北京時間 2017 年 5 月 12 日 20 時左右，全球爆發大規模勒索軟件感染事件，目前已經波及 99 個國家，涉及能源、電力、交通、醫療、教育等重點行業領域，并且仍在迅速蔓延。目前，我國石油、交通、教育、質檢等涉及國計民生的關鍵領域已“中招”，影響范圍十分廣泛，造成后果極其嚴重，應引起高度重視。

一、基本情況

“Wannacry”是一款對感染主機的重要數據文件進行惡意加密的勒索軟件，該惡意勒索軟件利用了微軟 SMB 遠程代碼執行漏洞 MS17-010，并基于 445 端口迅速傳播擴散。該漏洞最早由美國國安局(NSA)旗下方程式組織發現并開發了名為“永恒之藍”(EternalBlue)的漏洞利用工具，微軟在今年 3 月份發布了該漏洞的補丁，但仍有大量用戶沒有升級補丁。我國部分運營商在主干網絡上封禁了 445 端口，但是電力、能源、交通運輸、教育等大多數行業的企事業單位內網并沒有這個限制，仍然存在大量暴露 445 端口且漏洞未修復的電腦主機，導致勒索軟件大肆蔓延，目前對該勒索軟件的惡意加密暫無有效解密手段。據悉，該勒索軟件目前已經造成中石油在北京、上海、四川、重慶等多個地區的加油站全面斷網，如果不加以防范和控制，勢必對我國工業領域信息安全造成極大威脅。

二、影響分析

一是工業主機存在被攻擊的安全隱患，可對工業生產、人民生活造成嚴重影響。我國工業領域的工業主機(如操作站、工程師站、歷史服務器等)廣泛使用了 Windows 通用型操作系統，尤其是大量應用了默認開放 445 端口的 Windows 2000 和 Windows XP 系統，極有可能被“Wannacry”利用漏洞進行入侵攻擊，并迅速蔓延至工業企業內網甚至工業控制網絡，導致工業主機被加密鎖定以至于無法正常運行，甚至造成整個工業企業內網的癱瘓，后果極其嚴重。國內已有加油站、車管所遭受攻擊的案例，造成加油站網絡支付系統全面斷網，車管所停止提供服務，對人民正常生活造成嚴重影響，應引起高度重視。

二是工業企業相關敏感數據存在被鎖定、篡改和銷毀的風險。一旦中招，該勒索軟件可以對目標系統和設備中的數十種類型的文件加密，涉及文檔、數據庫、視頻、音頻、圖像、制圖、壓縮包等幾乎所有文件類型，可能導致工業企業生產運行等敏感數據無法正常采集和讀取，對工業生產造成嚴重經濟損失。

三是影響范圍十分廣泛，我國石油、交通、教育、質檢等涉及國計民生的關鍵領域已受波及。目前，多個國家的電力、石油、通信、交通運輸等眾多行業領域受到嚴重影響，例如，西班牙電力公司 Iberdrola、天然氣公司 Gas Natural 以及電信巨頭 Telefonica，德國德累斯頓火車站，葡萄牙電信公司，聯邦快遞 FedEx，俄羅斯內政部及其第二大電信運營商 Megafon 等都遭受了勒索軟件的攻擊。鑒于該惡意軟件傳播速度極快，影響范圍極廣，我重點工業領域已然受到波及，如若不加防范和控制，大范圍中招只是時間問題。

三、對策建議

一是各地工信主管部門盡快組織排查和應對，做好風險通報工作，確保重要工業信息系統和工業控制系統不受攻擊破壞，如果發現有被攻擊情況，及時向我中心報告。

二是盡快做好受影響系統 MS17-010 漏洞的補丁升級工作，避免被惡意勒索軟件利用。

三是如無特殊情況，關閉 445 端口。

四是做好關鍵業務數據的備份。

(聯系電話：010-88686273 010-88683438)

國家工業信息安全發展研究中心

(工業和信息化部電子第一研究所代章)