2017年，“WannaCry”****橫空出世，席卷全球，此后六年****猶如洪水泛濫般一發不可收拾，尤其是在制造業。

****攻擊手段逐漸多樣化（木馬、郵件、漏洞、捆綁），國內外制造業成為頭號攻擊對象，曾有行業內用戶表示“中過招，還好有備份，但如何防范還是不太清楚，擔心被竊取的信息泄露出去，也不想病毒在內網中偷偷傳播，行業里越來越多同行都開始重視防范，我們也希望能好好防范”。

經烽臺科技在工業網絡靶場中的實踐研究分析顯示，靶場仿真技術可針對不同業務層設備，搭建環境多維度高度仿真。工業網絡靶場的仿真環境內嵌完整的應急響應步驟，在攻擊者利用****對企業進行攻擊時，制造業企業可根據攻擊者勒索的主機，進行應急響應步驟，對被勒索主機網絡隔離、病毒分析、阻止擴散、殺毒、解密、加固等應急響應。

烽臺科技就將“制造業如何在靶場內進行****應急演練”做的分析講解，一解大家心中之惑。

一     ****

正所謂，知彼知己，百戰不殆。部分，先帶大家了解****定義、影響、分類以及相關勒索事件。

1.1     ****簡介

【定義】****是一種極具破壞性，傳播性的惡意軟件，是伴隨數字貨幣興起的一種新型病毒木馬。

【影響】企業遭受****攻擊時，內部終端大部分文件被加密算法修改。并添加該類型****特色的后綴，可導致用戶終端文件無法讀取，對用戶造成無法估量的損失。

【原理】****通常利用非對稱加密算法和對稱加密算法組合的形式來加密文件。絕大多數勒索軟件均無法通過技術手段解密，必須支付黑客贖金拿到對應的解密私鑰才有可能還原被加密文件。因通過數字貨幣支付。一般無法溯源，因此危害巨大。

【傳播途徑】郵件傳播、漏洞傳播、介質傳播、捆綁傳播。

1.2     ****分類

****種類繁多，常見的有四類，分別為文件加密類、數據竊取類、系統加密類、屏幕鎖定類，每一類都有不同病毒代表和中毒特點。

1.2.1     文件加密類****

病毒定義：該類型病毒如RSA、AES等，通過多種加密算法對文件進行加密，并要求支付贖金獲取密鑰，一旦感染，文件很難恢復。

病毒代表：“WannaCry”，通過加密算法加密文件，并在暗網進行交易。

1.2.2     數據竊取類****

病毒定義：該類型病毒與文件加密病毒相似，同樣加密用戶數據，并要求支付贖金，一旦感染，文件很難恢復，但在勒索過程中還會竊取用戶重要數據，以公開方式脅迫用戶交贖金。

病毒代表：“Conti”，攻擊且感染全球及企業，通過加密算法竊取文件。

1.2.3     系統加密類****

病毒定義：該類型病毒會加密系統磁盤引導記錄、卷引導記錄，同樣加密用戶數據，一旦感染，系統很難啟動，并要求用戶支付贖金。

病毒代表：“Petya”，以病毒內嵌的主引導記錄代碼覆蓋磁盤扇區，使設備系統無法正常開啟。

1.2.4     屏幕鎖定類****

病毒定義:該類型病毒會對用戶設備屏幕進行鎖定，通常以全屏形式呈現涵蓋勒索信息圖像,使用戶無法登錄設備。

病毒代表:“WinLock”，鎖定設備屏幕，要求通過短信進行支付。

1.3     工業企業****事件

隨著互聯網在工業中的廣泛應用，針對工業安全的各式網絡攻擊事件日益增多，尤其在電力、石油、鐵路運輸、燃氣、化工、制造業、能源、核應用等相關領域的關鍵網絡一直都是全球攻擊者的目標。據國家工信安全中心統計，2022年公開披露的工業信息安全事件共312起，覆蓋了十幾個工業細分領域。

