关于勒索病毒对关键信息基础设施威胁的预警通报

近期美国勒索病毒攻击事件

当地时间5月7日，美国最大的燃油运输管道运营商Colonial Pipeline（科洛尼尔）遭受到黑客组织发起的非法勒索软件网络攻击（又称勒索病毒攻击），被迫关闭其位于美国东部沿海各州的关键燃油输送管道网络。Colonial Pipeline（科洛尼尔）此举直接导致了该公司旗下的所有燃油输送管道运营暂停，美国东海岸地区近一半的油气能源供应受到重大影响。

随后，当地时间5月9日，美国白宫政府宣布17个州和首都华盛顿特区进入紧急状态。

据了解，Colonial Pipeline（科洛尼尔）不仅是全美国最大的燃油运输管道运营商，更是美国东海岸地区最重要的燃油运输管道运营商。Colonial Pipeline（科洛尼尔）运营的这条燃油运输管道系统全长8851多公里，每天运送大约250万桶汽油、柴油和航空燃油到人口稠密的美国东部沿海各州。Colonial Pipeline（科洛尼尔）承载着美国东海岸地区近一半（45%）的能源供应。

目前，Colonial Pipeline（科洛尼尔）为了避免非法勒索软件网络攻击影响范围的持续蔓延和扩大，已聘请第三方网络安全公司进行调查。同时，美国联邦调查局（FBI）、美国能源部、美国国土安全部等多个联邦机构也参与进了该事件的调查。

勒索病毒攻击

近些年，勒索病毒攻击事件在全球各地频繁发生。据相关调查和分析发现，近两年，勒索病毒攻击呈现出全球性、广泛性的发展态势，且各种新型勒索病毒软件不断涌现，衍生出了很多变种。目前全球主要的勒索病毒攻击事件都来自于这几个少数勒索病毒软件家族：Maze 勒索病毒、Ryuk 勒索病毒、DoppelPaymer勒索病毒、Clop 勒索病毒和Ekans 勒索病毒。勒索病毒攻击已经成为近些年来黑客组织牟取暴利的绝佳手段，也是近些年发展最快的网络安全威胁之一。

勒索病毒传播途径

（一）网站挂马

用户浏览挂有木马病毒的网站，上网终端计算机系统极可能被植入木马并感染上勒索病毒。

（二）邮件传播

邮件传播是目前互联网上常见的病毒传播方式。攻击者通过利用当前热门字样，在互联网上撒网式发送垃圾邮件、钓鱼邮件，一旦收件人点开带有勒索病毒的链接或附件，勒索病毒就会在计算机后台静默运行，实施勒索。

（三）漏洞传播

通过计算机操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。最典型的案例是2017年在国内泛滥的WannaCry大规模勒索事件，攻击者正是利用微软445端口协议漏洞，进行感染传播网内计算机。

（四）捆绑传播

攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具进行捆绑，从而诱导用户点击下载安装，并随着宿主文件的捆绑安装进而感染用户的计算机系统。

（五）介质传播

攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。此种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所，也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的U盘、光盘。携带勒索病毒的光盘、U盘一旦接入计算机，勒索病毒即可能随着其自动运行或用户点击运行导致计算机被感染。

防护建议

（一）定期做好重要数据、文件的异地/异机容灾备份工作，重要系统应采取双活容灾备份；

（二）采取必要措施加强计算机系统安全防护，定期开展漏洞扫描和风险评估。

（三）及时更新升级系统和应用，修复存在的中高危漏洞；

（四）安装主流杀毒软件并及时升级病毒库，定期进行全面病毒扫描查杀；

（五）在系统中禁用U盘、移动硬盘、光盘的自动运行功能，不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件；

（六）在电脑及服务器等终端上关闭445、135、137、138、139、3389、5900等端口；

（七）避免使用弱口令，为每台服务器和终端设置不同口令，且采用大小写字母、数字、特殊字符混合的高复杂度组合结构，口令位数应8位以上。

（八）不要在网上下载安装盗版软件、非法破解软件以及激活工具；

（九）关闭不必要的文件共享权限；

（十）尽量避免直接对外网映射RDP服务及使用默认端口。

关于勒索病毒对关键信息基础设施威胁的预警通报