一隻U盤引發的血案：U盤病毒導致台積電損失超10億

台積電是誰？

對於很多非IT人士來說，「台積電」這家企業還是比較陌生的，很多人只是知道這是一家台灣的企業。但對於這家企業的具體業務就比較陌生了。

台積電，全稱「台灣積體電路製造股份有限公司」，是全球最大的專業集成電路製造服務（晶圓代工）企業，是台灣最大的上市公司，市值突破了2000億美元。

台積電的主營業務是晶圓體代工，是製作晶元的主要材料。根據拓墣產業研究院2017年12月發布的2017年全球晶圓代工廠商排名，台積電排在第一位。公開數據顯示，全世界將近60%的晶元代工都由台積電完成。無論蘋果，還是高通，全球絕大多數高科技巨頭的「心臟」（cpu），都被台積電握在手裡，而且找不到可以替代它的人。

可以毫不誇張地說，如果台積電掌門人張忠謀一跺腳，全球科技業估計就得地震。

就是這樣一個全球市值最大的集成電路、半導體企業，卻因為一隻U盤而引發了一次地震。

2018年8月3日晚，台積電電腦系統遭到電腦病毒攻擊，造成竹科晶圓12廠、中科晶圓15廠、南科晶圓14廠等主要廠區的機台停線等消息。

台積電方面8月5日公告聲稱，此次事件對2018年第三季度營收影響約為3%，毛利率影響約為1%。8月6日改口稱「營收影響將縮小到2%」。此前台積電預計第三季度營收84.5億~85.5億美元。也就是說，台積電損失至少在1.69億~1.71億美元（約合人民幣11.52億~11.66億元）。

禍起蕭牆

台積電8月6日下午舉行了此次事件的說明會。在台積電相關人士向記者提供的材料中，台積電總裁魏哲家在8月6日下午的說明會上確認，該公司此次遭遇的病毒，是去年全球爆發的勒索病毒「WannaCry」（中文名，想哭）的變種病毒。

「WannaCry」是一種「蠕蟲式」勒索病毒軟體，會利用微軟Windows系統漏洞進行自動傳播，被感染的電腦會被植入敲詐者病毒，導致大量文件被加密，病毒會提示支付一定數額的比特幣才可以解鎖。統計數據顯示，「WannaCry」勒索病毒去年至少波及150個國家、20萬台電腦，造成至少80億美元的損失。

因此，「中毒」事件發生以後，業界出現了台積電可能遭遇黑客入侵甚至是存在內鬼的陰謀論。比如，有一種猜測就認為，台積電辦公網路和產線控制網路是隔離的，且產線控制網路未與互聯網直接連接、完全封閉，所以此次事件應該不是黑客攻擊，可能是內部人員將染了病毒的移動存儲設備帶入工廠並連接生產設備所致。

其實很多製造企業的生存線控制網路和辦公網路都是物理隔離的，並且生產線網路通常不會接入到互聯網，因此黑客攻擊就變得幾乎不可能。通過移動存儲介質，如U盤、移動硬碟等USB存儲設備傳播病毒的可能性極大。

那麼，作為企業辦公必備工具的文件存儲工具的U盤，何以引發如此嚴重的病毒侵襲呢？這就需要了解U盤病毒的傳播和攻擊方式。

U盤病毒的前世今生

U盤病毒顧名思義就是通過U盤傳播的病毒。自從發現U盤autorun.inf漏洞之後，U盤病毒的數量與日俱增。u盤病毒並不是只存在於u盤上，中毒的電腦每個分區下面同樣有u盤病毒，電腦和u盤交叉傳播。隨著U盤、移動硬碟、存儲卡等移動存儲設備的普及，U盤病毒已經成為比較流行的計算機病毒之一。

U盤病毒通過隱藏，複製，傳播三個途徑來實現對計算機及其系統和網路的攻擊的。

（1）隱藏。U盤病毒的隱藏方式有很多種： 作為系統文件隱藏。一般系統文件是看不見的， 所以這樣就達到了隱藏的效果；偽裝成其他文件。由於一般計算機用戶不會顯示文件的後綴，或者是文件名太長看不到後綴，於是有些病毒程序將自身圖標改為其他文件的圖標，導致用戶誤打開；藏於系統文件夾中。這些系統文件夾往往都具有迷惑性；運用Windows 的漏洞。有些病毒所藏的文件夾的名字為runauto…，這個文件夾打不開，系統提示不存在路徑，其實這個文件夾的真正名字是runauto…

（2）複製。U盤病毒具有輪渡技術，即將系統中的某些指定關鍵字的文件複製到優盤中，當優盤插入到具有上網條件的計算機中使用時，優盤病毒會將已經複製的文件傳送到指定的郵箱或者木馬病毒控制端。

（3）傳播。當隱藏或中毒U盤插入到一台沒有任何病毒的電腦上後，使用者雙擊打開優盤文件瀏覽時，Windows 默認會以autorun.inf 文件中的設置去運行優盤中的病毒程序，此時Windows 操作系統就被感染了。

因此，此次台積電電腦中毒事件，基本可以確定是員工將中毒的U盤插入電腦，然後運行了裡面的中毒文件，觸發了病毒的運行，進而導致了生產線控制系統的宕機，引發了嚴重的安全生產事件。

