2017年，“WannaCry”****横空出世，席卷全球，此后六年****犹如洪水泛滥般一发不可收拾，尤其是在制造业。

****攻击手段逐渐多样化（木马、邮件、漏洞、捆绑），国内外制造业成为头号攻击对象，曾有行业内用户表示“中过招，还好有备份，但如何防范还是不太清楚，担心被窃取的信息泄露出去，也不想病毒在内网中偷偷传播，行业里越来越多同行都开始重视防范，我们也希望能好好防范”。

经烽台科技在工业网络靶场中的实践研究分析显示，靶场仿真技术可针对不同业务层设备，搭建环境多维度高度仿真。工业网络靶场的仿真环境内嵌完整的应急响应步骤，在攻击者利用****对企业进行攻击时，制造业企业可根据攻击者勒索的主机，进行应急响应步骤，对被勒索主机网络隔离、病毒分析、阻止扩散、杀毒、解密、加固等应急响应。

烽台科技就将“制造业如何在靶场内进行****应急演练”做的分析讲解，一解大家心中之惑。

一     ****

正所谓，知彼知己，百战不殆。部分，先带大家了解****定义、影响、分类以及相关勒索事件。

1.1     ****简介

【定义】****是一种极具破坏性，传播性的恶意软件，是伴随数字货币兴起的一种新型病毒木马。

【影响】企业遭受****攻击时，内部终端大部分文件被加密算法修改。并添加该类型****特色的后缀，可导致用户终端文件无法读取，对用户造成无法估量的损失。

【原理】****通常利用非对称加密算法和对称加密算法组合的形式来加密文件。绝大多数勒索软件均无法通过技术手段解密，必须支付黑客赎金拿到对应的解密私钥才有可能还原被加密文件。因通过数字货币支付。一般无法溯源，因此危害巨大。

【传播途径】邮件传播、漏洞传播、介质传播、捆绑传播。

1.2     ****分类

****种类繁多，常见的有四类，分别为文件加密类、数据窃取类、系统加密类、屏幕锁定类，每一类都有不同病毒代表和中毒特点。

1.2.1     文件加密类****

病毒定义：该类型病毒如RSA、AES等，通过多种加密算法对文件进行加密，并要求支付赎金获取密钥，一旦感染，文件很难恢复。

病毒代表：“WannaCry”，通过加密算法加密文件，并在暗网进行交易。

1.2.2     数据窃取类****

病毒定义：该类型病毒与文件加密病毒相似，同样加密用户数据，并要求支付赎金，一旦感染，文件很难恢复，但在勒索过程中还会窃取用户重要数据，以公开方式胁迫用户交赎金。

病毒代表：“Conti”，攻击且感染全球及企业，通过加密算法窃取文件。

1.2.3     系统加密类****

病毒定义：该类型病毒会加密系统磁盘引导记录、卷引导记录，同样加密用户数据，一旦感染，系统很难启动，并要求用户支付赎金。

病毒代表：“Petya”，以病毒内嵌的主引导记录代码覆盖磁盘扇区，使设备系统无法正常开启。

1.2.4     屏幕锁定类****

病毒定义:该类型病毒会对用户设备屏幕进行锁定，通常以全屏形式呈现涵盖勒索信息图像,使用户无法登录设备。

病毒代表:“WinLock”，锁定设备屏幕，要求通过短信进行支付。

1.3     工业企业****事件

随着互联网在工业中的广泛应用，针对工业安全的各式网络攻击事件日益增多，尤其在电力、石油、铁路运输、燃气、化工、制造业、能源、核应用等相关领域的关键网络一直都是全球攻击者的目标。据国家工信安全中心统计，2022年公开披露的工业信息安全事件共312起，覆盖了十几个工业细分领域。

勒索攻击持续威胁工业信息安全，截至2022年，公开披露的工业领域勒索事件共89起，较2021年增长百分比高。勒索攻击手段方法更加复杂化，多重勒索成为攻击者重要手段，跨平台勒索软件应用更趋广泛，间歇性加密成为勒索攻击新方式。

据相关数据统计，制造业成为其中勒索攻击的主要目标。电子制造行业遭****攻击多，汽车制造行业成为仅次于电子制造业的重点目标。勒索攻击造成的数据安全相关损失和影响持续加大。

