WannaCry勒索病毒横行 安防实力企业如何快速应对

WannaCry勒索病毒横行 安防实力企业如何快速应对

【中国安防展览网 企业关注】 2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。

2017年5月14日，监测发现，WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了KillSwitch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

WannaCry勒索病毒横行 安防实力企业如何快速应对

WannaCry勒索病毒攻击过程及造成危害

据腾讯安全反病毒实验室安全研究人员分析发现，此次勒索事件与以往相比最大的区别在于，勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为“EternalBlue”，所以也有的报道称此次攻击为“永恒之蓝”。

据了解，MS17-010漏洞指的是攻击者利用该漏洞，向用户机器的445端口发送精心设计的网络数据包文，实现远程代码执行。如果用户电脑开启防火墙，也会阻止电脑接收445端口的数据。但是在中国高校内，同学之间为了打局域网游戏，有时需要关闭防火墙，这也是此次事件在中国高校内大肆传播的原因。

安全研究人员指出，勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码“WNcry@2ol7”解密并释放文件。这些文件包括了后续弹出勒索框的exe，桌面背景图片的bmp，辅助攻击的两个exe文件以及含有各国语言的勒索字体。这些文件会释放到本地目录，并设置为隐藏。其中“u.wnry*”就是后续弹出的勒索窗口，而在窗口右上角的语言选择框中，可以针对不同国家的用户进行定制的展示，这些字体的信息也存在于之前资源文件释放的压缩包中。

通过分析病毒，安全研究人员进一步发现，含有txt、doc、ppt、xls等后缀名类型的文件会被加密。以图片为例，查看电脑中的图片，发现图片文件已经被勒索软件通过WindowsCryptoAPI进行AES+RSA的组合加密，并且后缀名改为了“*.WNCRY”。此时如果点击勒索界面的decrypt，会弹出解密的框，但只有受害者缴纳赎金后，才可以解密。此外，安全研究人员还发现，不法分子是通过“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三个账号随机选取一个作为钱包地址，收取非法钱财。

目前来看，此次全球突发比特币病毒疯狂袭击公共和商业系统事件，英国各地超过40家医院遭到大范围网络黑客攻击，国家医疗服务系统(NHS)陷入一片混乱。中国多个高校校园网也集体沦陷。据悉，目前至少有150个国家受到网络攻击，受害人数多达20万人，并且影响还在持续中。截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

安防实力企业快速应对 彰显企业责任

前些年在安防厂商大力推广下，网络监控已经趋于成熟并在国内取代模拟监控普及到各个领域。从目前来看报道来看，国内网络视频监控系统并没有受到大面积的WannaCry病毒攻击。为了用户的安全起见，国内众多安防厂商纷纷第一时间做出反应，通过优化网络入口，加固系统安全，全力保障用户系统安全。由于病毒传播速度快，如何第一时间做出正确的反应，就可以最大限度保证用户的系统安全，彰显企业全力维护用户利益，把客户放在第一的理念。

华为安防

华为安防在病毒爆发第一天主动升级IPS特征库及防火墙，同时发布解决方案，协助公安、交警等关键系统的客户进行视频监控平台业务迁移，快速把目前因病毒影响而宕机、主动关机的Windows平台业务进行迁移接管，通过有效的防护手段全力保障社会公共安全系统的稳定运行。

在技术方面，由于华为视频监控解决方案中的核心设备视频云节点(VCN)和视频智能分析云平台(VCM)均采用Linux操作系统，可以从容应对本次突然爆发的安全危机，保障全球数百个平安城市系统的正常运行。

除去Linux系统以外，华为视频监控云平台在针对病毒攻击时还设计了多项预防机制，用以保障系统的稳定安全，华为关闭了不需要使用的端口，最大限度的降低了被攻击的风险。其次业务系统运行程序去root化处理，文件权限也最小化。这种机制保障了当系统被入侵后，想要再度展开对于全系统乃至全网的深度攻击，难度会大大增加。

宇视科技

宇视科技在5月13日召集安全专家和产品研发专家评估安全形势，同时宇视成立了总裁为组长的应急售后保障小组，对用户实际业务影响做全面的实际测试验证，当天宇视针对本次安全事件的发布完整方案，公司600余名技术服务部工作人员全部就位，参与到用户的应急保障行动中。

宇视科技研发总裁王玉波针对此次WannaCry病毒攻击事件表示：“宇视在初期投入150人，耗时两年完成IMOS核心平台构建，并持续加大投入进行优化和技术迭代，至今研发投入累计超万人月。IMOS作为跨平台的系统，移植到Windows是相对容易的选项，内部也曾有讨论和争执，但近几年的安全事件肯定了宇视坚持目前的道路，始终把系统可靠性、数据安全性放于最高位置。”同时表示宇视科技愿与安防同行共同应对网络安全的威胁和挑战，共同维护安防行业的信息安全。

天地伟业

天地伟业在病毒爆发当天，就天地云监控系统针对系统网络环境进行了深度优化，只保留了内部通讯所必需的网络端口，关闭了不需要使用的端口，最大限度的降低了被攻击的风险。同时天地系统对系统权限和文件权限进行了深度优化。这种机制极大限度了避免系统被入侵。即使在系统被入侵情况下，对手也很难对系统及整个网络进行深度攻击。

另外，天地伟业在数字产品、视频监控平台均嵌入信息安全加密模块，从前端设备到平台的媒体数据全部加密处理，保障了媒体数据内容安全不外泄，即使有不法分子从网络中截获了数据也无济于事。

小结

在互联网技术高速发展的今天，以安全防范为核心的安防行业，在时刻保障城市安全运行过程中也时刻受到网络信息安全问题的困扰，尤其是近些年不断曝出各种涉及安防产品的网络信息安全事件，为行业发展敲响了警钟，网络安全问题的重要性已经被提升到一个前所未有的新高度。

在6月1日《网络安全法》即将施行前期，安防行业内同行有必要以开放态度，通过多种平台、渠道开展交流与合作，在组织流程、管理规范、技术标准等方面，共同应对网络安全的威胁和挑战，共同维护安防行业的信息安全。
（来源：中国安防行业网）
文章链接：中国安防展览网 http://www.afzhan.com/news/detail/55366.html