五月十二日晚上20:00全球爆發大規模勒索軟件感染事件，目前已經涉及150個國家20萬個受害者，包括能源、電力、教育、醫療、交通等重點領域都在快速蔓延，西班牙電力公司Iberdrola、天然氣公司Gas natural以及電信巨頭Telefonica無一幸免；德國德勒斯頓火車站、葡萄牙電信、聯邦快遞FedEx包括俄羅斯內政部和第二大電信巨頭Magefon等都遭到了勒索軟件的攻擊；國內中石油北京、上海、四川、重慶等地的加油站全面斷網，幾大高校也遭受了不同程度的攻擊，截止5月14日中國已有29372家機構組織的數十萬臺機器感染。

今天早上朋友圈各種文章都在討論防病毒方法，各種企業、政府預防公告，還有各種step by step防御辦法，更甚者聽說某些單位全部斷開外網。今天早上也有很多朋友打電話咨詢如何防范，如果中毒如何處理等； 

今早的一篇來自劍指工控的文章《安全圈的殺人游戲》把本次事件的緣由把它比喻成了當下流行的殺人游戲：

法官：NSA  警察：MicroSoft  殺手：WannaCry

?

法官NSA無意泄露了警察（MicroSoft）的信息（ETERNALBLUE漏洞)，警察（MicroSoft）跳警（2017年3月14日微軟發布比特病毒的安全補丁后），殺手WannaCry得到信息反應更快，借時間差屠殺平民。公開的補丁就這樣成了屠殺的邀請函。

5月12日國家工業信息安全研究中心發布緊急通知要求各地工信主管部門盡快做好組織應對和風險通報。

工業領域的工控機（工程師站、操作員站、歷史服務器，SCADA服務器）等大量使用Windows系統，而且2008年以前的90%工控系統均采用Windows 2000 SP4和Windows XP，這兩個系統默認開放445端口，極有可能被“WannaCry”利用漏洞進行入侵攻擊，并迅速蔓延到整個工業控制網絡，嚴重導致組態軟件加密狗失效，甚至造成工業企業內網癱瘓。而且一旦中招，工業企業相關敏感數據存在被鎖定、篡改和銷毀的風險。如果您的配方、數據庫、視頻、制圖等關鍵數據不被截取，請認證閱讀本文。當然了有的企業說我們正常辦公必須開放445端口，那怎么辦？本文后續段落會有不禁用445端口如何防范類似WannaCry的攻擊。

先來看看這個所謂的勒索軟件到底是個什么妖孽？

WannaCry也被稱為WannaCrypt0r 2.0， WannaCry使用了NSA泄露的ETERNALBLUE（永恒之藍）漏洞，ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服務器協議進行傳播，該漏洞并不是0Day漏洞， 補丁程序微軟已于2017年3月14日發布，但未打補丁的用戶有可能遭受此次攻擊。

你是否也已經中招了？

感染過程：

第一步：病毒運行后會生成啟動項（注冊表里）：

第二步：遍歷磁盤：

\ProgramData

\Intel

\WINDOWS

\Program Files

\Program Files (x86)

\AppData\Local\Temp

\Local Settings\Temp

第三步：遍歷文件后實施加密：

遍歷磁盤文件，加密以下178種擴展名文件。

感染WannaCry后，用戶的終端與受到大多數的勒索軟件侵蝕后一樣，會將各類型數據、文檔文件加密，被加密的文件后綴名會改成.WNCRY，并索要贖金。

?

工業控制系統又如何防范WannaCry的感染呢？

首先大家不要恐慌，沒有朋友圈宣傳的這么可怕，類似通過445共享端口進行攻擊的案列很多，因此網絡運營商基本上針對個人和企業都關閉了445這個端口。

而教育部門（各個大學）以及一些科研院所以及加油站支付系統為了共享方便，都是開放445這個端口，所以這也就是為什么這么多大學和加油站都會中招的原因。

對于工業用戶最原始的方法就是斷網或者關閉445和139等端口，但是這種方法直接將共享文件的功能全部禁用了，并非最優的解決方案。

特征碼——照妖鏡

WitLinc IPS rules：42329-42332、42340、41978

通俗的說就是我們不需要關閉445和139端口，也可以把WannaCry過濾掉。

我們知道傳統的防火墻均采用包過濾的方法，只過濾數據流的3，4層信息，也就是五元組：源IP、源端口、協議、目的IP、目的端口；

但是Witlinc工業防火墻在傳統防火墻的基礎上內嵌IPS，可以在傳統包過濾防火墻的基礎上再進行7層特征碼的過濾，例如防火墻允許外網訪問內網Web服務器的80端口，但是Witlinc IPS可以過濾黑客發起的SQL注入數據包。針對本次事件Witlinc防火墻可以允許數據通過445端口，但是如果數據包中含有WannaCry的特征碼，那么該數據包將會被過濾掉。而且可以阻止被阻攔對象的的阻攔時間，從1秒到無限時長，防止特征碼有誤，而防火墻策略一般是無限時長的阻攔。

Witlinc Technology WL-620F工業防火墻其他主要功能：

●?實時通訊分析和信息包記錄

●?信息包有效載荷檢測

●?協議分析和內容查詢匹配

●?探測緩沖溢出、秘密端口掃描、CGI攻擊、SMB探測、操作系統侵入嘗試

●?對系統日志、指定文件、Unix socket或通過Samba的WinPopus 進行實時警

信息包有效載荷探測是Witlinc Technology工業防火墻與傳統防火墻最明顯的區別，這就意味著很多額外種類的敵對行為可以被探測到。

最后特別感謝劍指工控提供的《安全圈的殺人游戲》！