1.3.1    典型案例分享

(1)    某机电受到“****”攻击导致其停产，详情如下：

事件经过

2018年，由于工作人员在使用了未打补丁的 Windows 系统安装软件过程中操作失误，感染WannaCry变种病毒。因病毒已存在于新机台内，新机台又未经隔离查杀病毒就与其他电脑进行连接，从而导致病毒扩散。

事件影响

事件造成该厂三大重要生产基地生产线停摆，导致其停产数日，预估经济损失高达11.5亿元人民币。

(2)    A国某管道公司遭受****攻击导致输油管道停运，详情如下：

事件经过

2021年，总部位于A国的某管道运输公司发布消息，确认公司遭受勒索软件的攻击，因此关闭了旗下多条主干成品油管道，并聘请网络安全专家进行处理和调查。此次勒索软件攻击事件是某个网络犯罪团伙发起的，在入侵某管道运输公司的网络后，获取了大量数据，以此威胁要求赎金。

事件影响

事件直接导致A国沿海主要城市输送油气管道系统被迫下线。对目标系统植入恶意软件,劫持了将近100GB的数据以索要赎金。

二     工业网络靶场

工业网络靶场是集工业攻防演练、工业人才培养、工业产品测试等功能于一体的综合场景仿真平台。

如何防范勒索攻击？“中招”之后应如何处理？对于制造业用户的实际需求，工业网络靶场毫无疑问的为用户提供了一种安全、有效的环境，让安全团队可在靶场内安心的进行多类别****攻击与处置的应急演练。

2.1    工业网络靶场简介

工业网络靶场是面向工控网络仿真环境建设的基础网络设施。旨在通过工业网络靶场建设，为能源、电力、钢铁、有色、智能制造、**等关系到国计民生、国家安全等重点行业和领域提供分析、设计、研发、集成、测试、评估、运维等全生命周期保障服务。

因工控网络环境复杂，生产实时性要求高，企业网络安全事件应急响应、安全产品测试、边界论证等一系列问题始终无法落实在真实工控网络。工业靶场的出现，有效解决了无法在真实环境中对复杂大规模异构网络和用户进行逼真的模拟和测试，以及风险评估等问题，实现工业信息安全能力的整体提升。

2.2    工业网络靶场价值

用户可依托工业网络靶场完成网络空间工业网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人员技能培训、安全攻防演练等任务。如：针对各行业工业控制系统应用开展攻击影响验证、漏洞挖掘、风险分析、安全防护验证，可有效减少工控设备漏洞暴露数量，提高行业安全防护水平，可极大程度降低安全事件发生概率。同时，依托于工业网络靶场开展人员技能培训和演练，可提高安全人员安全防护能力、完善自身应急响应机制；通过安全防护策略的测试验证，可有效提升全网安全防护设备利用率，为行业节约上千万规模的安全防护成本。可广泛应用于高校、企业（包括电力、钢铁、有色、石油、化工、**等）、科研院/所等。

三     工业网络勒索攻击复现

应急演练主打一个“真实”，越真实的演练，应急效果越好。针对****的攻击途径和特点，烽台科技利用工业网络靶场技术的仿真能力，为制造业用户真实复现工控网络基础环境、工艺生产场景和****感染路径。

3.1     感染病毒环境设计

3.1.1    基础环境和工艺设计

工控网络层次模型从上到下共分为5个层级，依次为企业管理层、生产执行层、过程监控层、现场控制层和现场设备层，不同层级的实时性要求不同。此次仿真根据汽车制造业的网络拓扑、生产工艺、数据采集等业务进行高度模拟真实现场生产环境。工业网络靶场环境各个区域设备组成如下：

公网区域：使用靶场环境仿真公网，攻击者使用模拟公网IP。

安全设备区：由防火墙、蜜罐、监测等系统组成。

企业管理层：搭建财务、人事等系统。

生产执行层：搭建仓储管理、计划排产等系统。

过程监控层：搭建汽车制造业冲压工艺、焊接工艺、涂装工艺、总装工艺、工程师站或操作员站。

现场控制层：搭建仿真西门子300控制器对冲压工艺、焊接工艺、涂装工艺、总装工艺程序。控制层数据可传送至过程监控层操作员站或工程师站。

环境仿真设备如下图：

工艺流程说明：该环境工艺根据汽车制造业四大关键工艺设计，依次是冲压工艺、焊接工艺、涂装工艺、总装工艺。经过这四道工艺流程，汽车制造就完成了，下面是四道工艺的具体流程。

