关于勒索病毒对关键信息基础设施威胁的预警通报 - 网安 - 专业的网络安全产业、社区、知识平台

5月7日，美国最大燃油运输管道商“科洛尼尔”（Colonial Pipeline）公司遭遇勒索软件攻击，被迫暂停石油输送业务，对美国东海岸燃油供应造成了严重影响。

勒索病毒是泛指一切通过锁定被感染者计算机系统或文件并施以敲诈勒索的新型计算机病毒，被勒索病毒感染后，将导致重要文件无法读取、关键数据被损坏、计算机被锁死无法正常使用等情况，为了指引被感染者缴纳赎金，勒索病毒还会在桌面等明显位置生成勒索提示文件，被感染者需要通过缴纳高额赎金才能获取解密密钥恢复计算机系统和数据文件的正常使用，有时即使缴纳了高额的赎金也未必能正常恢复数据。因此，勒索病毒具有数据恢复代价大和数据恢复可能性极低的特点。

近几年，关键信息基础设施一直是黑客利用勒索病毒攻击的重点目标，一旦感染将给企业和用户带来无法估量的损失。各单位应引起高度警惕，组织做好相关防范工作。

勒索病毒传播途径

（一）网站挂马

用户浏览挂有木马病毒的网站，上网终端计算机系统极可能被植入木马并感染上勒索病毒。

（二）邮件传播

邮件传播是目前互联网上常见的病毒传播方式。攻击者通过利用当前热门字样，在互联网上撒网式发送垃圾邮件、钓鱼邮件，一旦收件人点开带有勒索病毒的链接或附件，勒索病毒就会在计算机后台静默运行，实施勒索。

（三）漏洞传播

通过计算机操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。最典型的案例是2017年在国内泛滥的WannaCry大规模勒索事件，攻击者正是利用微软445端口协议漏洞，进行感染传播网内计算机。

（四）捆绑传播

攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具进行捆绑，从而诱导用户点击下载安装，并随着宿主文件的捆绑安装进而感染用户的计算机系统。

（五）介质传播

攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。此种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所，也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的U盘、光盘。携带勒索病毒的光盘、U盘一旦接入计算机，勒索病毒即可能随着其自动运行或用户点击运行导致计算机被感染。

防护建议

（一）定期做好重要数据、文件的异地/异机容灾备份工作，重要系统应采取双活容灾备份；

（二）采取必要措施加强计算机系统安全防护，定期开展漏洞扫描和风险评估。

（三）及时更新升级系统和应用，修复存在的中高危漏洞；

（四）安装主流杀毒软件并及时升级病毒库，定期进行全面病毒扫描查杀；

（五）在系统中禁用U盘、移动硬盘、光盘的自动运行功能，不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件；

（六）在电脑及服务器等终端上关闭445、135、137、138、139、3389、5900等端口；

（七）避免使用弱口令，为每台服务器和终端设置不同口令，且采用大小写字母、数字、特殊字符混合的高复杂度组合结构，口令位数应8位以上。

（八）不要在网上下载安装盗版软件、非法破解软件以及激活工具；

（九）关闭不必要的文件共享权限；

（十）尽量避免直接对外网映射RDP服务及使用默认端口。

广东省通信管理局

2021年5月12日

美国最大燃油运输管道商“科洛尼尔”7日遭到网络攻击暂停运营，美国政府9日就宣布国家进入紧急状态，可见此次网络攻击的影响范围非常广也非常严重。接着，当地时间14日，爱尔兰卫生服务执行局（HSE）宣布遭受“重大勒索软件攻击”，攻击者要求HSE支付赎金，否则将要永久封锁一个系统或公开受害者的数据。事发后，HSE随即关闭了其计算机系统，并接受网络安全专家、警方、国防军和政府等多方支持协助调查。一时间，网络威胁的阴云再次硝烟四起。

这是发生在其他国家，如果是发生在我国的部分关键信息基础设施上后果会如何？这几天巴以冲突如火如荼，给一哥印象最为深刻的是：以色列可以对一些目标进行精确制导予以摧毁，如摧毁哈马斯银行大楼、媒体大楼等，摧毁之前甚至电话通知相关人员提醒他们撤离。这表明以色列的情报工作做的非常好，一个是精确地知道其所要摧毁的目标在哪；二、这些建筑物背后的相关联系人是谁，联系方式是多少；三、有能力能够对这些目标进行精准定点摧毁。

如果是真正的网络战，关键信息基础设施必将成为敌人攻击的首要目标，会不会向以色列攻打巴勒斯坦一样被定点摧毁呢？一哥认为这一定是可能的，战争中出于人道主义以色列提前通知了相关无关人员进行撤离，网络战中可不会。所以相关关键信息基础设施单位一定要提高政治站位，加强网络安全建设，提高网络安全防护能力，时刻掌握自己的网络安全风险状况，将网络安全风险控制在可控范围内。

广东省通信管理局此次针对勒索病毒的预警通报非常及时，相关的防护建议也非常中肯，大家对照着这10条要求，看看自己单位到底有没有做到？一哥估计有不少单位还没做到位，那么相关单位还请抓紧查漏补缺，扎实做好网络安全工作。

内容来自公众号：等级保护测评