勒索攻擊持續威脅工業信息安全，截至2022年，公開披露的工業領域勒索事件共89起，較2021年增長百分比高。勒索攻擊手段方法更加復雜化，多重勒索成為攻擊者重要手段，跨平臺勒索軟件應用更趨廣泛，間歇性加密成為勒索攻擊新方式。

據相關數據統計，制造業成為其中勒索攻擊的主要目標。電子制造行業遭****攻擊多，汽車制造行業成為僅次于電子制造業的重點目標。勒索攻擊造成的數據安全相關損失和影響持續加大。

1.3.1    典型案例分享

(1)    某機電受到“****”攻擊導致其停產，詳情如下：

事件經過

2018年，由于工作人員在使用了未打補丁的 Windows 系統安裝軟件過程中操作失誤，感染WannaCry變種病毒。因病毒已存在于新機臺內，新機臺又未經隔離查殺病毒就與其他電腦進行連接，從而導致病毒擴散。

事件影響

事件造成該廠三大重要生產基地生產線停擺，導致其停產數日，預估經濟損失高達11.5億元人民幣。

(2)    A國某管道公司遭受****攻擊導致輸油管道停運，詳情如下：

事件經過

2021年，總部位于A國的某管道運輸公司發布消息，確認公司遭受勒索軟件的攻擊，因此關閉了旗下多條主干成品油管道，并聘請網絡安全專家進行處理和調查。此次勒索軟件攻擊事件是某個網絡犯罪團伙發起的，在入侵某管道運輸公司的網絡后，獲取了大量數據，以此威脅要求贖金。

事件影響

事件直接導致A國沿海主要城市輸送油氣管道系統被迫下線。對目標系統植入惡意軟件,劫持了將近100GB的數據以索要贖金。

二     工業網絡靶場

工業網絡靶場是集工業攻防演練、工業人才培養、工業產品測試等功能于一體的綜合場景仿真平臺。

如何防范勒索攻擊？“中招”之后應如何處理？對于制造業用戶的實際需求，工業網絡靶場毫無疑問的為用戶提供了一種安全、有效的環境，讓安全團隊可在靶場內安心的進行多類別****攻擊與處置的應急演練。

2.1    工業網絡靶場簡介

工業網絡靶場是面向工控網絡仿真環境建設的基礎網絡設施。旨在通過工業網絡靶場建設，為能源、電力、鋼鐵、有色、智能制造、**等關系到國計民生、國家安全等重點行業和領域提供分析、設計、研發、集成、測試、評估、運維等全生命周期保障服務。

因工控網絡環境復雜，生產實時性要求高，企業網絡安全事件應急響應、安全產品測試、邊界論證等一系列問題始終無法落實在真實工控網絡。工業靶場的出現，有效解決了無法在真實環境中對復雜大規模異構網絡和用戶進行逼真的模擬和測試，以及風險評估等問題，實現工業信息安全能力的整體提升。

2.2    工業網絡靶場價值

用戶可依托工業網絡靶場完成網絡空間工業網絡體系規劃論證、能力測試評估、產品研發試驗、產品安全性測試、人員技能培訓、安全攻防演練等任務。如：針對各行業工業控制系統應用開展攻擊影響驗證、漏洞挖掘、風險分析、安全防護驗證，可有效減少工控設備漏洞暴露數量，提高行業安全防護水平，可極大程度降低安全事件發生概率。同時，依托于工業網絡靶場開展人員技能培訓和演練，可提高安全人員安全防護能力、完善自身應急響應機制；通過安全防護策略的測試驗證，可有效提升全網安全防護設備利用率，為行業節約上千萬規模的安全防護成本。可廣泛應用于高校、企業（包括電力、鋼鐵、有色、石油、化工、**等）、科研院/所等。

三     工業網絡勒索攻擊復現

應急演練主打一個“真實”，越真實的演練，應急效果越好。針對****的攻擊途徑和特點，烽臺科技利用工業網絡靶場技術的仿真能力，為制造業用戶真實復現工控網絡基礎環境、工藝生產場景和****感染路徑。

