一、受WannCry勒索軟件影響的系統(tǒng):

　　Windows Vista / 2008/7 /8.1 / 2012/10/16

　　Windows Vista

　　Windows 7

　　Windows 8 / 8.1

　　Windows Server 2012

　　Windows Server 2016

　　Microsoft 補(bǔ)丁信息及詳情：

　　https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

二、Wannacry背景

WannaCry（想哭，又叫Wanna Decryptor），一種“蠕蟲式”的勒索病毒軟件，大小3.3MB，由不法分子利用此前披露的Windows SMB服務(wù)漏洞（對應(yīng)微軟漏洞公告：MS17-010）攻擊手段，向終端用戶進(jìn)行滲透傳播。該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB)，以類似于蠕蟲病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲的文件，然后要求以比特幣的形式支付贖金。勒索金額為300至600美元。

2017年5月14日，WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0，取消Kill Switch 傳播速度或更快。截止2017年5月15日，WannaCry造成至少有150個國家受到網(wǎng)絡(luò)攻擊，已經(jīng)影響到金融，能源，醫(yī)療等行業(yè)，造成嚴(yán)重的危機(jī)管理問題。中國部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實驗室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密。

目前，安全業(yè)界暫未能有效破除該勒索軟件的惡意加密行為。微軟總裁兼首席法務(wù)官Brad Smith稱，美國國家安全局未披露更多的安全漏洞，給了犯罪組織可乘之機(jī)，最終帶來了這一次攻擊了150個國家的勒索病毒事件。

三、Wannacry對工控安全的影響

2017年5月15日9:35分，力控華康技術(shù)部接到某兩個外省市大型企業(yè)主管工程師電話反饋信息網(wǎng)主機(jī)疑似遭到網(wǎng)絡(luò)攻擊，經(jīng)過遠(yuǎn)程分析基本確定主機(jī)受到了WannaCry攻擊而癱瘓，本地工程師趕往現(xiàn)場后確定“被勒索了”，被攻擊主機(jī)表現(xiàn)為數(shù)百種文件被加密，現(xiàn)場人員都比較緊張，主機(jī)顯示屏顯示如下畫面:

  力控華康本地工程師迅速隔離了中招主機(jī)，并配合對方IT人員對于網(wǎng)絡(luò)中的交換機(jī)和防火墻啟用ACL策略禁止135~138、445端口防止攻擊危害擴(kuò)散，同時啟動對于其他主機(jī)的補(bǔ)丁升級，使得事態(tài)逐漸得到緩解平息。

四、力控華康解決辦法

力控華康在之前1個月就對此種危害進(jìn)行了應(yīng)對，包括：

1. 通知本地工程師與客戶檢查ISG防火墻（產(chǎn)品默認(rèn)白名單，未用到的端口全部關(guān)閉），將現(xiàn)場已部署ISG工業(yè)防火墻重新確認(rèn)禁止了135~138、445端口，對于擅自開啟的一律啟動策略禁用；啟動工控協(xié)議深度過濾防范非法操作；

2. 發(fā)出通知提醒用戶進(jìn)行微軟MS17-010安全補(bǔ)丁升級；

3. 推薦未部署的用戶部署PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)；

有了ISG工業(yè)防火墻對于攻擊端口的禁用，阻止了WannaCry網(wǎng)絡(luò)攻擊的通路；部署PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)在信息網(wǎng)與控制網(wǎng)建立了一道硬防護(hù)，采用“2+1”雙主機(jī)結(jié)構(gòu)，在最惡劣的情況下也難以對控制網(wǎng)進(jìn)行直接滲透攻擊。

截至發(fā)稿時間還未接到已經(jīng)安裝力控華康ISG工業(yè)防火墻和PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)產(chǎn)品的用戶反饋控制網(wǎng)受到WannaCry攻擊的案例，信息網(wǎng)當(dāng)中使用ISG防火墻進(jìn)行區(qū)域防護(hù)與精準(zhǔn)防護(hù)的主機(jī)和設(shè)備也沒有中招反饋，我們也將持續(xù)跟蹤，如有異常網(wǎng)絡(luò)行為力控華康安管平臺也將實時獲取并上報，為提前預(yù)防風(fēng)險提供分析依據(jù)。

五、總結(jié)與深思

WannaCry席卷全球，中國近3萬家機(jī)構(gòu)受到影響，本次應(yīng)急響應(yīng)也說明工控安全刻不容緩，伴隨著國家《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的正式發(fā)布，各行業(yè)標(biāo)準(zhǔn)也緊隨制定當(dāng)中，本次WannaCry事件再一次給工控行業(yè)安全敲響警鐘。

力控華康致力于工業(yè)安全防護(hù)與研究，在工業(yè)現(xiàn)場已經(jīng)安裝了數(shù)千套PSL工業(yè)隔離防護(hù)網(wǎng)關(guān)以及ISG工業(yè)防火墻，在這場網(wǎng)絡(luò)攻擊事件中，確保用戶的DCS、PLC等控制系統(tǒng)和實時數(shù)據(jù)庫系統(tǒng)免受攻擊，有力保障了工業(yè)生產(chǎn)的正常進(jìn)行和工業(yè)控制系統(tǒng)的安全運行。力控華康也將繼續(xù)以“專注”所以“專業(yè)”服務(wù)于工控安全。