曹東

（松遼水利委員水文局（信息中心），吉林 長(zhǎng)春 130021）

2017年重大黑客事件之一，就是“WannaCry”勒索病毒軟件的發(fā)作。該病毒軟件是黑客利用從美國(guó)國(guó)安局泄漏出來(lái)的漏洞利用工具“Eternal?Blue”永恒之藍(lán)開(kāi)發(fā)的，傳播到世界上150多個(gè)國(guó)家，少部分水利系統(tǒng)的計(jì)算機(jī)也感染該病毒。

1 “勒索”病毒軟件的全球爆發(fā)

2017年4月4 日黑客組織影子經(jīng)紀(jì)人shadow brokers公布了NSA泄漏的“網(wǎng)絡(luò)軍火庫(kù)”，5月12日，新型“蠕蟲(chóng)”勒索病毒“Wannacry”在全球大規(guī)模爆發(fā)。該病毒采用被泄漏出來(lái)的Windows操作系統(tǒng)MS17-010漏洞，以類似蠕蟲(chóng)病毒的方式進(jìn)行自我復(fù)制和主動(dòng)傳播。被“WannaCry”勒索病毒入侵后，用戶主機(jī)系統(tǒng)內(nèi)的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密，加密文件的后綴名被統(tǒng)一修改為．WNCRY，并會(huì)在桌面彈出勒索對(duì)話框（包含各國(guó)語(yǔ)言的勒索字體），還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄，并設(shè)置為隱藏。要求受害者支付比特幣到攻擊者的比特幣錢(qián)包，贖金金額會(huì)隨著時(shí)間的推移而增加?！癢annaCry”勒索病毒還將掃描可訪問(wèn)的服務(wù)器，檢測(cè)是否存在DOU?BLEPULSAR后門(mén)程序，如果發(fā)現(xiàn)有它會(huì)利用此后門(mén)程序感染系統(tǒng)。如果系統(tǒng)此前未被感染和植入DOUBLEPULSAR，“WannaCry”勒索病毒還會(huì)使用ETERNALBLUE嘗試?yán)肧MB漏洞。5月14日，“WannaCry”勒索病毒出現(xiàn)了變種——Wanna?Cry 2.0，取消Kill Switch傳播速度或更快?！癢ann?aCry”勒索病毒影響到金融，能源，醫(yī)療，教育等行業(yè)，我國(guó)的部分Window操作系統(tǒng)用戶遭受感染，許多大學(xué)的校園網(wǎng)紛紛中招，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密，造成嚴(yán)重的危機(jī)管理問(wèn)題。水利系統(tǒng)有少量計(jì)算機(jī)感染病毒，由于應(yīng)對(duì)及時(shí)，沒(méi)有產(chǎn)生大范圍的擴(kuò)散和損失。

2 松遼委的應(yīng)對(duì)措施

5月13日，松遼委信息中心接到水利部下發(fā)《關(guān)于做好防范勒索病毒軟件工作》的重要通知：“要求盡快及時(shí)更行最新的微軟操作系統(tǒng)補(bǔ)丁，關(guān)閉操作系統(tǒng)不必要開(kāi)放的445，135，137，138，139等端口，關(guān)閉網(wǎng)絡(luò)共享；定期備份重要文件數(shù)據(jù)”。松遼委領(lǐng)導(dǎo)對(duì)此項(xiàng)工作高度重視，指示信息中心迅速采取必要的措施，防止重要水利業(yè)務(wù)數(shù)據(jù)丟失。信息中心組織專業(yè)技術(shù)人員，通過(guò)漏掃設(shè)備對(duì)機(jī)房?jī)?nèi)所有進(jìn)行水利業(yè)務(wù)服務(wù)器進(jìn)行了漏洞掃描，根據(jù)掃描結(jié)果將服務(wù)器、虛擬機(jī)服務(wù)器、交換機(jī)進(jìn)行445端口關(guān)閉操作。

5月14日水利部又通過(guò)水利安全管理工作平臺(tái)下發(fā)關(guān)于防范新型勒索病毒緊急通知。要求針對(duì)受影響的Windows XP／Windows 2000／Windows 2003/Windows Vista/Windows 7／Windows 8／Windows 10，Windows Server 2008／WindowsServer 2008 R2 Windows Server 2012／Windows Server 2012 R2／Windows Server 2016等操作系統(tǒng)進(jìn)行防護(hù)，再次明確提出此次“永恒之藍(lán)”傳播的勒索病毒影響廣泛、后果嚴(yán)重，需要大家提高安全意識(shí)，不要點(diǎn)擊陌生郵件的附件，不要隨意使用其他人的移動(dòng)存儲(chǔ)設(shè)備，同時(shí)盡快檢測(cè)并修復(fù)安全漏洞，主要工作步驟如下：

1）做好網(wǎng)絡(luò)邊界訪問(wèn)控制策略，過(guò)濾135、137、445端口。

2）在三層網(wǎng)絡(luò)設(shè)備上添加ACL訪問(wèn)控制策略，阻斷各Vlan間的445端口通訊。

3）增加域名服務(wù)，將www.iuqerfsodp9ifjaposd?fjhgosurijfaewrwergwea.com重定向至本地，確保域名可被訪問(wèn)。