3.1     感染病毒環境設計

3.1.1    基礎環境和工藝設計

工控網絡層次模型從上到下共分為5個層級，依次為企業管理層、生產執行層、過程監控層、現場控制層和現場設備層，不同層級的實時性要求不同。此次仿真根據汽車制造業的網絡拓撲、生產工藝、數據采集等業務進行高度模擬真實現場生產環境。工業網絡靶場環境各個區域設備組成如下：

公網區域：使用靶場環境仿真公網，攻擊者使用模擬公網IP。

安全設備區：由防火墻、蜜罐、監測等系統組成。

企業管理層：搭建財務、人事等系統。

生產執行層：搭建倉儲管理、計劃排產等系統。

過程監控層：搭建汽車制造業沖壓工藝、焊接工藝、涂裝工藝、總裝工藝、工程師站或操作員站。

現場控制層：搭建仿真西門子300控制器對沖壓工藝、焊接工藝、涂裝工藝、總裝工藝程序。控制層數據可傳送至過程監控層操作員站或工程師站。

環境仿真設備如下圖：

工藝流程說明：該環境工藝根據汽車制造業四大關鍵工藝設計，依次是沖壓工藝、焊接工藝、涂裝工藝、總裝工藝。經過這四道工藝流程，汽車制造就完成了，下面是四道工藝的具體流程。

步：沖壓工藝，用不同型號的鋼板沖壓出車身的零部件，把整卷鋼板裁剪成不同零件制造。這是一道基礎的工序，是后續工序的前期準備。

第二步：焊接工藝，將各種車身沖壓部件通過焊接工藝使之結合在一起。隨著自動化的提升，很多汽車制造業會有大量的機器人進行激光焊接，不僅提高了工作效率，質量也得到了保障，車身每一處焊接完成后，需要人工仔細檢查焊接情況，確保車身部件焊接牢度，這樣才能進入下一步驟。

第三步：涂裝工藝，給車身噴涂上各種顏色，防止車身銹蝕，使車身具有靚麗外表。焊接組裝完成的車身，要進行防銹處理，無車身缺陷后再由機器人進行涂裝作業，機器人涂裝可以減少材料的浪費，提升涂裝效率。

第四步：總裝工藝，需要將車身、底盤和內飾等各個部分零件組裝到一起，形成一臺完整的汽車。在這里要進行車身底盤、發動機、變速箱以及其他內飾配件的安裝，這是汽車制造的主要工序。汽車總裝工藝，決定了汽車的裝配質量。

下方圖例展示了工業網絡靶場環境中的一個工藝環節組態畫面。畫面中顯示了現場控制器、機器臂、報警等狀態，機器臂實時畫面，車輛完成數量統計等。

3.1.2    ****感染路徑設計

此次****攻擊是模擬企業內部人員將存在web漏洞的人事辦公系統映射外網提供遠程辦公，由于企業每天面臨外網攻擊次數多，使外網的攻擊者探測到人事辦公系統的web漏洞，利用任意文件上傳拿下web shell進行****加密文件操作。

