概述：5月12日WannaCry病毒事件大面積爆發，本文主要針對WannaCry病毒的原理與攻擊特征進行分析，并結合工控網絡主機的應用場景，為工控用戶提出相應的檢測與防御方法，消除用戶的恐慌和擔憂，及時采取措施應對此類病毒的變種，保障生產安全。

1.病毒攻擊與傳播原理分析

其實此類勒索病毒或黑客勒索攻擊行為并非首次出現，一些企業的網絡數據庫服務器被黑客攻擊成功后，加密壓縮文件并提出勒索條件，這些以往事件可以稱為個別案例，并未像WannaCry病毒這樣大面積爆發，因此也沒有像此次事件這樣引起全世界的關注和恐慌。

WannaCry（又叫WannaDecryptor），一種“蠕蟲式”的勒索病毒軟件，由不法分子利用NSA（National Security Agency，美國國家安全局）泄露的危險漏洞“EternalBlue”（永恒之藍）進行傳播 。（注：“永恒之藍”是NSA泄露的漏洞利用工具的名稱，此次的勒索病毒WannaCry是利用該漏洞進行傳播的。）

分析其原理，此病毒其實是利用了微軟 Microsoft Windows SMB 服務器通信協議進行傳播的。并且微軟已經于3月份發布了安全更新包，但是由于很多電腦或服務器沒有安裝安全更新，造成大面積感染。SMB（Server Message Block，服務消息塊），使用TCP445端口，主要用來實現網絡上的主機共享文件、打印機、串行端口和通訊等功能。它一般會隨Windows系統啟動時一并默認開啟，很多病毒或蠕蟲均是通過此協議進行傳播或攻擊的。

WannaCry病毒不需要你點開任何文件，打開任何網頁被有可能被動感染，該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB)，以類似于蠕蟲病毒的方式傳播，利用向 Windows SMBv1 （SMB1.0）服務所使用的445端口發送特殊設計的消息，來遠程執行攻擊代碼，攻擊主機并加密主機上存儲的文件，然后要求以比特幣的形式支付贖金。

永恒之藍漏洞技術分析結果如下所示：

2.病毒攻擊流程與攻擊方式分析

攻擊流程：

據技術分析發現，WannaCry病毒分蠕蟲部分及勒索病毒部分，前者用于傳播和釋放病毒，后者攻擊用戶加密文件。據悉，蠕蟲代碼運行后先會連接域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果該域名可以成功連接，則直接停止。而如果上述域名無法訪問，則會安裝病毒服務，在局域網與外網進行傳播。現在這個域名已經被注冊， “WannaCry”很可能會被得到改病毒樣本的“駭客”修改，放開開關（Kill Switch），使病毒繼續傳播。病毒攻擊流程如 下圖所示：

攻擊方式：

遭受WannaCry病毒侵害的電腦，其文件將被加密鎖死，并且病毒在生成加密過的用戶文件后再刪除原始文件。

理論上講，存在通過文件恢復類工具恢復原始未加密文件的可能。但是因為病毒對文件系統的修改操作過于頻繁，導致被刪除的原始文件數據塊被覆蓋，致使實際恢復效果有限。且隨著系統持續運行，恢復類工具恢復數據的可能性會顯著降低。

按以往勒索事件的經驗，受害用戶支付贖金后可以獲得解密密鑰，恢復這些文件。但是根據安全專家分析，遭受WannaCry攻擊的用戶可能會永遠失去這些文件。這是因為WannaCry病毒存在一個致命缺陷，即病毒作者無法明確認定哪些受害者支付了贖金，因此很難 給相應的解密密鑰，所以用戶即使支付了贖金，也未必能順利獲得密鑰該電腦系統及文件依舊無法得到恢復。

至于網上流傳的各種“解密方法”，基本上是沒用的，請大家切勿聽信謊言，以防遭受更多財產損失。一些安全廠商提供的“文件恢復工具”，可以恢復一些被刪除的文件，但是并不能保證恢復所有文件。

勒索頁面如下所示：

3.工控系統病毒防御方式分享

眾所周知，工控系統主機使用的Windows操作系統普遍存在版本低，補丁缺的現狀，面對WannaCry病毒的攻擊，大部分工控主機并不具備防御能力，但慶幸的是，生產工控系統并不直接聯網到公共網絡，所以在病毒爆發的時候，生產系統的主機并未遭受大面積的攻擊和破壞，但根據上文中的分析可知，如果不及時解決工控主機這一系統漏洞，將會像定時炸彈一樣時刻威脅著生產安全，因為工控內網中一旦有一臺主機感染病毒或其變種，就會迅速傳播并造成整個網絡主機感染并癱瘓。

根據病毒攻擊和傳播的原理分析結果，我們不難看出，此次病毒事件的罪魁禍首是SMB協議漏洞以及其使用的445端口，本文將分享幾種有效的檢測和防御方法，讓工控用戶可以通過較為簡單的操作，使得主機擺脫WannaCry病毒的威脅，從而保障安全生產。