4）修復(fù)服務(wù)器漏洞，或采用關(guān)閉445端口，停止server服務(wù)等方式臨時(shí)處置。

5）對(duì)于未安裝系統(tǒng)補(bǔ)丁的用戶終端，在終端開(kāi)機(jī)前采取臨時(shí)措施，先斷網(wǎng)，通過(guò)360、安天或啟民星辰的離線處理后再聯(lián)網(wǎng)。

6）安裝防病毒軟件，安裝系統(tǒng)補(bǔ)丁。

7）更新入侵防御等安全防護(hù)設(shè)備的特征庫(kù)，確保設(shè)備能有效防護(hù)病毒入侵。

8）對(duì)重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份，對(duì)重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像。

9）若出現(xiàn)感染勒索病毒的情況，需立即拔掉該設(shè)備網(wǎng)線，并保持開(kāi)機(jī)狀態(tài)，隔離進(jìn)行處置。（可以使用“360勒索蠕蟲(chóng)病毒文件恢復(fù)工具”進(jìn)行嘗試性恢復(fù)）。

為防范新型“蠕蟲(chóng)”式勒索病毒，松遼委信息中心果斷采取緊急措施，在5月14日晚上將所有樓層交換機(jī)端口設(shè)置為全Down狀態(tài)，通過(guò)水利安管平臺(tái)下載客戶端檢測(cè)工具刻錄成光盤(pán)，在5月15日早8點(diǎn)將光盤(pán)檢測(cè)工具分發(fā)到各業(yè)務(wù)處室進(jìn)行自查檢測(cè)，并填寫(xiě)客戶端處理維護(hù)記錄表。5月15日下午14時(shí)，各處室客戶端處理維護(hù)記錄表回饋給信息中心，沒(méi)有發(fā)現(xiàn)客戶端感染“WannaCry”病毒，信息中心將各業(yè)務(wù)處室連接的所有樓層交換機(jī)設(shè)置為全UP狀態(tài)，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)恢復(fù)正常。

3 幾點(diǎn)建議

從此次應(yīng)對(duì)“WannaCry”勒索病毒防范工作中得出要做好今后的水利信息安全工作，不但要建立完整的信息安全體系，還需每個(gè)人都要養(yǎng)成好的數(shù)據(jù)備份習(xí)慣、使用正版軟件、提高信息安全意識(shí)、及時(shí)安裝防病毒軟件和重視水利信息安全工作。

1）養(yǎng)成數(shù)據(jù)備份的習(xí)慣。我們從事水利業(yè)務(wù)工作的計(jì)算機(jī)除了易受計(jì)算機(jī)病毒攻擊外，還存在著操作系統(tǒng)和應(yīng)用軟件是否運(yùn)行穩(wěn)定、計(jì)算機(jī)硬件本身是否可靠等因素，養(yǎng)成數(shù)據(jù)備份的習(xí)慣，養(yǎng)成編輯文本隔段時(shí)間就主動(dòng)存盤(pán)一次、每月進(jìn)行一次數(shù)據(jù)備份，不但要把數(shù)據(jù)存儲(chǔ)在移動(dòng)硬盤(pán)上，還可以保存在云盤(pán)上。這些措施可以保證個(gè)人水利業(yè)務(wù)數(shù)據(jù)的安全。

2）使用正版軟件并及時(shí)進(jìn)行補(bǔ)丁升級(jí)。這次英國(guó)醫(yī)院成為重災(zāi)區(qū)的重要原因是很多醫(yī)院的IT系統(tǒng)仍然使用Windows XP系統(tǒng)，而Windows XP系統(tǒng)在2014年4月之后就沒(méi)有發(fā)布更新的安全補(bǔ)丁了。從中得出使用正版操作系統(tǒng)、正版應(yīng)用軟件和及時(shí)進(jìn)行補(bǔ)丁升級(jí)更新，才能減少計(jì)算機(jī)被病毒軟件的攻擊，保證水利數(shù)據(jù)信息安全。

3）提高水利信息安全意識(shí)。這次病毒的廣域網(wǎng)傳播，主要是通過(guò)個(gè)人對(duì)包含“病毒”的郵件下載來(lái)實(shí)現(xiàn)的。一旦局域網(wǎng)內(nèi)有一臺(tái)計(jì)算機(jī)感染病毒，該病毒將會(huì)掃描其它可訪問(wèn)的服務(wù)器或計(jì)算機(jī)來(lái)傳播病毒。所以，提高個(gè)人信息安全意識(shí)，對(duì)陌生可疑的電子郵件、文件，不要觸碰、點(diǎn)擊和下載，不要訪問(wèn)可疑網(wǎng)站，才能減少計(jì)算機(jī)被病毒軟件的攻擊，保證水利數(shù)據(jù)信息安全。

4）及時(shí)安裝防病毒軟件。從事水利業(yè)務(wù)工作的所有計(jì)算機(jī)和服務(wù)器都需要安裝防病毒軟件，并做到病毒庫(kù)的實(shí)時(shí)更新，減少計(jì)算機(jī)感染病毒的風(fēng)險(xiǎn)，保證水利數(shù)據(jù)信息安全。

5）各單位要重視水利信息安全工作，建設(shè)全面的計(jì)算機(jī)防范體系。樹(shù)立重要水利信息系統(tǒng)安全等級(jí)保護(hù)的“法制”理念，做好重要水利信息系統(tǒng)的定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查等工作。