北京時(shí)間 2017 年 5 月 12 日 20 時(shí)左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，目前已經(jīng)波及 99 個(gè)國(guó)家，涉及能源、電力、交通、醫(yī)療、教育等重點(diǎn)行業(yè)領(lǐng)域，并且仍在迅速蔓延。目前，我國(guó)石油、交通、教育、質(zhì)檢等涉及國(guó)計(jì)民生的關(guān)鍵領(lǐng)域已“中招”，影響范圍十分廣泛，造成后果極其嚴(yán)重，應(yīng)引起高度重視。

一、基本情況

“Wannacry”是一款對(duì)感染主機(jī)的重要數(shù)據(jù)文件進(jìn)行惡意加密的勒索軟件，該惡意勒索軟件利用了微軟 SMB 遠(yuǎn)程代碼執(zhí)行漏洞 MS17-010，并基于 445 端口迅速傳播擴(kuò)散。該漏洞最早由美國(guó)國(guó)安局(NSA)旗下方程式組織發(fā)現(xiàn)并開發(fā)了名為“永恒之藍(lán)”(EternalBlue)的漏洞利用工具，微軟在今年 3 月份發(fā)布了該漏洞的補(bǔ)丁，但仍有大量用戶沒有升級(jí)補(bǔ)丁。我國(guó)部分運(yùn)營(yíng)商在主干網(wǎng)絡(luò)上封禁了 445 端口，但是電力、能源、交通運(yùn)輸、教育等大多數(shù)行業(yè)的企事業(yè)單位內(nèi)網(wǎng)并沒有這個(gè)限制，仍然存在大量暴露 445 端口且漏洞未修復(fù)的電腦主機(jī)，導(dǎo)致勒索軟件大肆蔓延，目前對(duì)該勒索軟件的惡意加密暫無有效解密手段。據(jù)悉，該勒索軟件目前已經(jīng)造成中石油在北京、上海、四川、重慶等多個(gè)地區(qū)的加油站全面斷網(wǎng)，如果不加以防范和控制，勢(shì)必對(duì)我國(guó)工業(yè)領(lǐng)域信息安全造成極大威脅。

二、影響分析

一是工業(yè)主機(jī)存在被攻擊的安全隱患，可對(duì)工業(yè)生產(chǎn)、人民生活造成嚴(yán)重影響。我國(guó)工業(yè)領(lǐng)域的工業(yè)主機(jī)(如操作站、工程師站、歷史服務(wù)器等)廣泛使用了 Windows 通用型操作系統(tǒng)，尤其是大量應(yīng)用了默認(rèn)開放 445 端口的 Windows 2000 和 Windows XP 系統(tǒng)，極有可能被“Wannacry”利用漏洞進(jìn)行入侵攻擊，并迅速蔓延至工業(yè)企業(yè)內(nèi)網(wǎng)甚至工業(yè)控制網(wǎng)絡(luò)，導(dǎo)致工業(yè)主機(jī)被加密鎖定以至于無法正常運(yùn)行，甚至造成整個(gè)工業(yè)企業(yè)內(nèi)網(wǎng)的癱瘓，后果極其嚴(yán)重。國(guó)內(nèi)已有加油站、車管所遭受攻擊的案例，造成加油站網(wǎng)絡(luò)支付系統(tǒng)全面斷網(wǎng)，車管所停止提供服務(wù)，對(duì)人民正常生活造成嚴(yán)重影響，應(yīng)引起高度重視。

二是工業(yè)企業(yè)相關(guān)敏感數(shù)據(jù)存在被鎖定、篡改和銷毀的風(fēng)險(xiǎn)。一旦中招，該勒索軟件可以對(duì)目標(biāo)系統(tǒng)和設(shè)備中的數(shù)十種類型的文件加密，涉及文檔、數(shù)據(jù)庫、視頻、音頻、圖像、制圖、壓縮包等幾乎所有文件類型，可能導(dǎo)致工業(yè)企業(yè)生產(chǎn)運(yùn)行等敏感數(shù)據(jù)無法正常采集和讀取，對(duì)工業(yè)生產(chǎn)造成嚴(yán)重經(jīng)濟(jì)損失。

三是影響范圍十分廣泛，我國(guó)石油、交通、教育、質(zhì)檢等涉及國(guó)計(jì)民生的關(guān)鍵領(lǐng)域已受波及。目前，多個(gè)國(guó)家的電力、石油、通信、交通運(yùn)輸?shù)缺姸嘈袠I(yè)領(lǐng)域受到嚴(yán)重影響，例如，西班牙電力公司 Iberdrola、天然氣公司 Gas Natural 以及電信巨頭 Telefonica，德國(guó)德累斯頓火車站，葡萄牙電信公司，聯(lián)邦快遞 FedEx，俄羅斯內(nèi)政部及其第二大電信運(yùn)營(yíng)商 Megafon 等都遭受了勒索軟件的攻擊。鑒于該惡意軟件傳播速度極快，影響范圍極廣，我重點(diǎn)工業(yè)領(lǐng)域已然受到波及，如若不加防范和控制，大范圍中招只是時(shí)間問題。

三、對(duì)策建議

一是各地工信主管部門盡快組織排查和應(yīng)對(duì)，做好風(fēng)險(xiǎn)通報(bào)工作，確保重要工業(yè)信息系統(tǒng)和工業(yè)控制系統(tǒng)不受攻擊破壞，如果發(fā)現(xiàn)有被攻擊情況，及時(shí)向我中心報(bào)告。

二是盡快做好受影響系統(tǒng) MS17-010 漏洞的補(bǔ)丁升級(jí)工作，避免被惡意勒索軟件利用。

三是如無特殊情況，關(guān)閉 445 端口。

四是做好關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份。

(聯(lián)系電話：010-88686273 010-88683438)

國(guó)家工業(yè)信息安全發(fā)展研究中心

(工業(yè)和信息化部電子第一研究所代章)