【技术交流】今天凌晨,基准方中被电脑病毒勒索了
1. 关于今天凌晨,基准方中被电脑病毒勒索了,大家有什么经验可以分享?2. 今天凌晨,基准方中被电脑病毒勒索了需要注意哪些关键点?
3. 有没有相关的规范或案例可以参考? 关于经验分享
基准方中这次遭遇勒索病毒确实让人揪心,我们设计院去年也经历过类似事件。作为常年处理BIM模型和施工图的同行,重点分享三点实战经验:
■ 立即启动离线备份恢复——我们当时第一时间从物理隔离的磁带库调取了7天前的完整备份(按《建设工程文件归档规范》GB/T 50328-2014第4.2.3条要求),虽然损失了部分最新修改,但保住了核心图纸。特别提醒:Revit族库和PKPM计算书这类关键数据必须每日增量备份+每周全量备份。
■ 谨慎对待赎金要求——去年某设计公司支付赎金后只恢复了60%数据,还被二次勒索。建议先联系公安网安部门(依据《网络安全法》第二十五条),我们通过网安支队的技术支持溯源到攻击IP,发现是针对AutoCAD文件的定向攻击。
■ 重点防护设计软件——勒索病毒专盯.dwg/.rvt/.et等工程文件,建议在杀毒软件中设置这些后缀的实时监控。我们后续给所有绘图电脑加装了行为检测模块,当检测到大量文件被加密时自动切断网络。
关于关键注意事项
遭遇攻击后最怕慌乱操作,结合我们处理经验强调五个关键动作:
■ 立即物理断网——先拔网线再关机,防止病毒通过局域网扩散到服务器。我们曾有同事误操作导致整个结构计算服务器被加密,损失300G的YJK模型。
■ 保留攻击证据——不要删除病毒文件,拍照记录勒索信息(如后缀名.locked),这些是公安溯源的关键。某市政设计院因及时保存了加密过程日志,三个月后协助警方抓获了黑客团伙。
■ 检查备份有效性——重点验证BIM模型能否打开,去年有项目备份了Revit文件但未备份族库,恢复后所有门窗都变成占位符。按《建筑信息模型应用统一标准》GB/T 51212-2016第5.3.2条,备份应包含完整项目环境。
■ 暂停所有出图流程——在确认系统安全前,严禁使用被感染电脑打印施工图。某住宅项目曾因带毒电脑输出的结构图包含乱码,差点造成现场施工错误。
■ 内部信息管控——我们当时发生过员工私下联系黑客,结果被钓鱼二次攻击。所有对外沟通必须由信息部门统一处理,这点在《网络安全事件应急预案》(网信办2020版)第3.1条有明确规定。
关于规范与案例参考
建筑行业虽无专门的勒索病毒规范,但以下依据可作参考:
依据类型具体条款应用要点
国家标准《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019第8.1.3.3条三级系统应提供异地数据备份,设计院核心服务器必须满足
行业规定《工程勘察设计行业数据安全管理指南》(住建部2021)第12条要求设计企业建立图纸加密传输机制
典型案例2022年某甲级院事件因未及时更新AutoCAD补丁遭攻击,最终通过三个月前的离线备份恢复,损失约80万元
需要特别说明:以上信息基于2023年及之前的行业实践,具体技术措施请以网信部门最新指南为准。勒索病毒处置属于专业网络安全领域,建议基准方中立即联系具备等保测评资质的机构(可查询中国网络安全审查技术与认证中心官网),我们设计人员切勿自行处理病毒文件。
最后提醒:最近半年已发生5起设计院遭勒索事件,共性都是未关闭3389远程端口。赶紧检查你们服务器的防火墙设置,这是当前最危险的攻击入口。等事情处理完咱们再交流防护细节,先保数据安全!
页:
[1]