三、全球遭受網(wǎng)絡攻擊總體情況

　　(一)網(wǎng)絡攻擊涉及的范圍廣

　　此次網(wǎng)絡攻擊涉及百余個國家和地區(qū)的政府、電力、電信、醫(yī)療機構等重要信息系統(tǒng)及個人電腦遭受嚴重網(wǎng)絡攻擊，最嚴重區(qū)域集中在美國、歐洲、澳洲等。截至目前，全球攻擊案例超過75000個。

　　(二)網(wǎng)絡攻擊無明顯地域、行業(yè)分布特點

　　從受攻擊目標類型與地域分布來看，此次攻擊未表現(xiàn)出顯著的地域與行業(yè)分布特點，與“WannaCry”隨機掃描傳播機制一致，攻擊無明顯指向性和目標性。

　　(三)各方積極應對與防范

　　各國政府謹慎應對。尚無國家政府宣稱已經(jīng)調查掌握事件幕后詳細情況。英、德、俄、美等多個國家向本國公民及機構發(fā)出警告，要求盡快更新補丁，做好計算機數(shù)據(jù)備份等防護工作。對于已感染設備中被加密的文件，目前各國政府及信息安全企業(yè)均無法提供有效的數(shù)據(jù)破解恢復手段。英國政府國家網(wǎng)絡安全中心(NCSC)稱其第一時間啟動了針對事件及攻擊者的調查;德國、俄羅斯政府網(wǎng)絡安全機構也作出了類似表態(tài)。相關安全企業(yè)開展技術分析。

　　研判分析認為，目前較為明確的攻擊幕后背景線索主要是從代碼中逆向分析發(fā)現(xiàn)的三個比特幣錢包地址以及五個暗網(wǎng)命令控制服務器，各國網(wǎng)絡安全與司法調查機構均已鎖定了這些目標，通過各方合作，力求盡快發(fā)現(xiàn)攻擊者的實際背景情況。

　　四、處置建議

　　“WannaCry”勒索蠕蟲是勒索軟件類病毒中全球首例使用遠程高危漏洞進行自我傳播的蠕蟲，加密編程規(guī)范，如不公開私鑰，很難通過其他手段對被加密勒索的文件進行解密，為此建議：

　　(一)應急措施

　　1、立即斷網(wǎng)，防止擴散和蔓延。對于已經(jīng)感染“WannaCry”勒索蠕蟲的計算機，盡快關機，取出硬盤，通過專業(yè)數(shù)據(jù)恢復軟件進行恢復。立即切斷內外網(wǎng)連接，避免感染網(wǎng)絡中的其他計算機。

　　2、啟動恢復程序，及時修復補丁。若計算機存在備份，應啟動備份恢復程序，及時安裝修復補丁。

　　(二)防范方案

　　1、個人用戶采取應急措施，安裝漏洞修復補丁?！癢annaCry”勒索蠕蟲利用的是微軟官方的SMB漏洞，請個人用戶及時檢查安裝MS17-010修復補丁。與此同時，及時采取臨時解決方案，一是關閉計算機的445端口，二是配置主機級ACL策略封堵445端口，三是打開“Windows防火墻”，進入“高級設置”，在入站規(guī)則中禁用“文件和打印機共享”相關規(guī)則。

　　2、網(wǎng)絡管理員修改網(wǎng)絡配置，監(jiān)控網(wǎng)絡接口。建議各網(wǎng)絡管理員在網(wǎng)絡防火墻上配置相關策略，限制外部對445端口的訪問，加強內網(wǎng)審計。同時在接入交換機或核心交換機抓包，查看是否存在大量掃描內網(wǎng)139、135、445端口的網(wǎng)絡行為，及時定位掃描發(fā)起點，對掃描設備進行病毒查殺，一旦發(fā)現(xiàn)被感染主機，立即斷網(wǎng)防止進一步擴散。

　　(三)日常使用規(guī)范

　　在日常計算機使用過程中，對重要信息數(shù)據(jù)定期及時進行備份;瀏覽網(wǎng)頁和使用電子郵件的過程中，切勿隨意點擊可以鏈接地址;及時更新操作系統(tǒng)及相關軟件版本，實時安裝公開發(fā)布的漏洞修復補丁。