曹東
(松遼水利委員水文局(信息中心),吉林 長(zhǎng)春 130021)
2017年重大黑客事件之一,就是“WannaCry”勒索病毒軟件的發(fā)作。該病毒軟件是黑客利用從美國(guó)國(guó)安局泄漏出來(lái)的漏洞利用工具“Eternal?Blue”永恒之藍(lán)開(kāi)發(fā)的,傳播到世界上150多個(gè)國(guó)家,少部分水利系統(tǒng)的計(jì)算機(jī)也感染該病毒。
2017年4月4 日黑客組織影子經(jīng)紀(jì)人shadow brokers公布了NSA泄漏的“網(wǎng)絡(luò)軍火庫(kù)”,5月12日,新型“蠕蟲(chóng)”勒索病毒“Wannacry”在全球大規(guī)模爆發(fā)。該病毒采用被泄漏出來(lái)的Windows操作系統(tǒng)MS17-010漏洞,以類似蠕蟲(chóng)病毒的方式進(jìn)行自我復(fù)制和主動(dòng)傳播。被“WannaCry”勒索病毒入侵后,用戶主機(jī)系統(tǒng)內(nèi)的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密,加密文件的后綴名被統(tǒng)一修改為.WNCRY,并會(huì)在桌面彈出勒索對(duì)話框(包含各國(guó)語(yǔ)言的勒索字體),還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄,并設(shè)置為隱藏。要求受害者支付比特幣到攻擊者的比特幣錢(qián)包,贖金金額會(huì)隨著時(shí)間的推移而增加?!癢annaCry”勒索病毒還將掃描可訪問(wèn)的服務(wù)器,檢測(cè)是否存在DOU?BLEPULSAR后門(mén)程序,如果發(fā)現(xiàn)有它會(huì)利用此后門(mén)程序感染系統(tǒng)。如果系統(tǒng)此前未被感染和植入DOUBLEPULSAR,“WannaCry”勒索病毒還會(huì)使用ETERNALBLUE嘗試?yán)肧MB漏洞。5月14日,“WannaCry”勒索病毒出現(xiàn)了變種——Wanna?Cry 2.0,取消Kill Switch傳播速度或更快?!癢ann?aCry”勒索病毒影響到金融,能源,醫(yī)療,教育等行業(yè),我國(guó)的部分Window操作系統(tǒng)用戶遭受感染,許多大學(xué)的校園網(wǎng)紛紛中招,大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密,造成嚴(yán)重的危機(jī)管理問(wèn)題。水利系統(tǒng)有少量計(jì)算機(jī)感染病毒,由于應(yīng)對(duì)及時(shí),沒(méi)有產(chǎn)生大范圍的擴(kuò)散和損失。
5月13日,松遼委信息中心接到水利部下發(fā)《關(guān)于做好防范勒索病毒軟件工作》的重要通知:“要求盡快及時(shí)更行最新的微軟操作系統(tǒng)補(bǔ)丁,關(guān)閉操作系統(tǒng)不必要開(kāi)放的445,135,137,138,139等端口,關(guān)閉網(wǎng)絡(luò)共享;定期備份重要文件數(shù)據(jù)”。松遼委領(lǐng)導(dǎo)對(duì)此項(xiàng)工作高度重視,指示信息中心迅速采取必要的措施,防止重要水利業(yè)務(wù)數(shù)據(jù)丟失。信息中心組織專業(yè)技術(shù)人員,通過(guò)漏掃設(shè)備對(duì)機(jī)房?jī)?nèi)所有進(jìn)行水利業(yè)務(wù)服務(wù)器進(jìn)行了漏洞掃描,根據(jù)掃描結(jié)果將服務(wù)器、虛擬機(jī)服務(wù)器、交換機(jī)進(jìn)行445端口關(guān)閉操作。
5月14日水利部又通過(guò)水利安全管理工作平臺(tái)下發(fā)關(guān)于防范新型勒索病毒緊急通知。要求針對(duì)受影響的Windows XP/Windows 2000/Windows 2003/Windows Vista/Windows 7/Windows 8/Windows 10,Windows Server 2008/WindowsServer 2008 R2 Windows Server 2012/Windows Server 2012 R2/Windows Server 2016等操作系統(tǒng)進(jìn)行防護(hù),再次明確提出此次“永恒之藍(lán)”傳播的勒索病毒影響廣泛、后果嚴(yán)重,需要大家提高安全意識(shí),不要點(diǎn)擊陌生郵件的附件,不要隨意使用其他人的移動(dòng)存儲(chǔ)設(shè)備,同時(shí)盡快檢測(cè)并修復(fù)安全漏洞,主要工作步驟如下:
1)做好網(wǎng)絡(luò)邊界訪問(wèn)控制策略,過(guò)濾135、137、445端口。
2)在三層網(wǎng)絡(luò)設(shè)備上添加ACL訪問(wèn)控制策略,阻斷各Vlan間的445端口通訊。
3)增加域名服務(wù),將www.iuqerfsodp9ifjaposd?fjhgosurijfaewrwergwea.com重定向至本地,確保域名可被訪問(wèn)。