步：冲压工艺，用不同型号的钢板冲压出车身的零部件，把整卷钢板裁剪成不同零件制造。这是一道基础的工序，是后续工序的前期准备。

第二步：焊接工艺，将各种车身冲压部件通过焊接工艺使之结合在一起。随着自动化的提升，很多汽车制造业会有大量的机器人进行激光焊接，不仅提高了工作效率，质量也得到了保障，车身每一处焊接完成后，需要人工仔细检查焊接情况，确保车身部件焊接牢度，这样才能进入下一步骤。

第三步：涂装工艺，给车身喷涂上各种颜色，防止车身锈蚀，使车身具有靓丽外表。焊接组装完成的车身，要进行防锈处理，无车身缺陷后再由机器人进行涂装作业，机器人涂装可以减少材料的浪费，提升涂装效率。

第四步：总装工艺，需要将车身、底盘和内饰等各个部分零件组装到一起，形成一台完整的汽车。在这里要进行车身底盘、发动机、变速箱以及其他内饰配件的安装，这是汽车制造的主要工序。汽车总装工艺，决定了汽车的装配质量。

下方图例展示了工业网络靶场环境中的一个工艺环节组态画面。画面中显示了现场控制器、机器臂、报警等状态，机器臂实时画面，车辆完成数量统计等。

3.1.2    ****感染路径设计

此次****攻击是模拟企业内部人员将存在web漏洞的人事办公系统映射外网提供远程办公，由于企业每天面临外网攻击次数多，使外网的攻击者探测到人事办公系统的web漏洞，利用任意文件上传拿下web shell进行****加密文件操作。

此次勒索攻击复现为了使企业环境和攻击环境高度仿真，均使用靶场模拟外网地址。并非真实公网地址。

以下是****感染路线图（红色代表攻击路线）：

攻击步骤如下：

(1)    探测目标资产

确认目标资产虚拟公网ip为：1.1.1.1（注释：靶场虚拟ip），nmap扫描端口发现存在http等服务。

(2)    确认资产

访问8080端口发现，资产为某汽车人事办公oa系统。

(3)    确认资产版本等漏洞相关信息

获取版本信息，该版本某汽车人事办公oa系统存在历史漏洞。通过手工验证发现存在action_upload.php 文件过滤不足且无后台权限，导致任意文件上传漏洞。

(4)    编写漏洞利用脚本，实现一键上传shell。

./TDOA2017-benhinder http://1.1.1.1:8080执行脚本成功，访问webshell路径验证。

(5)    上线Behinder（冰蝎）

启动冰蝎 java -jar Behinder.jar

webshell地址：http://1.1.1.1:8080/behinder.php （注释：靶场虚拟ip）。

密码：rebeyond

进入系统，命令执行，内网ip为 192.168.10.4（注释：靶场虚拟ip）。

(6)    上传病毒

将****上传至目标主机并运行。

3.2    靶场环境搭建介绍

（1）    网络结构介绍

汽车制造业网络中主要分为公网、安全设备区、企业管理层、生产执行层、过程监控层、现场控制层、现场设备层，各层次网络依次连接。其网络边界隔离定义为公网和企业管理层由防火墙进行逻辑隔离、现场过程监控层和生产执行层通过实时数据库或数采网关隔离。多数企业现场信息侧和生产侧边界无安全设备，内网存在攻击风险。网络结构如下图：

（2）    仿真虚拟组件介绍

靶场对汽车制造业的业务层设备进行仿真搭建，仿真现场工艺控制器并编写程序，通过仿真现场工程师站及操作员站控制与监视仿真控制器程序。

数据通过实时数据库工控侧进行采集，信息侧将数据转发 生产执行层系统。

（3）    ****场景设计

攻击者利用防火墙端口映射企业管理层系统进行攻击。以仿真不同业务层设备，搭建环境多维度高度仿真。对此次企业****模拟攻击事件，利用安全设备、主机日志等开展应急响应、恢复等一系列措施。

业务仿真按照汽车制造业的主要网络架构、生产工艺、数据采集，采用虚拟组件方式进行搭建，仿真汽车环境的业务流程控制系统，根据实际生产工艺划分不同工艺终端系统和控制系统。

四     仿真环境内勒索攻击应急响应

工业网络靶场的仿真环境内嵌完整的应急响应步骤，制造业企业可根据现场攻击者勒索的主机，进行应急响应步骤，通过办公人员发现主机****弹框通知信息安全人员，信息安全人员对被勒索主机网络隔离、病毒分析、阻止扩散、杀毒、解密、加固等应急响应。

