北京时间 2017 年 5 月 12 日 20 时左右，全球爆发大规模勒索软件感染事件，目前已经波及 99 个国家，涉及能源、电力、交通、医疗、教育等重点行业领域，并且仍在迅速蔓延。目前，我国石油、交通、教育、质检等涉及国计民生的关键领域已“中招”，影响范围十分广泛，造成后果极其严重，应引起高度重视。

一、基本情况

“Wannacry”是一款对感染主机的重要数据文件进行恶意加密的勒索软件，该恶意勒索软件利用了微软 SMB 远程代码执行漏洞 MS17-010，并基于 445 端口迅速传播扩散。该漏洞最早由美国国安局(NSA)旗下方程式组织发现并开发了名为“永恒之蓝”(EternalBlue)的漏洞利用工具，微软在今年 3 月份发布了该漏洞的补丁，但仍有大量用户没有升级补丁。我国部分运营商在主干网络上封禁了 445 端口，但是电力、能源、交通运输、教育等大多数行业的企事业单位内网并没有这个限制，仍然存在大量暴露 445 端口且漏洞未修复的电脑主机，导致勒索软件大肆蔓延，目前对该勒索软件的恶意加密暂无有效解密手段。据悉，该勒索软件目前已经造成中石油在北京、上海、四川、重庆等多个地区的加油站全面断网，如果不加以防范和控制，势必对我国工业领域信息安全造成极大威胁。

二、影响分析

一是工业主机存在被攻击的安全隐患，可对工业生产、人民生活造成严重影响。我国工业领域的工业主机(如操作站、工程师站、历史服务器等)广泛使用了 Windows 通用型操作系统，尤其是大量应用了默认开放 445 端口的 Windows 2000 和 Windows XP 系统，极有可能被“Wannacry”利用漏洞进行入侵攻击，并迅速蔓延至工业企业内网甚至工业控制网络，导致工业主机被加密锁定以至于无法正常运行，甚至造成整个工业企业内网的瘫痪，后果极其严重。国内已有加油站、车管所遭受攻击的案例，造成加油站网络支付系统全面断网，车管所停止提供服务，对人民正常生活造成严重影响，应引起高度重视。

二是工业企业相关敏感数据存在被锁定、篡改和销毁的风险。一旦中招，该勒索软件可以对目标系统和设备中的数十种类型的文件加密，涉及文档、数据库、视频、音频、图像、制图、压缩包等几乎所有文件类型，可能导致工业企业生产运行等敏感数据无法正常采集和读取，对工业生产造成严重经济损失。

三是影响范围十分广泛，我国石油、交通、教育、质检等涉及国计民生的关键领域已受波及。目前，多个国家的电力、石油、通信、交通运输等众多行业领域受到严重影响，例如，西班牙电力公司 Iberdrola、天然气公司 Gas Natural 以及电信巨头 Telefonica，德国德累斯顿火车站，葡萄牙电信公司，联邦快递 FedEx，俄罗斯内政部及其第二大电信运营商 Megafon 等都遭受了勒索软件的攻击。鉴于该恶意软件传播速度极快，影响范围极广，我重点工业领域已然受到波及，如若不加防范和控制，大范围中招只是时间问题。

三、对策建议

一是各地工信主管部门尽快组织排查和应对，做好风险通报工作，确保重要工业信息系统和工业控制系统不受攻击破坏，如果发现有被攻击情况，及时向我中心报告。

二是尽快做好受影响系统 MS17-010 漏洞的补丁升级工作，避免被恶意勒索软件利用。

三是如无特殊情况，关闭 445 端口。

四是做好关键业务数据的备份。

(联系电话：010-88686273 010-88683438)

国家工业信息安全发展研究中心

(工业和信息化部电子第一研究所代章)