一、受WannCry勒索軟件影響的系統:

　　Windows Vista / 2008/7 /8.1 / 2012/10/16

　　Windows Vista

　　Windows 7

　　Windows 8 / 8.1

　　Windows Server 2012

　　Windows Server 2016

　　Microsoft 補丁信息及詳情：

　　https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

二、Wannacry背景

WannaCry（想哭，又叫Wanna Decryptor），一種“蠕蟲式”的勒索病毒軟件，大小3.3MB，由不法分子利用此前披露的Windows SMB服務漏洞（對應微軟漏洞公告：MS17-010）攻擊手段，向終端用戶進行滲透傳播。該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB)，以類似于蠕蟲病毒的方式傳播，攻擊主機并加密主機上存儲的文件，然后要求以比特幣的形式支付贖金。勒索金額為300至600美元。

2017年5月14日，WannaCry 勒索病毒出現了變種：WannaCry 2.0，取消Kill Switch 傳播速度或更快。截止2017年5月15日，WannaCry造成至少有150個國家受到網絡攻擊，已經影響到金融，能源，醫療等行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。

目前，安全業界暫未能有效破除該勒索軟件的惡意加密行為。微軟總裁兼首席法務官Brad Smith稱，美國國家安全局未披露更多的安全漏洞，給了犯罪組織可乘之機，最終帶來了這一次攻擊了150個國家的勒索病毒事件。

三、Wannacry對工控安全的影響

2017年5月15日9:35分，力控華康技術部接到某兩個外省市大型企業主管工程師電話反饋信息網主機疑似遭到網絡攻擊，經過遠程分析基本確定主機受到了WannaCry攻擊而癱瘓，本地工程師趕往現場后確定“被勒索了”，被攻擊主機表現為數百種文件被加密，現場人員都比較緊張，主機顯示屏顯示如下畫面:

  力控華康本地工程師迅速隔離了中招主機，并配合對方IT人員對于網絡中的交換機和防火墻啟用ACL策略禁止135~138、445端口防止攻擊危害擴散，同時啟動對于其他主機的補丁升級，使得事態逐漸得到緩解平息。

四、力控華康解決辦法

力控華康在之前1個月就對此種危害進行了應對，包括：

1. 通知本地工程師與客戶檢查ISG防火墻（產品默認白名單，未用到的端口全部關閉），將現場已部署ISG工業防火墻重新確認禁止了135~138、445端口，對于擅自開啟的一律啟動策略禁用；啟動工控協議深度過濾防范非法操作；

2. 發出通知提醒用戶進行微軟MS17-010安全補丁升級；

3. 推薦未部署的用戶部署PSL工業網絡隔離網關；

有了ISG工業防火墻對于攻擊端口的禁用，阻止了WannaCry網絡攻擊的通路；部署PSL工業網絡隔離網關在信息網與控制網建立了一道硬防護，采用“2+1”雙主機結構，在最惡劣的情況下也難以對控制網進行直接滲透攻擊。

截至發稿時間還未接到已經安裝力控華康ISG工業防火墻和PSL工業網絡隔離網關產品的用戶反饋控制網受到WannaCry攻擊的案例，信息網當中使用ISG防火墻進行區域防護與精準防護的主機和設備也沒有中招反饋，我們也將持續跟蹤，如有異常網絡行為力控華康安管平臺也將實時獲取并上報，為提前預防風險提供分析依據。

五、總結與深思

WannaCry席卷全球，中國近3萬家機構受到影響，本次應急響應也說明工控安全刻不容緩，伴隨著國家《工業控制系統信息安全防護指南》的正式發布，各行業標準也緊隨制定當中，本次WannaCry事件再一次給工控行業安全敲響警鐘。

力控華康致力于工業安全防護與研究，在工業現場已經安裝了數千套PSL工業隔離防護網關以及ISG工業防火墻，在這場網絡攻擊事件中，確保用戶的DCS、PLC等控制系統和實時數據庫系統免受攻擊，有力保障了工業生產的正常進行和工業控制系統的安全運行。力控華康也將繼續以“專注”所以“專業”服務于工控安全。