此次勒索攻擊復現為了使企業環境和攻擊環境高度仿真，均使用靶場模擬外網地址。并非真實公網地址。

以下是****感染路線圖（紅色代表攻擊路線）：

攻擊步驟如下：

(1)    探測目標資產

確認目標資產虛擬公網ip為：1.1.1.1（注釋：靶場虛擬ip），nmap掃描端口發現存在http等服務。

(2)    確認資產

訪問8080端口發現，資產為某汽車人事辦公oa系統。

(3)    確認資產版本等漏洞相關信息

獲取版本信息，該版本某汽車人事辦公oa系統存在歷史漏洞。通過手工驗證發現存在action_upload.php 文件過濾不足且無后臺權限，導致任意文件上傳漏洞。

(4)    編寫漏洞利用腳本，實現一鍵上傳shell。

./TDOA2017-benhinder http://1.1.1.1:8080執行腳本成功，訪問webshell路徑驗證。

(5)    上線Behinder（冰蝎）

啟動冰蝎 java -jar Behinder.jar

webshell地址：http://1.1.1.1:8080/behinder.php （注釋：靶場虛擬ip）。

密碼：rebeyond

進入系統，命令執行，內網ip為 192.168.10.4（注釋：靶場虛擬ip）。

(6)    上傳病毒

將****上傳至目標主機并運行。

3.2    靶場環境搭建介紹

（1）    網絡結構介紹

汽車制造業網絡中主要分為公網、安全設備區、企業管理層、生產執行層、過程監控層、現場控制層、現場設備層，各層次網絡依次連接。其網絡邊界隔離定義為公網和企業管理層由防火墻進行邏輯隔離、現場過程監控層和生產執行層通過實時數據庫或數采網關隔離。多數企業現場信息側和生產側邊界無安全設備，內網存在攻擊風險。網絡結構如下圖：

（2）    仿真虛擬組件介紹

靶場對汽車制造業的業務層設備進行仿真搭建，仿真現場工藝控制器并編寫程序，通過仿真現場工程師站及操作員站控制與監視仿真控制器程序。

數據通過實時數據庫工控側進行采集，信息側將數據轉發 生產執行層系統。

（3）    ****場景設計

攻擊者利用防火墻端口映射企業管理層系統進行攻擊。以仿真不同業務層設備，搭建環境多維度高度仿真。對此次企業****模擬攻擊事件，利用安全設備、主機日志等開展應急響應、恢復等一系列措施。

業務仿真按照汽車制造業的主要網絡架構、生產工藝、數據采集，采用虛擬組件方式進行搭建，仿真汽車環境的業務流程控制系統，根據實際生產工藝劃分不同工藝終端系統和控制系統。

四     仿真環境內勒索攻擊應急響應

工業網絡靶場的仿真環境內嵌完整的應急響應步驟，制造業企業可根據現場攻擊者勒索的主機，進行應急響應步驟，通過辦公人員發現主機****彈框通知信息安全人員，信息安全人員對被勒索主機網絡隔離、病毒分析、阻止擴散、殺毒、解密、加固等應急響應。

此次勒索攻擊復現為了使企業環境和攻擊環境高度仿真，均使用靶場模擬外網地址，并非真實公網地址。

紅色代表攻擊路線、藍色代表應急路線，如下圖所示:

4.1    應急響應步驟

4.1.1    主機日志排查

系統感染****，界面彈出勒索信件，此時系統內的文件已經被病毒加密無法正常訪問。要求受害者支付贖金才能解密文件并恢復訪問權限。

為判斷此次攻擊事件始末以及后續處置的分析溯源，通過對主機端口連接情況進行分析和溯源，獲得更多關于攻擊事件的信息，并為進一步的調查和處置提供指導。可初步排查可疑IP。（注釋：12.12.12.3靶場虛擬    IP）。

4.1.2    禁用網卡

為了降低勒索事件的損失并限制病毒的進一步傳播，禁用受攻擊主機的網卡以實現斷網處理。這將阻止病毒繼續擴散至內網中的其他主機，并防止事件對公司業務的正常運行產生更大的影響。此外，斷網處理還有助于阻斷攻擊者與受感染主機之間的連接。

4.1.3    病毒分析

根據****加密文件的后綴和勒索信件的內容進行判斷，經過謹慎縝密地分析，確認該****屬于WannaCry家族****。該病毒通過網絡傳播和感染計算機，然后加密受害者的文件，并要求支付贖金以獲取解密密鑰。

4.1.4    排查內網主機

逐一排查內網內其他主機的運行狀態，判斷是否被病毒擴散傳染，由于此次應急響應迅速，病毒并未繼續擴散，內網其他主機仍處于安全狀態。

4.1.5    安全設備排查

查看安全設備日志對此次攻擊事件進行溯源分析，通過燈塔安全威脅誘捕審計系統捕獲到攻擊者畫像，系統分析此次攻擊疑似境外黑客所為。（注釋：12.12.12.3靶場虛擬IP）。

