2017年5月12日晚20时左右，全球爆发大规模WannaCry勒索病毒感染事件，威努特工控安全实验室迅速响应，第一时间拿到互联网病毒样本和工业现场病毒样本进行分析，发布了《工业用户“WannaCry”应对策略”》和《“WannaCry”蠕虫病毒的加密算法浅析及解密思路探讨》两篇有针对性的文章。5月16开始，我们派遣工程师开始赶赴不同的客户现场，协助客户进行病毒处理及安全加固的工作。

        近期陆续汇总了大量现场反馈回来的信息，情况可以说不幸中有万幸：不幸的是，我们的预言成真，大量工业网络并没有幸免，已经遭受病毒侵入；万幸的是，我们的产品经受住了考验，在遭受病毒入侵的工业现场，安装了工控主机卫士的主机成功拦截了WannaCry勒索病毒的运行，避免了损害发生；不幸的是，即使在我们的案例点，也不是所有的主机都安装了工控主机卫士，仍然有部分主机被感染，造成了不小损失。但是，我们可以挺起胸膛自豪的说：“威努特是国内唯一在现场有效防范WannaCry勒索病毒的厂家！”

        有图有真相，现整理一个典型案例与大家分享。

一、XX油田第二采气厂案例分项

1、背景

        XX油田第二采气厂，去年部署威努特工控安全防护产品，威努特官网案例——“【石油石化】中国石油某油田公司” 

         2017年5月12日晚22时，XX油田采气厂信息中心接到报告，企业内部部分计算机感染了WannaCry病毒，本地硬盘中的文档文件、图像文件都被加密无法正常打开，并弹出勒索窗口。涉及的部门包括企业办公网以及工控网的调度中心。

        另外部分同一网络的计算机，文件却没有被加密，经查此类计算机都安装过威努特工控主机卫士，主机卫士有对不明程序的拦截记录并告警。于是，客户的求助电话第一时间打到威努特，我们立即安排工程师以最快的速度奔赴现场分析。

2、现状分析

        XX油田采气厂调度中心安装有两台计算机（一主一备），每台计算机都安装两张网卡，一张与采气厂控制网络、服务器通信，另外一张与西安总部通信，总部办公网有多台计算机感染WannaCry病毒。这两台计算机都安装有霍尼韦尔的EKPS组态软件，其中一台计算机（计算机A）在之前已安装工控主机卫士软件，另一台没有（计算机B）。经过我们工程师的现场调查，计算机B感染了WannaCry病毒，文档文件以及图像文件无法正常使用，这些文件的扩展名也被修改成”.wncry”,同时系统桌面出现勒索信息，如图1所示。另外一台计算机A并未被病毒感染，病毒文件被工控主机卫士阻止并产生应用程序告警日志，如图2所示。

图1 现场WannaCry病毒感染情况

图2 工控主机卫士阻止记录和告警日志

         两台主机对比如下表所示。通过对现场情况的分析，我们认为调度中心的WannaCry病毒是通过和总部的信息网连接被感染的，由于工控网和信息网连接在同一台主机的两张网卡上，网卡隔离不但没有起到安全隔离作用，反而成了攻击的跳板。幸运的是，调度中心的主用计算机安装了工控主机卫士，阻止了病毒的执行，并进一步阻止了病毒向控制网的扩散，不然一旦控制网络中的主机被感染损失将急剧扩大。