曹東

（松遼水利委員水文局（信息中心），吉林 長春 130021）

2017年重大黑客事件之一，就是“WannaCry”勒索病毒軟件的發(fā)作。該病毒軟件是黑客利用從美國國安局泄漏出來的漏洞利用工具“Eternal?Blue”永恒之藍(lán)開發(fā)的，傳播到世界上150多個國家，少部分水利系統(tǒng)的計算機(jī)也感染該病毒。

1 “勒索”病毒軟件的全球爆發(fā)

2017年4月4 日黑客組織影子經(jīng)紀(jì)人shadow brokers公布了NSA泄漏的“網(wǎng)絡(luò)軍火庫”，5月12日，新型“蠕蟲”勒索病毒“Wannacry”在全球大規(guī)模爆發(fā)。該病毒采用被泄漏出來的Windows操作系統(tǒng)MS17-010漏洞，以類似蠕蟲病毒的方式進(jìn)行自我復(fù)制和主動傳播。被“WannaCry”勒索病毒入侵后，用戶主機(jī)系統(tǒng)內(nèi)的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密，加密文件的后綴名被統(tǒng)一修改為．WNCRY，并會在桌面彈出勒索對話框（包含各國語言的勒索字體），還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄，并設(shè)置為隱藏。要求受害者支付比特幣到攻擊者的比特幣錢包，贖金金額會隨著時間的推移而增加。“WannaCry”勒索病毒還將掃描可訪問的服務(wù)器，檢測是否存在DOU?BLEPULSAR后門程序，如果發(fā)現(xiàn)有它會利用此后門程序感染系統(tǒng)。如果系統(tǒng)此前未被感染和植入DOUBLEPULSAR，“WannaCry”勒索病毒還會使用ETERNALBLUE嘗試?yán)肧MB漏洞。5月14日，“WannaCry”勒索病毒出現(xiàn)了變種——Wanna?Cry 2.0，取消Kill Switch傳播速度或更快?！癢ann?aCry”勒索病毒影響到金融，能源，醫(yī)療，教育等行業(yè)，我國的部分Window操作系統(tǒng)用戶遭受感染，許多大學(xué)的校園網(wǎng)紛紛中招，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密，造成嚴(yán)重的危機(jī)管理問題。水利系統(tǒng)有少量計算機(jī)感染病毒，由于應(yīng)對及時，沒有產(chǎn)生大范圍的擴(kuò)散和損失。

2 松遼委的應(yīng)對措施

5月13日，松遼委信息中心接到水利部下發(fā)《關(guān)于做好防范勒索病毒軟件工作》的重要通知：“要求盡快及時更行最新的微軟操作系統(tǒng)補(bǔ)丁，關(guān)閉操作系統(tǒng)不必要開放的445，135，137，138，139等端口，關(guān)閉網(wǎng)絡(luò)共享；定期備份重要文件數(shù)據(jù)”。松遼委領(lǐng)導(dǎo)對此項(xiàng)工作高度重視，指示信息中心迅速采取必要的措施，防止重要水利業(yè)務(wù)數(shù)據(jù)丟失。信息中心組織專業(yè)技術(shù)人員，通過漏掃設(shè)備對機(jī)房內(nèi)所有進(jìn)行水利業(yè)務(wù)服務(wù)器進(jìn)行了漏洞掃描，根據(jù)掃描結(jié)果將服務(wù)器、虛擬機(jī)服務(wù)器、交換機(jī)進(jìn)行445端口關(guān)閉操作。

5月14日水利部又通過水利安全管理工作平臺下發(fā)關(guān)于防范新型勒索病毒緊急通知。要求針對受影響的Windows XP／Windows 2000／Windows 2003/Windows Vista/Windows 7／Windows 8／Windows 10，Windows Server 2008／WindowsServer 2008 R2 Windows Server 2012／Windows Server 2012 R2／Windows Server 2016等操作系統(tǒng)進(jìn)行防護(hù)，再次明確提出此次“永恒之藍(lán)”傳播的勒索病毒影響廣泛、后果嚴(yán)重，需要大家提高安全意識，不要點(diǎn)擊陌生郵件的附件，不要隨意使用其他人的移動存儲設(shè)備，同時盡快檢測并修復(fù)安全漏洞，主要工作步驟如下：

1）做好網(wǎng)絡(luò)邊界訪問控制策略，過濾135、137、445端口。

2）在三層網(wǎng)絡(luò)設(shè)備上添加ACL訪問控制策略，阻斷各Vlan間的445端口通訊。

3）增加域名服務(wù)，將www.iuqerfsodp9ifjaposd?fjhgosurijfaewrwergwea.com重定向至本地，確保域名可被訪問。

4）修復(fù)服務(wù)器漏洞，或采用關(guān)閉445端口，停止server服務(wù)等方式臨時處置。

5）對于未安裝系統(tǒng)補(bǔ)丁的用戶終端，在終端開機(jī)前采取臨時措施，先斷網(wǎng)，通過360、安天或啟民星辰的離線處理后再聯(lián)網(wǎng)。