通過對主機系統日志件和安全設備日志事件的對比，可以排查攻擊者。（注釋：12.12.12.3靶場虛擬IP）。

捕獲到該攻擊IP曾嘗試通過3389端口遠程連接公網地址，因此該IP有可能為此次攻擊事件的攻擊者。（注釋：12.12.12.3靶場虛擬ip）。

4.2    數據恢復

4.2.1    病毒查殺

導入安全殺毒軟件的離線包，對感染主機進行殺毒，通過對系統磁盤進行掃描檢測發現主機所中病毒并將其查殺。

4.2.2    文件恢復

雖然通過殺毒軟件查殺了系統中的****程序，但并沒能恢復被病毒所加密的文件，因此需要導入文件恢復工具離線包來嘗試恢復這些文件。

文件恢復工具的成功率通常取決于多個因素，包括病毒的加密強度、加密算法的復雜性以及文件本身的完整性，因此并不能完全依賴文件恢復工具恢復所有損失。通過對比可以發現，只有部分被加密的文件能夠成功恢復，受害主機中仍有大量文件未得到恢復。

4.2.3    數據備份恢復

鑒于文件恢復工具無法完全恢復本次****事件所造成的影響和破壞，需要采取數據備份方法來還原系統。利用備份的數據可將系統還原至病毒入侵前近一次狀態，消除勒索攻擊的影響，并將系統恢復到可信的狀態。

4.3    場景加固

4.3.1    安全設備加固

通過安全產品對整個內網環境進行加固，如制定防火墻策略可提高工控網絡的防御能力。停止人事系統暴露公網端口映射后,可進行產品漏洞修復。（注釋：1.1.1.1靶場虛擬IP）。

禁止內外網IP ping防火墻。啟用內網DOS攻擊防御。

4.3.2    恢復備份，安裝殺毒軟件

在加固內網環境并加強防火墻策略后，再次利用安全殺毒軟件對受攻擊的主機進行快速病毒掃描，以確保徹底消除勒索攻擊安全隱患。

五     靶場模擬****事件應急響應總結

經過在工業網絡靶場中的****攻擊演練，制造業用戶可對此類型應急響應事件進行總結，制定適合的應急處置流程、技術規范、管理規范，大化降低勒索攻擊對企業的損害。

5.1    ****基本情況

病毒家族：WannaCry ，****變種：WannaCry 2.0，WannaCry（又叫Wanna Decryptor），一種“蠕蟲式”****軟件。該****在2017年襲擊了全球150多個國家和地區，影響了包括、醫療服務、公共交通、郵政、通信和汽車制造業等領域，對社會發展造成惡劣影響。

本次****攻擊者利用了產品web應用漏洞，入侵用戶內部網絡，投放****程序，加密系統文件進行勒索。

病毒后綴名：.WNCRY

5.2    靶場內的****應急處置

當靶場環境機器感染****后，立即開展以下應急工作：

（1）    隔離網絡：該場景使用禁用網絡方式切斷受感染機器的網絡連接，避免網絡內其他機器被進一步感染滲透。

（2）    加密情況：該場景發現文件已經全部被加密，可保持機器開機狀態，等待繼續排查。如重要文件未被加密，可選擇關閉****進程或關機。

（3）    病毒范圍：排查該場景其他可能會受到****影響的機器，確定****傳播范圍。

（4）    問題排查：通過主機端口連接查找攻擊來源。通過安全設備進行攻擊溯源工作。

（5）    恢復：使用****文件解密工具嘗試解密，無法解密時需使用數據備份恢復系統。

（6）    安全加固：通過安全設備和主機日志排查出攻擊來源，加固防火墻策略配置。安裝殺毒軟件實時監測主機安全狀態，防止攻擊者再次勒索。

（7）    產品升級：可將系統進行升級，防止攻擊者利用web應用漏洞。

5.3    ****防范

5.3.1    技術防范

(1)    數據備份

重要文件或者重要系統需采用移動硬盤等方式進行定期備份數據，避免主機被****攻擊，導致文件加密無法恢復的情況出現。

(2)    終端防護

關閉主機的 445、135、139、3389 等高危端口，可避免****針對高危端口漏洞攻擊和企業內網中的橫向傳播。

針對通過 RDP 服務和弱口令破解進行入侵和擴散的****，建議企業對設備操作系統口令進行定期檢查修改，增強口令長度檢查、復雜度檢查，避免使用統一而簡單的登錄密碼。

