曹东
(松辽水利委员水文局(信息中心),吉林 长春 130021)
2017年重大黑客事件之一,就是“WannaCry”勒索病毒软件的发作。该病毒软件是黑客利用从美国国安局泄漏出来的漏洞利用工具“Eternal⁃Blue”永恒之蓝开发的,传播到世界上150多个国家,少部分水利系统的计算机也感染该病毒。
2017年4月4 日黑客组织影子经纪人shadow brokers公布了NSA泄漏的“网络军火库”,5月12日,新型“蠕虫”勒索病毒“Wannacry”在全球大规模爆发。该病毒采用被泄漏出来的Windows操作系统MS17-010漏洞,以类似蠕虫病毒的方式进行自我复制和主动传播。被“WannaCry”勒索病毒入侵后,用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密,加密文件的后缀名被统一修改为.WNCRY,并会在桌面弹出勒索对话框(包含各国语言的勒索字体),还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。要求受害者支付比特币到攻击者的比特币钱包,赎金金额会随着时间的推移而增加。“WannaCry”勒索病毒还将扫描可访问的服务器,检测是否存在DOU⁃BLEPULSAR后门程序,如果发现有它会利用此后门程序感染系统。如果系统此前未被感染和植入DOUBLEPULSAR,“WannaCry”勒索病毒还会使用ETERNALBLUE尝试利用SMB漏洞。5月14日,“WannaCry”勒索病毒出现了变种——Wanna⁃Cry 2.0,取消Kill Switch传播速度或更快。“Wann⁃aCry”勒索病毒影响到金融,能源,医疗,教育等行业,我国的部分Window操作系统用户遭受感染,许多大学的校园网纷纷中招,大量实验室数据和毕业设计被锁定加密,造成严重的危机管理问题。水利系统有少量计算机感染病毒,由于应对及时,没有产生大范围的扩散和损失。
5月13日,松辽委信息中心接到水利部下发《关于做好防范勒索病毒软件工作》的重要通知:“要求尽快及时更行最新的微软操作系统补丁,关闭操作系统不必要开放的445,135,137,138,139等端口,关闭网络共享;定期备份重要文件数据”。松辽委领导对此项工作高度重视,指示信息中心迅速采取必要的措施,防止重要水利业务数据丢失。信息中心组织专业技术人员,通过漏扫设备对机房内所有进行水利业务服务器进行了漏洞扫描,根据扫描结果将服务器、虚拟机服务器、交换机进行445端口关闭操作。
5月14日水利部又通过水利安全管理工作平台下发关于防范新型勒索病毒紧急通知。要求针对受影响的Windows XP/Windows 2000/Windows 2003/Windows Vista/Windows 7/Windows 8/Windows 10,Windows Server 2008/WindowsServer 2008 R2 Windows Server 2012/Windows Server 2012 R2/Windows Server 2016等操作系统进行防护,再次明确提出此次“永恒之蓝”传播的勒索病毒影响广泛、后果严重,需要大家提高安全意识,不要点击陌生邮件的附件,不要随意使用其他人的移动存储设备,同时尽快检测并修复安全漏洞,主要工作步骤如下:
1)做好网络边界访问控制策略,过滤135、137、445端口。
2)在三层网络设备上添加ACL访问控制策略,阻断各Vlan间的445端口通讯。
3)增加域名服务,将www.iuqerfsodp9ifjaposd⁃fjhgosurijfaewrwergwea.com重定向至本地,确保域名可被访问。
4)修复服务器漏洞,或采用关闭445端口,停止server服务等方式临时处置。
5)对于未安装系统补丁的用户终端,在终端开机前采取临时措施,先断网,通过360、安天或启民星辰的离线处理后再联网。
6)安装防病毒软件,安装系统补丁。
7)更新入侵防御等安全防护设备的特征库,确保设备能有效防护病毒入侵。
8)对重要业务系统立即进行数据备份,对重要业务终端进行系统镜像。
9)若出现感染勒索病毒的情况,需立即拔掉该设备网线,并保持开机状态,隔离进行处置。(可以使用“360勒索蠕虫病毒文件恢复工具”进行尝试性恢复)。
为防范新型“蠕虫”式勒索病毒,松辽委信息中心果断采取紧急措施,在5月14日晚上将所有楼层交换机端口设置为全Down状态,通过水利安管平台下载客户端检测工具刻录成光盘,在5月15日早8点将光盘检测工具分发到各业务处室进行自查检测,并填写客户端处理维护记录表。5月15日下午14时,各处室客户端处理维护记录表回馈给信息中心,没有发现客户端感染“WannaCry”病毒,信息中心将各业务处室连接的所有楼层交换机设置为全UP状态,实现计算机网络恢复正常。
从此次应对“WannaCry”勒索病毒防范工作中得出要做好今后的水利信息安全工作,不但要建立完整的信息安全体系,还需每个人都要养成好的数据备份习惯、使用正版软件、提高信息安全意识、及时安装防病毒软件和重视水利信息安全工作。
1)养成数据备份的习惯。我们从事水利业务工作的计算机除了易受计算机病毒攻击外,还存在着操作系统和应用软件是否运行稳定、计算机硬件本身是否可靠等因素,养成数据备份的习惯,养成编辑文本隔段时间就主动存盘一次、每月进行一次数据备份,不但要把数据存储在移动硬盘上,还可以保存在云盘上。这些措施可以保证个人水利业务数据的安全。
2)使用正版软件并及时进行补丁升级。这次英国医院成为重灾区的重要原因是很多医院的IT系统仍然使用Windows XP系统,而Windows XP系统在2014年4月之后就没有发布更新的安全补丁了。从中得出使用正版操作系统、正版应用软件和及时进行补丁升级更新,才能减少计算机被病毒软件的攻击,保证水利数据信息安全。
3)提高水利信息安全意识。这次病毒的广域网传播,主要是通过个人对包含“病毒”的邮件下载来实现的。一旦局域网内有一台计算机感染病毒,该病毒将会扫描其它可访问的服务器或计算机来传播病毒。所以,提高个人信息安全意识,对陌生可疑的电子邮件、文件,不要触碰、点击和下载,不要访问可疑网站,才能减少计算机被病毒软件的攻击,保证水利数据信息安全。
4)及时安装防病毒软件。从事水利业务工作的所有计算机和服务器都需要安装防病毒软件,并做到病毒库的实时更新,减少计算机感染病毒的风险,保证水利数据信息安全。
5)各单位要重视水利信息安全工作,建设全面的计算机防范体系。树立重要水利信息系统安全等级保护的“法制”理念,做好重要水利信息系统的定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等工作。