6）安裝防病毒軟件，安裝系統(tǒng)補(bǔ)丁。

7）更新入侵防御等安全防護(hù)設(shè)備的特征庫，確保設(shè)備能有效防護(hù)病毒入侵。

8）對重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份，對重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像。

9）若出現(xiàn)感染勒索病毒的情況，需立即拔掉該設(shè)備網(wǎng)線，并保持開機(jī)狀態(tài)，隔離進(jìn)行處置。（可以使用“360勒索蠕蟲病毒文件恢復(fù)工具”進(jìn)行嘗試性恢復(fù)）。

為防范新型“蠕蟲”式勒索病毒，松遼委信息中心果斷采取緊急措施，在5月14日晚上將所有樓層交換機(jī)端口設(shè)置為全Down狀態(tài)，通過水利安管平臺下載客戶端檢測工具刻錄成光盤，在5月15日早8點(diǎn)將光盤檢測工具分發(fā)到各業(yè)務(wù)處室進(jìn)行自查檢測，并填寫客戶端處理維護(hù)記錄表。5月15日下午14時，各處室客戶端處理維護(hù)記錄表回饋給信息中心，沒有發(fā)現(xiàn)客戶端感染“WannaCry”病毒，信息中心將各業(yè)務(wù)處室連接的所有樓層交換機(jī)設(shè)置為全UP狀態(tài)，實(shí)現(xiàn)計算機(jī)網(wǎng)絡(luò)恢復(fù)正常。

3 幾點(diǎn)建議

從此次應(yīng)對“WannaCry”勒索病毒防范工作中得出要做好今后的水利信息安全工作，不但要建立完整的信息安全體系，還需每個人都要養(yǎng)成好的數(shù)據(jù)備份習(xí)慣、使用正版軟件、提高信息安全意識、及時安裝防病毒軟件和重視水利信息安全工作。

1）養(yǎng)成數(shù)據(jù)備份的習(xí)慣。我們從事水利業(yè)務(wù)工作的計算機(jī)除了易受計算機(jī)病毒攻擊外，還存在著操作系統(tǒng)和應(yīng)用軟件是否運(yùn)行穩(wěn)定、計算機(jī)硬件本身是否可靠等因素，養(yǎng)成數(shù)據(jù)備份的習(xí)慣，養(yǎng)成編輯文本隔段時間就主動存盤一次、每月進(jìn)行一次數(shù)據(jù)備份，不但要把數(shù)據(jù)存儲在移動硬盤上，還可以保存在云盤上。這些措施可以保證個人水利業(yè)務(wù)數(shù)據(jù)的安全。

2）使用正版軟件并及時進(jìn)行補(bǔ)丁升級。這次英國醫(yī)院成為重災(zāi)區(qū)的重要原因是很多醫(yī)院的IT系統(tǒng)仍然使用Windows XP系統(tǒng)，而Windows XP系統(tǒng)在2014年4月之后就沒有發(fā)布更新的安全補(bǔ)丁了。從中得出使用正版操作系統(tǒng)、正版應(yīng)用軟件和及時進(jìn)行補(bǔ)丁升級更新，才能減少計算機(jī)被病毒軟件的攻擊，保證水利數(shù)據(jù)信息安全。

3）提高水利信息安全意識。這次病毒的廣域網(wǎng)傳播，主要是通過個人對包含“病毒”的郵件下載來實(shí)現(xiàn)的。一旦局域網(wǎng)內(nèi)有一臺計算機(jī)感染病毒，該病毒將會掃描其它可訪問的服務(wù)器或計算機(jī)來傳播病毒。所以，提高個人信息安全意識，對陌生可疑的電子郵件、文件，不要觸碰、點(diǎn)擊和下載，不要訪問可疑網(wǎng)站，才能減少計算機(jī)被病毒軟件的攻擊，保證水利數(shù)據(jù)信息安全。

4）及時安裝防病毒軟件。從事水利業(yè)務(wù)工作的所有計算機(jī)和服務(wù)器都需要安裝防病毒軟件，并做到病毒庫的實(shí)時更新，減少計算機(jī)感染病毒的風(fēng)險，保證水利數(shù)據(jù)信息安全。

5）各單位要重視水利信息安全工作，建設(shè)全面的計算機(jī)防范體系。樹立重要水利信息系統(tǒng)安全等級保護(hù)的“法制”理念，做好重要水利信息系統(tǒng)的定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查等工作。