檢測方法：

首先我們應該掌握技術手段來驗證某臺主機是否存在被病毒感染的可能，即是否存在漏洞或已經感染病毒。

1、使用Windows 命令檢測445端口是否開啟

運行 CMD 命令窗口，輸入

netstat -ano -p tcp | find "445" >nul 2>nul&& echo 445端口已開啟 || echo 445未開啟

如果提示“445 未開啟”說明本機445端口是關閉的，而顯示為“445端口已開啟”則說明本機的SMB服務時開啟的，需要做相應的安全防護措施。命令行執行結果如下圖所示：

2、使用專用的NSA漏洞檢測工具檢測是否存在漏洞

目前市面上此類檢測工具較多，本文以360公司的檢測工具為例（工具下載地址http://dl.360safe.com/nsa/nsatool.exe）

解壓后，執行NSAScan.exe進行檢測，檢測結果界面如下所示：

3、檢測是否已經感染病毒

依次檢查C盤、D盤、“我的文檔”文件夾和其他保存重要文件的文件夾，查看是否有文件名末尾帶有“.onion”、“.wannacry”、“.wncry”字樣或近似字樣。

防護方法

1、更新補丁

對于有條件更新補丁的工控主機，更新微軟公司的安全補丁是解決此次病毒的最直接方法，這次病毒爆發影響之大為近年來所罕見。幾乎所有的Windows系統如果沒有打補丁，都會被攻擊。微軟在今年3 月發布了MS17-010安全更新，以下系統如果開啟了自動更新 或安裝了對應的更新補丁，可以抵御該病毒——Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016 。而且微軟
破天荒的再次為已經不在維護期的Windows XP、Windows 8和Windows Server 2003提供了緊急安全補丁更新。目前最安全的是Windows 10系統，其可通過自動更新及時打補丁，所以基本不會受該病毒影響。

需要說明的是，微軟公司公布的補丁版本是與操作系統版本相對應的，用戶在下載補丁和運行補丁時，需要先確認自己的操作系統是什么詳細版本，查看方式如下：

運行 CMD命令窗口 鍵入：

ver（用于查看版本）

msinfo32（用于查看詳細版本）

微軟公司官方補丁下載地址：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

Windows XP/Server 2003等早期版本特別補丁下載地址

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

2、網絡防護

工控主機往往存在不能隨意打補丁的限制，而且補丁在安裝過程中或安裝后均可能存在對工控主機產生影響的風險，因此對于不能及時打補丁的工控系統，建議采用網絡防護的方法，

硬件防火墻

禁止445等高危端口的應用，主要可以使用硬件工控防火墻在網絡邊界處進行隔離防護，確認安全策略白名單配置的準確性和安全性，杜絕445端口的連入連出，做好區域隔離；同樣的，在工廠企業辦公網向外網出口處的防火墻也應嚴格配置安全策略，一般在此位置的防火墻安全策略中大量使用Zone to Zone 的大范圍開放規則，安全策略較寬松，需要將445 135、137、138、139等高危敏感端口做拒絕策略。

Windows防火墻

通過配置Windows自帶的軟件防火墻來禁止445等端口的使用，首先在控制面板中找到Windows防火墻一項，將其開啟，并在高級選項中，增加135、137、138、139、445端口的拒絕連入規則，此方法網絡中有較多詳細介紹，本文不再贅述。

但需要提醒用戶的是，Windows防火墻在工控系統中會被禁止使用，啟用之后可能會造成工控軟件通訊問題，比如Windows防火墻是默認拒絕Ping入的，有些工控系統需要用Ping命令確認網絡是否通暢。

主機防護

工控主機如果安裝了工控安全防護軟件并啟用進程白名單模式，可以通過阻止病毒進程運行的方式防止主機感染病毒；而另一方面，在不存在兼容性問題的假設條件下，工控系統使用專門的殺毒軟件也可以短時間防御此病毒，但令人擔憂的是，wannacry病毒剛剛爆發幾天，就有其為了免查殺而出現的變種版本wannasister，而工控系統本身很難及時更新病毒庫，這一直是工控系統無法很好的使用殺毒軟件的根本原因。因此，在工控系統主機防護產品選型方面，基于進程白名單模式的進程防護產品相對而言更適合工控環境的需求。

結語：在經歷了幾天來的“談毒色變”的階段，Windows用戶們已經開始用平和的心態客觀認識和分析此次病毒事件的來龍去脈，工控網絡因其特殊性，在整個安全事件中具有更為深遠的意義，希望能夠通過本文，使得工控用戶掌握更多關于此次病毒的原理和技術方式，從而擺脫恐慌和無助，掌握安全技術，拿起安全武器，抵御工控網絡面臨的安全攻擊，保障生產的安全與穩定運行。