三、全球遭受網(wǎng)絡(luò)攻擊總體情況

　　(一)網(wǎng)絡(luò)攻擊涉及的范圍廣

　　此次網(wǎng)絡(luò)攻擊涉及百余個(gè)國(guó)家和地區(qū)的政府、電力、電信、醫(yī)療機(jī)構(gòu)等重要信息系統(tǒng)及個(gè)人電腦遭受?chē)?yán)重網(wǎng)絡(luò)攻擊，最嚴(yán)重區(qū)域集中在美國(guó)、歐洲、澳洲等。截至目前，全球攻擊案例超過(guò)75000個(gè)。

　　(二)網(wǎng)絡(luò)攻擊無(wú)明顯地域、行業(yè)分布特點(diǎn)

　　從受攻擊目標(biāo)類(lèi)型與地域分布來(lái)看，此次攻擊未表現(xiàn)出顯著的地域與行業(yè)分布特點(diǎn)，與“WannaCry”隨機(jī)掃描傳播機(jī)制一致，攻擊無(wú)明顯指向性和目標(biāo)性。

　　(三)各方積極應(yīng)對(duì)與防范

　　各國(guó)政府謹(jǐn)慎應(yīng)對(duì)。尚無(wú)國(guó)家政府宣稱已經(jīng)調(diào)查掌握事件幕后詳細(xì)情況。英、德、俄、美等多個(gè)國(guó)家向本國(guó)公民及機(jī)構(gòu)發(fā)出警告，要求盡快更新補(bǔ)丁，做好計(jì)算機(jī)數(shù)據(jù)備份等防護(hù)工作。對(duì)于已感染設(shè)備中被加密的文件，目前各國(guó)政府及信息安全企業(yè)均無(wú)法提供有效的數(shù)據(jù)破解恢復(fù)手段。英國(guó)政府國(guó)家網(wǎng)絡(luò)安全中心(NCSC)稱其第一時(shí)間啟動(dòng)了針對(duì)事件及攻擊者的調(diào)查;德國(guó)、俄羅斯政府網(wǎng)絡(luò)安全機(jī)構(gòu)也作出了類(lèi)似表態(tài)。相關(guān)安全企業(yè)開(kāi)展技術(shù)分析。

　　研判分析認(rèn)為，目前較為明確的攻擊幕后背景線索主要是從代碼中逆向分析發(fā)現(xiàn)的三個(gè)比特幣錢(qián)包地址以及五個(gè)暗網(wǎng)命令控制服務(wù)器，各國(guó)網(wǎng)絡(luò)安全與司法調(diào)查機(jī)構(gòu)均已鎖定了這些目標(biāo)，通過(guò)各方合作，力求盡快發(fā)現(xiàn)攻擊者的實(shí)際背景情況。

　　四、處置建議

　　“WannaCry”勒索蠕蟲(chóng)是勒索軟件類(lèi)病毒中全球首例使用遠(yuǎn)程高危漏洞進(jìn)行自我傳播的蠕蟲(chóng)，加密編程規(guī)范，如不公開(kāi)私鑰，很難通過(guò)其他手段對(duì)被加密勒索的文件進(jìn)行解密，為此建議：

　　(一)應(yīng)急措施

　　1、立即斷網(wǎng)，防止擴(kuò)散和蔓延。對(duì)于已經(jīng)感染“WannaCry”勒索蠕蟲(chóng)的計(jì)算機(jī)，盡快關(guān)機(jī)，取出硬盤(pán)，通過(guò)專(zhuān)業(yè)數(shù)據(jù)恢復(fù)軟件進(jìn)行恢復(fù)。立即切斷內(nèi)外網(wǎng)連接，避免感染網(wǎng)絡(luò)中的其他計(jì)算機(jī)。

　　2、啟動(dòng)恢復(fù)程序，及時(shí)修復(fù)補(bǔ)丁。若計(jì)算機(jī)存在備份，應(yīng)啟動(dòng)備份恢復(fù)程序，及時(shí)安裝修復(fù)補(bǔ)丁。

　　(二)防范方案

　　1、個(gè)人用戶采取應(yīng)急措施，安裝漏洞修復(fù)補(bǔ)丁?！癢annaCry”勒索蠕蟲(chóng)利用的是微軟官方的SMB漏洞，請(qǐng)個(gè)人用戶及時(shí)檢查安裝MS17-010修復(fù)補(bǔ)丁。與此同時(shí)，及時(shí)采取臨時(shí)解決方案，一是關(guān)閉計(jì)算機(jī)的445端口，二是配置主機(jī)級(jí)ACL策略封堵445端口，三是打開(kāi)“Windows防火墻”，進(jìn)入“高級(jí)設(shè)置”，在入站規(guī)則中禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。

　　2、網(wǎng)絡(luò)管理員修改網(wǎng)絡(luò)配置，監(jiān)控網(wǎng)絡(luò)接口。建議各網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)防火墻上配置相關(guān)策略，限制外部對(duì)445端口的訪問(wèn)，加強(qiáng)內(nèi)網(wǎng)審計(jì)。同時(shí)在接入交換機(jī)或核心交換機(jī)抓包，查看是否存在大量掃描內(nèi)網(wǎng)139、135、445端口的網(wǎng)絡(luò)行為，及時(shí)定位掃描發(fā)起點(diǎn)，對(duì)掃描設(shè)備進(jìn)行病毒查殺，一旦發(fā)現(xiàn)被感染主機(jī)，立即斷網(wǎng)防止進(jìn)一步擴(kuò)散。

　　(三)日常使用規(guī)范

　　在日常計(jì)算機(jī)使用過(guò)程中，對(duì)重要信息數(shù)據(jù)定期及時(shí)進(jìn)行備份;瀏覽網(wǎng)頁(yè)和使用電子郵件的過(guò)程中，切勿隨意點(diǎn)擊可以鏈接地址;及時(shí)更新操作系統(tǒng)及相關(guān)軟件版本，實(shí)時(shí)安裝公開(kāi)發(fā)布的漏洞修復(fù)補(bǔ)丁。