對創建賬戶、刪除賬戶、鎖定、禁用等相關高權限行為進行管控。

禁用設備移動接口。

修復應用漏洞相關補丁。

(3)    郵件防護

企業內部員工不點擊陌生人發來的各種鏈接，不要打開陌生人發來的附件。及時更新系統補丁及防病毒軟件的病毒定義包。

(4)    安全設備防護

上網行為審計系統：企業出于合規、審計等原因，基本都會部署上網行為審計系統，策略上需配置屏蔽可能含有****網站。

防火墻：針對企業業務進行訪問控制。

入侵防御：使用入侵防御設備對URL過濾、惡意軟件過濾等，需結合沙箱、情報技術等方法分析處理。

主機衛士：企業終端安裝主機防護軟件，對****、木馬及時查殺。

態勢感知：使用態勢感知實時監測企業網絡安全狀態。

5.3.2    管理防范

（1）    制定并落實網絡安全管理制度。

在管理制度上，需要從驗證信息、訪問控制、資產梳理、終端防護等幾個方面側重管理。企業工業控制系統在向外連接時，可通過入網的設備驗證、人員驗證，確保準確性及唯一性，加強工業控制系統業務訪問控制權限管理，關閉高危端口、定期查看補丁、不私自接通外網，有效保障入網設備的合法性，防止****在企業內網擴散。對聯網的工業控制設備進行梳理，建立資產庫，加強企業邊緣資產監管，達到削減工業控制系統網絡資產暴露面的目的。

（2）    定期檢查工業控制系統漏洞。

在檢查工業控制系統上，需要從供應鏈、軟件、硬件等采購上管理把控。要將定期掃描漏洞按照等級劃分，并按照等級修復漏洞。工業控制系統中使用的操作系統和工業軟件數量和版本眾多，存在漏洞個數多、種類多，使得****傳播速度難以把控。攻擊者可以提前將****植入企業的供應鏈上游的軟、硬件供應商的產品中，在安裝或更新軟、硬件時，****即被帶入工業控制系統設備，感染企業網絡中存在漏洞的系統。針對工業控制系統，企業需要加強定期對工業控制系統終端、網絡設備、服務器、控制器等設備的漏洞掃描。清晰定性網絡安全風險，及時完善系統補丁、修復漏洞，執行完整的安全策略，從根源上進行風險預防。

（3）    建立健全應急響應機制。

大部分的勒索攻擊是無征兆的，所以應當加強網絡安全應急預警，建立健全的應急響應機制，利用企業的網絡安全資源實現安全資源信息共享。同時可與國家相關機構和國內安全公司進行合作，運用有效資源和應急響應技術手段結合的方式，共同制定企業勒索攻擊應急預案。

（4）    加強內部員工網絡安全意識。

企業需要持續的進行網絡安全培訓，提高內部員工網絡安全意識，使其在日常操作過程中能夠有效識別系統漏洞攻擊、垃圾郵件攻擊等惡意行為，認識其危害并掌握一些必要的應對防范措施。

在組織建設方面，鼓勵企業成立網絡安全事件響應小組，通過專職小組有組織、系統性地監視業務系統的安全性，及時接收網絡中的異常通知報告，一旦出現異常情況，響應小組可以及時采取應急措施對勒索攻擊進行范圍控制，大化降低其對企業的影響程度。