此次勒索攻击复现为了使企业环境和攻击环境高度仿真，均使用靶场模拟外网地址，并非真实公网地址。

红色代表攻击路线、蓝色代表应急路线，如下图所示:

4.1    应急响应步骤

4.1.1    主机日志排查

系统感染****，界面弹出勒索信件，此时系统内的文件已经被病毒加密无法正常访问。要求受害者支付赎金才能解密文件并恢复访问权限。

为判断此次攻击事件始末以及后续处置的分析溯源，通过对主机端口连接情况进行分析和溯源，获得更多关于攻击事件的信息，并为进一步的调查和处置提供指导。可初步排查可疑IP。（注释：12.12.12.3靶场虚拟    IP）。

4.1.2    禁用网卡

为了降低勒索事件的损失并限制病毒的进一步传播，禁用受攻击主机的网卡以实现断网处理。这将阻止病毒继续扩散至内网中的其他主机，并防止事件对公司业务的正常运行产生更大的影响。此外，断网处理还有助于阻断攻击者与受感染主机之间的连接。

4.1.3    病毒分析

根据****加密文件的后缀和勒索信件的内容进行判断，经过谨慎缜密地分析，确认该****属于WannaCry家族****。该病毒通过网络传播和感染计算机，然后加密受害者的文件，并要求支付赎金以获取解密密钥。

4.1.4    排查内网主机

逐一排查内网内其他主机的运行状态，判断是否被病毒扩散传染，由于此次应急响应迅速，病毒并未继续扩散，内网其他主机仍处于安全状态。

4.1.5    安全设备排查

查看安全设备日志对此次攻击事件进行溯源分析，通过灯塔安全威胁诱捕审计系统捕获到攻击者画像，系统分析此次攻击疑似境外黑客所为。（注释：12.12.12.3靶场虚拟IP）。

通过对主机系统日志件和安全设备日志事件的对比，可以排查攻击者。（注释：12.12.12.3靶场虚拟IP）。

捕获到该攻击IP曾尝试通过3389端口远程连接公网地址，因此该IP有可能为此次攻击事件的攻击者。（注释：12.12.12.3靶场虚拟ip）。

4.2    数据恢复

4.2.1    病毒查杀

导入安全杀毒软件的离线包，对感染主机进行杀毒，通过对系统磁盘进行扫描检测发现主机所中病毒并将其查杀。

4.2.2    文件恢复

虽然通过杀毒软件查杀了系统中的****程序，但并没能恢复被病毒所加密的文件，因此需要导入文件恢复工具离线包来尝试恢复这些文件。

文件恢复工具的成功率通常取决于多个因素，包括病毒的加密强度、加密算法的复杂性以及文件本身的完整性，因此并不能完全依赖文件恢复工具恢复所有损失。通过对比可以发现，只有部分被加密的文件能够成功恢复，受害主机中仍有大量文件未得到恢复。

4.2.3    数据备份恢复

鉴于文件恢复工具无法完全恢复本次****事件所造成的影响和破坏，需要采取数据备份方法来还原系统。利用备份的数据可将系统还原至病毒入侵前近一次状态，消除勒索攻击的影响，并将系统恢复到可信的状态。

4.3    场景加固

4.3.1    安全设备加固

通过安全产品对整个内网环境进行加固，如制定防火墙策略可提高工控网络的防御能力。停止人事系统暴露公网端口映射后,可进行产品漏洞修复。（注释：1.1.1.1靶场虚拟IP）。

禁止内外网IP ping防火墙。启用内网DOS攻击防御。

4.3.2    恢复备份，安装杀毒软件

在加固内网环境并加强防火墙策略后，再次利用安全杀毒软件对受攻击的主机进行快速病毒扫描，以确保彻底消除勒索攻击安全隐患。

五     靶场模拟****事件应急响应总结

经过在工业网络靶场中的****攻击演练，制造业用户可对此类型应急响应事件进行总结，制定适合的应急处置流程、技术规范、管理规范，大化降低勒索攻击对企业的损害。

5.1    ****基本情况

病毒家族：WannaCry ，****变种：WannaCry 2.0，WannaCry（又叫Wanna Decryptor），一种“蠕虫式”****软件。该****在2017年袭击了全球150多个国家和地区，影响了包括、医疗服务、公共交通、邮政、通信和汽车制造业等领域，对社会发展造成恶劣影响。