4)修復(fù)服務(wù)器漏洞,或采用關(guān)閉445端口,停止server服務(wù)等方式臨時(shí)處置。
5)對(duì)于未安裝系統(tǒng)補(bǔ)丁的用戶終端,在終端開(kāi)機(jī)前采取臨時(shí)措施,先斷網(wǎng),通過(guò)360、安天或啟民星辰的離線處理后再聯(lián)網(wǎng)。
6)安裝防病毒軟件,安裝系統(tǒng)補(bǔ)丁。
7)更新入侵防御等安全防護(hù)設(shè)備的特征庫(kù),確保設(shè)備能有效防護(hù)病毒入侵。
8)對(duì)重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份,對(duì)重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像。
9)若出現(xiàn)感染勒索病毒的情況,需立即拔掉該設(shè)備網(wǎng)線,并保持開(kāi)機(jī)狀態(tài),隔離進(jìn)行處置。(可以使用“360勒索蠕蟲(chóng)病毒文件恢復(fù)工具”進(jìn)行嘗試性恢復(fù))。
為防范新型“蠕蟲(chóng)”式勒索病毒,松遼委信息中心果斷采取緊急措施,在5月14日晚上將所有樓層交換機(jī)端口設(shè)置為全Down狀態(tài),通過(guò)水利安管平臺(tái)下載客戶端檢測(cè)工具刻錄成光盤(pán),在5月15日早8點(diǎn)將光盤(pán)檢測(cè)工具分發(fā)到各業(yè)務(wù)處室進(jìn)行自查檢測(cè),并填寫(xiě)客戶端處理維護(hù)記錄表。5月15日下午14時(shí),各處室客戶端處理維護(hù)記錄表回饋給信息中心,沒(méi)有發(fā)現(xiàn)客戶端感染“WannaCry”病毒,信息中心將各業(yè)務(wù)處室連接的所有樓層交換機(jī)設(shè)置為全UP狀態(tài),實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)恢復(fù)正常。
從此次應(yīng)對(duì)“WannaCry”勒索病毒防范工作中得出要做好今后的水利信息安全工作,不但要建立完整的信息安全體系,還需每個(gè)人都要養(yǎng)成好的數(shù)據(jù)備份習(xí)慣、使用正版軟件、提高信息安全意識(shí)、及時(shí)安裝防病毒軟件和重視水利信息安全工作。
1)養(yǎng)成數(shù)據(jù)備份的習(xí)慣。我們從事水利業(yè)務(wù)工作的計(jì)算機(jī)除了易受計(jì)算機(jī)病毒攻擊外,還存在著操作系統(tǒng)和應(yīng)用軟件是否運(yùn)行穩(wěn)定、計(jì)算機(jī)硬件本身是否可靠等因素,養(yǎng)成數(shù)據(jù)備份的習(xí)慣,養(yǎng)成編輯文本隔段時(shí)間就主動(dòng)存盤(pán)一次、每月進(jìn)行一次數(shù)據(jù)備份,不但要把數(shù)據(jù)存儲(chǔ)在移動(dòng)硬盤(pán)上,還可以保存在云盤(pán)上。這些措施可以保證個(gè)人水利業(yè)務(wù)數(shù)據(jù)的安全。
2)使用正版軟件并及時(shí)進(jìn)行補(bǔ)丁升級(jí)。這次英國(guó)醫(yī)院成為重災(zāi)區(qū)的重要原因是很多醫(yī)院的IT系統(tǒng)仍然使用Windows XP系統(tǒng),而Windows XP系統(tǒng)在2014年4月之后就沒(méi)有發(fā)布更新的安全補(bǔ)丁了。從中得出使用正版操作系統(tǒng)、正版應(yīng)用軟件和及時(shí)進(jìn)行補(bǔ)丁升級(jí)更新,才能減少計(jì)算機(jī)被病毒軟件的攻擊,保證水利數(shù)據(jù)信息安全。
3)提高水利信息安全意識(shí)。這次病毒的廣域網(wǎng)傳播,主要是通過(guò)個(gè)人對(duì)包含“病毒”的郵件下載來(lái)實(shí)現(xiàn)的。一旦局域網(wǎng)內(nèi)有一臺(tái)計(jì)算機(jī)感染病毒,該病毒將會(huì)掃描其它可訪問(wèn)的服務(wù)器或計(jì)算機(jī)來(lái)傳播病毒。所以,提高個(gè)人信息安全意識(shí),對(duì)陌生可疑的電子郵件、文件,不要觸碰、點(diǎn)擊和下載,不要訪問(wèn)可疑網(wǎng)站,才能減少計(jì)算機(jī)被病毒軟件的攻擊,保證水利數(shù)據(jù)信息安全。
4)及時(shí)安裝防病毒軟件。從事水利業(yè)務(wù)工作的所有計(jì)算機(jī)和服務(wù)器都需要安裝防病毒軟件,并做到病毒庫(kù)的實(shí)時(shí)更新,減少計(jì)算機(jī)感染病毒的風(fēng)險(xiǎn),保證水利數(shù)據(jù)信息安全。
5)各單位要重視水利信息安全工作,建設(shè)全面的計(jì)算機(jī)防范體系。樹(shù)立重要水利信息系統(tǒng)安全等級(jí)保護(hù)的“法制”理念,做好重要水利信息系統(tǒng)的定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查等工作。