****不是普通的“感冒”，工業企業應防患于未然，數據提前備份、人員提前演練、體系提前建立，多維度共同防護，才是抵御勒索攻擊的長久之計。

后，關于****的應急響應資源有很多，烽臺科技為大家找到了幾個靠譜的鏈接，希望能幫更多工業企業有效應對****攻擊，減少企業財產損失，建立良好的經營環境。

六     ****應急響應資源鏈接

6.1    國內資源鏈接

6.1.1    火絨安全軟件5.0（個人版）

火絨是一款殺防管控一體的安全軟件，有著面向個人和企業的產品。擁有簡潔的界面、豐富的功能和良好的體驗。特別針對國內安全趨勢，自主研發高性能反病毒引擎。

主要特點

（1）    無任何廣告推送

（2）    一鍵掃描、查殺病毒，基于“通用脫殼”、“行為沙盒”的本地反病毒引擎，不受斷網影響。

（3）    19個重要防護功能，有效防病毒、木馬、流氓軟件、惡意網站等。

傳送門：www.huorong.cn

6.1.2    奇安信****工具集下載

奇安信科技集團股份有限公司成立于2014年，專注于網絡空間安全市場，向政府、企業用戶提供新一代企業級網絡安全產品和服務。

主要特點

（1）    針對****專殺

（2）    針對永恒之藍病毒端口關閉

（3）    針對蠕蟲****文件恢復

（4）    蠕蟲勒索工具種類多

傳送門：https://www.qianxin.com/other/qaxvirusremoval

6.1.3    ****搜索引擎合集

【360】 ****搜索引擎，支持檢索超過800種常見****

傳送門：https://lesuobingdu.#/

【騰訊】 ****搜索引擎，支持檢索超過 300 種常見****

傳送門：https://guanjia.qq.com/pr/ls/

【啟明星辰】VenusEye****搜索引擎，超300種****家族

傳送門：https://lesuo.venuseye.com.cn/

【奇安信】****搜索引擎

傳送門：https://lesuobingdu.qianxin.com/

6.1.4    ****解密合集

【騰訊哈勃】勒索軟件專殺工具

傳送門：https://habo.qq.com/tool/index

【金山毒霸】****免疫工具

傳送門：http://www.duba.net/dbt/wannacry.html

【瑞星】解密工具下載

傳送門：http://it.rising.com.cn/fanglesuo/index.html

6.2    國外資源鏈接

6.2.1    卡巴斯基

卡巴斯基反病毒軟件是世界上擁有科技的殺毒軟件之一，總部設在俄羅斯首都莫斯科，是國際的信息安全領導廠商之一。公司為個人用戶、企業網絡提供反病毒、防黑客和反垃圾郵件產品。

主要特點：

（1）    使用便捷。

（2）    多層級防御系統，保護電腦免受其他威脅。

（3）    殺毒功能非常強大，能夠檢測各種惡意軟件和網絡攻擊。

（4）    智能更新安防庫和軟件程序。

傳送門：https://www.kaspersky.com.cn/

6.2.2    No More Ransomware Project

該軟件主要目標是保護用戶免受勒索軟件攻擊，有****密鑰庫，有效解除不同類型被加密文件。

主要特點：

（1）    有關于****加密文件的詳細說明

（2）    定期更新****密鑰庫

（3）    提供超過25種不同語言的服務

傳送門：https://www.nomoreransom.org/zh/decryption-tools.html#Bianlian

參考文獻

[1]崔瑩瑩,原真,劉健帥.工業領域勒索攻擊事件態勢分析及應對方法探討[J].工業信息安全,2022(10):63-68.

[2]薛丹丹,王媛媛,卲一瀟等.****的原理及防御措施[J].網絡安全技術與應用,2023(02):10-12.

[3]國家工信安全發展研究中心發布，2022年工業信息安全態勢報告[EB/OL].[2023-2-14]. http://www.cics-cert.org.cn/.

[4]中國信息通信研究院，****安全防護手冊[EB/OL].[2021-9]. http://www.caict.ac.cn/.