本次****攻击者利用了产品web应用漏洞，入侵用户内部网络，投放****程序，加密系统文件进行勒索。

病毒后缀名：.WNCRY

5.2    靶场内的****应急处置

当靶场环境机器感染****后，立即开展以下应急工作：

（1）    隔离网络：该场景使用禁用网络方式切断受感染机器的网络连接，避免网络内其他机器被进一步感染渗透。

（2）    加密情况：该场景发现文件已经全部被加密，可保持机器开机状态，等待继续排查。如重要文件未被加密，可选择关闭****进程或关机。

（3）    病毒范围：排查该场景其他可能会受到****影响的机器，确定****传播范围。

（4）    问题排查：通过主机端口连接查找攻击来源。通过安全设备进行攻击溯源工作。

（5）    恢复：使用****文件解密工具尝试解密，无法解密时需使用数据备份恢复系统。

（6）    安全加固：通过安全设备和主机日志排查出攻击来源，加固防火墙策略配置。安装杀毒软件实时监测主机安全状态，防止攻击者再次勒索。

（7）    产品升级：可将系统进行升级，防止攻击者利用web应用漏洞。

5.3    ****防范

5.3.1    技术防范

(1)    数据备份

重要文件或者重要系统需采用移动硬盘等方式进行定期备份数据，避免主机被****攻击，导致文件加密无法恢复的情况出现。

(2)    终端防护

关闭主机的 445、135、139、3389 等高危端口，可避免****针对高危端口漏洞攻击和企业内网中的横向传播。

针对通过 RDP 服务和弱口令破解进行入侵和扩散的****，建议企业对设备操作系统口令进行定期检查修改，增强口令长度检查、复杂度检查，避免使用统一而简单的登录密码。

对创建账户、删除账户、锁定、禁用等相关高权限行为进行管控。

禁用设备移动接口。

修复应用漏洞相关补丁。

(3)    邮件防护

企业内部员工不点击陌生人发来的各种链接，不要打开陌生人发来的附件。及时更新系统补丁及防病毒软件的病毒定义包。

(4)    安全设备防护

上网行为审计系统：企业出于合规、审计等原因，基本都会部署上网行为审计系统，策略上需配置屏蔽可能含有****网站。

防火墙：针对企业业务进行访问控制。

入侵防御：使用入侵防御设备对URL过滤、恶意软件过滤等，需结合沙箱、情报技术等方法分析处理。

主机卫士：企业终端安装主机防护软件，对****、木马及时查杀。

态势感知：使用态势感知实时监测企业网络安全状态。

5.3.2    管理防范

（1）    制定并落实网络安全管理制度。

在管理制度上，需要从验证信息、访问控制、资产梳理、终端防护等几个方面侧重管理。企业工业控制系统在向外连接时，可通过入网的设备验证、人员验证，确保准确性及唯一性，加强工业控制系统业务访问控制权限管理，关闭高危端口、定期查看补丁、不私自接通外网，有效保障入网设备的合法性，防止****在企业内网扩散。对联网的工业控制设备进行梳理，建立资产库，加强企业边缘资产监管，达到削减工业控制系统网络资产暴露面的目的。

（2）    定期检查工业控制系统漏洞。

在检查工业控制系统上，需要从供应链、软件、硬件等采购上管理把控。要将定期扫描漏洞按照等级划分，并按照等级修复漏洞。工业控制系统中使用的操作系统和工业软件数量和版本众多，存在漏洞个数多、种类多，使得****传播速度难以把控。攻击者可以提前将****植入企业的供应链上游的软、硬件供应商的产品中，在安装或更新软、硬件时，****即被带入工业控制系统设备，感染企业网络中存在漏洞的系统。针对工业控制系统，企业需要加强定期对工业控制系统终端、网络设备、服务器、控制器等设备的漏洞扫描。清晰定性网络安全风险，及时完善系统补丁、修复漏洞，执行完整的安全策略，从根源上进行风险预防。

（3）    建立健全应急响应机制。

大部分的勒索攻击是无征兆的，所以应当加强网络安全应急预警，建立健全的应急响应机制，利用企业的网络安全资源实现安全资源信息共享。同时可与国家相关机构和国内安全公司进行合作，运用有效资源和应急响应技术手段结合的方式，共同制定企业勒索攻击应急预案。

（4）    加强内部员工网络安全意识。

企业需要持续的进行网络安全培训，提高内部员工网络安全意识，使其在日常操作过程中能够有效识别系统漏洞攻击、垃圾邮件攻击等恶意行为，认识其危害并掌握一些必要的应对防范措施。

在组织建设方面，鼓励企业成立网络安全事件响应小组，通过专职小组有组织、系统性地监视业务系统的安全性，及时接收网络中的异常通知报告，一旦出现异常情况，响应小组可以及时采取应急措施对勒索攻击进行范围控制，大化降低其对企业的影响程度。

****不是普通的“感冒”，工业企业应防患于未然，数据提前备份、人员提前演练、体系提前建立，多维度共同防护，才是抵御勒索攻击的长久之计。

后，关于****的应急响应资源有很多，烽台科技为大家找到了几个靠谱的链接，希望能帮更多工业企业有效应对****攻击，减少企业财产损失，建立良好的经营环境。

六     ****应急响应资源链接

6.1    国内资源链接

6.1.1    火绒安全软件5.0（个人版）

火绒是一款杀防管控一体的安全软件，有着面向个人和企业的产品。拥有简洁的界面、丰富的功能和良好的体验。特别针对国内安全趋势，自主研发高性能反病毒引擎。

主要特点

（1）    无任何广告推送

（2）    一键扫描、查杀病毒，基于“通用脱壳”、“行为沙盒”的本地反病毒引擎，不受断网影响。

（3）    19个重要防护功能，有效防病毒、木马、流氓软件、恶意网站等。

传送门：www.huorong.cn

6.1.2    奇安信****工具集下载

奇安信科技集团股份有限公司成立于2014年，专注于网络空间安全市场，向政府、企业用户提供新一代企业级网络安全产品和服务。

主要特点

（1）    针对****专杀

（2）    针对永恒之蓝病毒端口关闭

（3）    针对蠕虫****文件恢复

（4）    蠕虫勒索工具种类多

传送门：https://www.qianxin.com/other/qaxvirusremoval

6.1.3    ****搜索引擎合集

【360】 ****搜索引擎，支持检索超过800种常见****

传送门：https://lesuobingdu.360.cn/

【腾讯】 ****搜索引擎，支持检索超过 300 种常见****

传送门：https://guanjia.qq.com/pr/ls/

【启明星辰】VenusEye****搜索引擎，超300种****家族

传送门：https://lesuo.venuseye.com.cn/

【奇安信】****搜索引擎

传送门：https://lesuobingdu.qianxin.com/

6.1.4    ****解密合集

【腾讯哈勃】勒索软件专杀工具

传送门：https://habo.qq.com/tool/index

【金山毒霸】****免疫工具

传送门：http://www.duba.net/dbt/wannacry.html

【瑞星】解密工具下载

传送门：http://it.rising.com.cn/fanglesuo/index.html

6.2    国外资源链接

6.2.1    卡巴斯基

卡巴斯基反病毒软件是世界上拥有科技的杀毒软件之一，总部设在俄罗斯首都莫斯科，是国际的信息安全领导厂商之一。公司为个人用户、企业网络提供反病毒、防黑客和反垃圾邮件产品。

主要特点：

（1）    使用便捷。

（2）    多层级防御系统，保护电脑免受其他威胁。

（3）    杀毒功能非常强大，能够检测各种恶意软件和网络攻击。

（4）    智能更新安防库和软件程序。

传送门：https://www.kaspersky.com.cn/

6.2.2    No More Ransomware Project

该软件主要目标是保护用户免受勒索软件攻击，有****密钥库，有效解除不同类型被加密文件。

主要特点：

（1）    有关于****加密文件的详细说明

（2）    定期更新****密钥库

（3）    提供超过25种不同语言的服务

传送门：https://www.nomoreransom.org/zh/decryption-tools.html#Bianlian

参考文献

[1]崔莹莹,原真,刘健帅.工业领域勒索攻击事件态势分析及应对方法探讨[J].工业信息安全,2022(10):63-68.

[2]薛丹丹,王媛媛,卲一潇等.****的原理及防御措施[J].网络安全技术与应用,2023(02):10-12.

[3]国家工信安全发展研究中心发布，2022年工业信息安全态势报告[EB/OL].[2023-2-14]. http://www.cics-cert.org.cn/.

[4]中国信息通信研究院，****安全防护手册[EB/OL].[2021-9]. http://www.caict.ac.cn/.