台积电计算机病毒导致停产事件分析与防护方案 Secer's Blog - 记录互联网安全历程与个人成长经历

台湾半导体制造公司（台积电） – 全球最大的半导体和处理器制造商，为许多业界最大的科技公司生产处理器和其他芯片，包括Apple、AMD、NVDIA、Qualcomm等。根据台积电的消息，已经确定所感染的病毒为WannaCryptor（又名WannaCry）的变种类型。

文章目录

时间线

北京时间2018年8月3日晚，台积电由于技术人员软件安装过程的误操作，导致内部网络感染病毒引起部分工厂生产中断。

北京时间2018年8月4日，绿盟科技安全团队开始关注此事件。

北京时间2018年8月5日14：00，80%受影响的系统恢复运营。

北京时间2018年8月5日晚，台积电发布声明，简要描述了受影响的状况，并预计北京时间2018年8月6日全面恢复生产运营。

北京时间2018年8月6日下午，生产线已经全部恢复生产。

台积电官方给出的影响

没有信息泄露。
出货时间会有延迟。
预计损失为2.56亿美元。

WannaCry的攻击原理

主要通过扫描计算机的445端口（与SMB服务相关），利用NSA泄露的工具（原理主要是利用了微软SMB漏洞MS17-010）进行负载攻击，注入勒索软件并执行。

检测与防护处置方案

检测与防护

由于该攻击利用了微软官方的SMB漏洞（MS17-010），用户可以先启动Windows防火墙并关闭系统445端口来组织外部的连接，同时检查系统中是否已经安装了微软发布的相关补丁。不同版本的相应补丁编号如下表:

系统版本	补丁号
Windows XP SP3	KB4012698
Windows XP x64 SP2	KB4012598
Windows 2003 SP2	KB4012598
Windows 2003 x64 SP2	KB4012598
Windows Vista Windows Sever 2008	KB4012598
Windows 7/Windows Server 2008 R2	KB4012212 KB4012215
Windows 8.1	KB4012213 KB4012216
Windows Server 2012	KB4012214 KB4012217
Windows Server 2012 R2	KB4012213 KB4012216
Windows 10	KB4012606
Windows 10 1511	KB4013198
Windows 10 1607	KB4013429

如果系统中找不到上述对应的补丁，用户需及时下载安装相应版本进行防护，请参考文末附录A中MS17-010补丁对应下载列表。

使用绿盟科技网络入侵防护系统（IPS）进行流量特征分析并进行告警。

http://update.nsfocus.com/update/listIps

使用绿盟科技远程安全评估系统（RSAS）进行漏洞扫描，找出受影响的主机设备。

http://update.nsfocus.com/aurora/index.html

处置方案

针对也已经感染的主机，首先应进行断网隔离，根据已加密文件的重要性来决定是否格式化磁盘重装系统，还是进行清除等操作。

病毒清除可以参考以下步骤：

1、关闭进程：tasksche.exe, mssecsvc.exe,以及下图中可执行文件涉及的进程

2、删除相关服务

删除服务0,服务路径为：C:/WINDOWS/tasksche.exe或者C:/WINDOWS/mssecsvc.bin -m security
删除服务hnjrymny834(该服务可能使用随即命名)，查找响应路径，删除路径下可执行文件

3. 清除注册表项，删除以下键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hnjrymny834 "C:\ProgramData\hnjrymny834\tasksche.exe"

1	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hnjrymny834 "C:\ProgramData\hnjrymny834\tasksche.exe"

或者

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hnjrymny834

1	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hnjrymny834

4.删除病毒文件，释放的目录位于：

C:\ProgramData\hnjrymny834

C:\Users\All Users\hnjrymny834

C:\ProgramData\hnjrymny834

C:\Users\All Users\hnjrymny834

同时删除病毒的可执行文件：

C:\WINDOWS\tasksche.exe

C:\ProgramData\hnjrymny834\tasksche.exe

C:\Users\All Users\hnjrymny834\tasksche.exe

C:\WINDOWS\tasksche.exe

C:\ProgramData\hnjrymny834\tasksche.exe

C:\Users\All Users\hnjrymny834\tasksche.exe

更详细的处置方案，可以参考绿盟科技发布的“WannaCry”勒索事件处置手册：

http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/

工业控制系统安全方案建设建议

从管理层面加强安全管理，培养人员的安全意识。
从技术层面增加数据安全处理流程，保证网络与数据的可信。
从网络层面划分网络边界，保证IT的高可信任以及OT的高可用性。
建立应急响应体系，及时发现与解决问题，降低因安全事件受到的影响。
建立自有的安全运营团队或者合作的安全运营团队，处理企业网络与信息安全。
从体系方案上需要建立纵向加密与横向隔离相辅相承的全工业控制网络安全解决方案，
关键数据进行周期性备份，降低数据损坏带来的损失。

附录A

下表给MS17-010相应系统版本补丁下载地址

系统版本	补丁号	下载地址
Windows XP SP3 x86	KB4012598	http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
Windows XP SP2 x64	KB4012598	http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-jpn_9d5318625b20faa41042f0046745dff8415ab22a.exe
Windows XP Embedded	KB4012598	http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-chs_41935edbcd6fa88a69718bc85ab5fd336445e7f9.exe
Windows Server 2003 x64	KB4012598	http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Windows Server 2003 x86	KB4012598	http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Windows Vista Service Pack 2	KB4012598	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Vista x64 Edition Service Pack 2	KB4012598	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008（用于 32 位系统）Service Pack 2	KB4012598	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Server 2008（用于基于 x64 的系统）Service Pack 2	KB4012598	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008（用于基于 Itanium 的系统）Service Pack 2	KB4012598	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu
Windows 7（用于 32 位系统）Service Pack 1	KB4012212	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7（用于基于 x64 的系统）Service Pack1	KB4012212	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1	KB4012212	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows Server 2008 R2（用于基于 Itanium 的系统）Service Pack 1	KB4012212	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu
Windows 8.1（用于 32 位系统）	KB4012213	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 8.1（用于基于 x64 的系统）	KB4012213	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows Server 2012	KB4012214	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
Windows Server 2012 R2	KB4012213	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 10（用于 32 位系统）	KB4012606	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10（用于基于 x64 的系统）	KB4012606	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 版本 1511（用于 32 位系统）	KB4013198	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 版本 1511（用于基于 x64 的系统）	KB4013198	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 版本 1607（用于 32 位系统）	KB4013429	http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 版本 1607（用于基于 x64 的系统）	KB4013429	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
Windows Server 2016（用于基于 x64 的系统）	KB4013429	http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu