这个名叫WannaCry的恶意软件，仿佛是在短短一夜之间就对全球的计算机带来了沉重的打击，让人猝不及防。目前影响已遍及全球近百个国家，包括英国的国家医疗系统、全球知名快递公司FedEx、俄罗斯第二大运营商Megafon都成为受害者。我国也是受害最为严重的国家之一，几乎所有省份都存在感染，尤其是中东部以及东南沿海地区等经济发达的地方。

（图2：全球感染情况）

目前该恶意软件主要是在各大单位的办公网络进行传播，但是考虑到WannaCry的严重危害性和工业生产企业相对不完善的生产网络安全现状，相关生产企业也需要高度重视起来，采取积极措施进行应急响应和安全防护。

西班牙电力公司Iberdrola和天然气公司Gas Natural受到了攻击

德国国营铁路公司受到攻击影响列车出发和到达显示屏

日产汽车位于英国桑德兰的几个工厂受到攻击而暂停生产

雷诺汽车位于法国的多家工厂受到攻击而暂停生产

罗马尼亚最大的汽车制造企业达契亚汽车厂遭到攻击而部分停产

国内出现了加油站、ATM机器、交通指挥系统等被感染无法使用的情况

与以往的勒索软件不同，本次WannaCry主要是利用了前不久泄露的NSA网络武器库中的“永恒之蓝”工具，感染之后会主动扫描整个网络中是否有开放的445端口的Windows机器，利用MS17-010漏洞来进行迅速传播。实际上微软已经在3月14日的补丁日发布了补丁，但是大多数企业生产网络并不能及时打补丁，因此更加危险。同时由于445端口在Windows系统中是默认开启的，且绝大多数生产网络并没有做好有效的网络隔离和防护，因此一旦感染将会迅速传播。

1.如果生产网络的工程师站、操作员站或者服务器已被感染，需要断开被感染主机的网络进行隔离，防止继续感染其他主机；

2.如果数据有备份，可提供干净安全的机器进行数据恢复，建议在重新上线前，确保已经安装最新补丁；

3.如果数据没有备份，可以尝试隔离机器后通过第三方数据恢复软件进行尝试恢复。

1.首先如果能够安装补丁，最好是安装微软3月份提供的MS17-010漏洞的补丁，WannaCry正是利用了这一系统漏洞才会如此大规模进行传播。

对于生产网络中常用的Windows XP、Windows server 2003等已不受支持的系统，微软也提供了相应补丁，可以在这里下载：

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

2.如果一些工程师站、服务器不能进行打补丁操作，则可以通过在主机上关闭445端口来进行应对；

3.如果生产网部署有防火墙，可通过配置防火墙策略，阻断对445端口的访问来进行防御；

4.谨慎打开来历不明的可疑邮件、office文档；

5.禁止U盘或其他可移动设备在生产网络的使用；

这次攻击事件的爆发，可以说并不是一个意外。还记得就在去年的时候，我们在国内某大型制造企业调研时就发现有工作人员办公电脑感染过勒索软件。后来我们对他们的生产网络进行了全面的安全评估和规划，针对企业生产网络特点提供了针对性的解决方案，而这一次并没有被WannaCry所影响。

对于近些年逐渐受到关注的工业生产网络的安全来说，这次事件无疑是再一次敲响了警钟。对于我们国家而言，这次事件最值得我们关注的一点是，它利用了NSA泄露出来的网络武器库，不管是有意还是无意泄露，这都给国家的网络安全提了一个醒，毕竟，伊朗核攻击事件依然历历在目。

可以预见的是，在未来很长一段时间内，包括勒索软件在内的新型安全威胁仍然会严重威胁到包括电力、石油石化、核工业、轨道交通、水务、市政、智能制造等关乎国计民生的行业，而作为专注于工业网络安全的九略智能来说，我们唯有继续保持专业和专注，和国内外优秀的同行一起，为国内的基础设施和智能制造的安全提供更加完善的保障方案。