

1、CIH

1998年出現的CIH可以說是臭名昭著，它是首例破壞電腦硬件的病毒，從磁盤主引導區開始依次在磁盤中寫入垃圾數據，直到磁盤數據被全部破壞為止。有些品牌的主板BIOS也會被CIH破壞。CIH最早是通過盜版光碟傳播，在全世界范圍造成了極大損失。

2、BMW

2011年，第一個真正意義上的BIOSrootkit在中國出現，這個病毒被360稱為BMW（連環感染BIOS、MBR、Windows），賽門鐵克對其命名為Mebromi。與CIH相比，BMW的危害更大，它會聯網下載任意程序，不僅可以竊取或破壞硬盤數據，還可按照黑客指令實施盜號、遠程控制肉雞和篡改瀏覽器。

3、諜影

在CIH和BMW病毒之后，BIOS早已成為安全軟件嚴防死守的重地，任何程序都無法隨便去改寫BIOS。于是，寄生在二手主板的諜影病毒出現了。諜影病毒被預先刷入主板中，再通過電腦配件網店銷售，它的顯著特征是會生成一個名為aaaabbbb的系統賬號，任由黑客遠程控制。

安全芯片成市場寵兒

“道高一尺，魔高一丈”，芯片病毒種類繁多，危害嚴重，導致越來越多的商家開始使用高成本、高技術的安全芯片，安全芯片一躍成市場新寵。

安全芯片就是可信任平臺模塊，是一個可獨立進行密鑰生成、加解密的裝置，內部擁有獨立的處理器和存儲單元，安全芯片所起的作用相當于一個“保險柜”，最重要的密碼數據都存儲在安全芯片中，通過SMB系統管理總線與筆記本的主處理器和BIOS芯片進行通信，然后配合管理軟件完成各種安全保護工作，而且根據安全芯片的原理，由于密碼數據只能輸出，而不能輸入，這樣加密和解密的運算在安全芯片內部完成，而只是將結果輸出到上層，避免了密碼被破解的機會。

安全芯片功能

安全芯片配合專用軟件可以實現以下功能：

1、存儲、管理密碼功能

以往這些都是由BIOS做的，忘記了密碼只要取下BIOS電池，給BIOS放電就清除密碼了。如今這些密鑰實際上是存儲固化在芯片的存儲單元中，即便是掉電其信息亦不會丟失。相比于BIOS管理密碼，安全芯片的安全性要大為提高。

2、加密功能

安全芯片除了能進行傳統的開機加密以及對硬盤進行加密外，還能對系統登錄、應用軟件登錄進行加密。比如目前常用的MSN、QQ、網游以及網上銀行的登錄信息和密碼，都可以通過TPM加密后再進行傳輸，這樣就不用擔心信息和密碼被人竊取。

3、加密硬盤的任意分區功能

可以加密硬盤的任意一個分區，可以將一些重要文件放入該分區以策安全。

安全芯片支持國家密碼管理局指定的對稱密碼算法、非對稱密碼算法和雜湊算法，同時支持國際通用其他密碼算法它的特點；比如對稱密碼算法：SM1；非對稱密碼算法：SM2；雜湊算法及哈希算法：SM3。安全芯片集成了高速的安全加密算法和通訊接口，采用獨有的數據流加解密處理機制，實現了對高速數據流同步加解密功能，在加解密速度上全面超越其它芯片。

安全芯片特性

·芯片防篡改設計，唯一序列號，可防止SEMA/DEMA、SPA/DPA、DFA和時序攻擊；

·多種檢測傳感器：高壓和低壓傳感器，頻率傳感器、濾波器、脈沖傳感器、溫度傳感器等；

·具有傳感器壽命測試功能，一旦芯片檢測到非法探測，將啟動內部的自毀功能；

·總線加密，具有金屬屏蔽防護層，探測到外部攻擊后內部數據自毀；

安全芯片分類

目前市面上的安全類芯片主要包括以下幾種：

1、AT88SC系列邏輯加密卡

標準訪問：對用戶存儲區的讀寫訪問無任何限制；口令訪問：對用戶存儲區的讀寫訪問需要口令驗證；認證訪問：通過不同用戶區所設定的口令檢驗才能訪問用戶數據區；加密驗證訪問：須先經過認證，認證成功后以某個數據為密鑰再次認證，再重復一次認證訪問。

2、G7010/G7015

將MCU通過兩安全密鑰和制作商編號計算所得序號與芯片計算的序號相比較，每次密鑰可不同。

3、FS88x6系列芯片

把系統中重要的數據或代碼放在FS88x6中；系統CPU將ESW和Digest根據設定的要求分批的送入FS88x6，FS88x6將根據對應的算法以及預存的密鑰，對送進來的代碼進行計算校驗并反饋認證結果，以達到保護系統的目的；3、在I2C/SPI總線上的數據，每次都是通過隨機數加密的缺點是端口進行數據分析就容易被破解。

4、DM2016

將用戶MCU加密計算的結果送給安全芯片，安全芯片再解密的結果送回MCU進行比較。

5、LKT安全芯片

將CPU或者是軟件中的一部分程序移植到安全芯片中，沒有此安全芯片cpu的程序不完整，LKT安全芯片提供了DES、3DES加解密功能。

另外，集美大學計算機工程學院教授劉年生用了3年時間研制出名為“適用于RFID（射頻識別）讀寫器的安全芯片設計”—它把傳輸的數據加密后，最長需要2048位密碼才能解密。

芯師爺小結：電腦病毒肆虐，芯片問題重重，“安全芯片”也只是更多了一層保障，并不意味著絕對安全，小編還是要提醒一下芯粉們，“電腦有風險，上網需謹慎啊”！