雖然，從VISTA系統開始，操作系統已經了禁止了U盤病毒的自動播放運行（也即autorun.inf），同時當前所有主流的殺毒軟體都可以阻止U盤的自動播放功能，一定程度上阻止了U盤病毒的運行。此外，很多殺毒軟體都集成了U盤病毒查殺功能，也可以阻止大部分U盤病毒的運行。但是，對於一些技術性很高、隱藏比較深的U盤病毒，操作系統和殺毒軟體可能都無法實時識別，因此即便安裝了殺毒軟體、更新了操作系統的相關補丁，也很難完全阻止此類U盤病毒的傳播和運行。

那麼，對於企業來說，如何有效防止U盤病毒、避免U盤病毒入侵呢？

企業防止U盤病毒的舉措

筆者從事信息安全管理工作多年，也經歷過U盤病毒的入侵，所幸由於事先採取了一些舉措，因此並沒有造成損失。總結一下，防止U盤病毒侵襲，應該從以下幾個方面入手：

首先，應該及時更新操作系統的相關補丁。

這是一條人人都知道，卻往往經常忽略的安全舉措。操作系統的漏洞很多，如果沒有及時更新補丁堵上，將會引發一系列的安全事件，甚至很多病毒木馬都是利用操作系統的先天漏洞進行傳播的。因此，實時更新操作系統補丁，防止各種系統漏洞引發的病毒入侵，也是防止U盤病毒傳播的重要舉措。此次台積電如果能夠及時更新補丁，關閉操作系統默認開放的445埠，則可以很大程度上防止U盤病毒、防止勒索病毒攻擊事件的發生，因為勒索木馬病毒正是通過445埠進行傳播和攻擊的。

其次，及時安裝和更新電腦殺毒軟體，確保殺毒功能正常生效。

按照台積電的說法，雖然生產線控制網路和辦公網路物理隔離，雖然可以防止互聯網病毒、黑客的直接入侵，但是並不意味著就沒有病毒入侵的風險，實際上很多病毒都是通過U盤等移動存儲介質進行傳播和攻擊的。因此，公司電腦安裝殺毒軟體是保護電腦安全，防止U盤病毒的基本舉措，同時還要保證實時升級殺毒軟體，確保各項殺毒功能的正常有效。

最後，禁止員工在公司電腦隨意插入U盤、USB存儲設備的行為。

此次台積電所遭受的勒索軟體病毒入侵，基本上可以確定是員工不小心插入了帶有勒索病毒的U盤，然後導致了病毒自動運行，或者員工點擊了U盤裡面干擾了病毒的文件而導致病毒發作、運行、傳播和攻擊。因此，雖然U盤可以極大的方便員工辦公，但是隨意使用U盤也會引發嚴重的問題，比如員工可以輕鬆使用自帶的U盤大量複製公司電腦的重要文件，或者隨便插入的U盤如果帶了病毒，則會直接將病毒感染到電腦，然後再通過內部網路不斷傳播，從而引發一連串的攻擊事件的發生。

但是，U盤作為企業辦公的常用工具，也不能完全禁止使用，否則會給企業辦公帶來很多不便。那麼，對於企業來說，如何允許使用U盤，同時還能防止U盤病毒的入侵呢？筆者以為，可以通過第三方USB存儲設備管理軟體、USB埠控制軟體來實現。

圖：大勢至電腦文件防泄密系統

從上圖我們可以看到，大勢至電腦文件防泄密系統提供了豐富的U盤管理功能，通過本系統不僅可以完全禁止u盤使用，而且還可以只讓使用特定的U盤，可以只讓從U盤向電腦複製文件而禁止電腦文件複製到U盤；或者電腦文件複製到U盤時，必須輸入密碼才可以，從而就可以實現對USB存儲設備的完全管控。此外，通過大勢至電腦文件防泄密系統還可以完全禁止郵件附件上傳、禁止網盤上傳電腦文件、禁止qq和微信等聊天軟體發送文件、禁止FTP文件上傳等，全面防止公司電腦文件泄露、防止公司數據泄密的風險。

針對台積電的員工隨意插入U盤導致病毒爆發的情況，通過大勢至電腦文件防泄密系統可以在很大程度上防止此類事件的發生。

首先，如果使用大勢至電腦文件防泄密系統可以完全禁止U盤、禁用USB存儲設備，因此即便員工插入了帶有病毒的U盤，由於U盤會被實時禁用，因此在操作系統層面上根本無法發現U盤，自然也就無法運行裡面感染病毒的文件了。

其次，通過大勢至電腦文件防泄密系統可以設置電腦只讓運行指定的U盤、只讓打開某個U盤或某些U盤，比如公司的專門用於存儲數據、傳遞數據的U盤，而員工私自插入自己的U盤將會被大勢至電腦文件防泄密系統實時禁用，從而無法識別員工的U盤，自然也就防止員工U盤病毒的發作和攻擊了。

最後，通過大勢至電腦文件防泄密系統還可以對操作系統關鍵位置進行有效的防護，防止病毒修改註冊表、組策略、開機啟動項的關鍵位置，從而也在很大程度上阻止了u盤的肆意傳播，防止了U盤病毒的擴散，將U盤病毒的危害減少到最小範圍。

總之，U盤病毒是當前企業、個人電腦病毒傳播的重要途徑，一不小心將會給企業、個人帶來重大損失。即便是像台積電這樣巨無霸的企業，一旦遭遇U盤病毒，就有可能是壓倒大象的一根稻草。此次台積電中毒事件，也給國內各行業企事業單位敲響了警鐘，採取有效舉措防止U病毒已經成為企業網路管理的重要方面，而除了常規的操作系統補丁升級、殺毒軟體的實時生效，採用一些專門管理USB埠使用、控制USB介面的軟體來加強U盤使用管理，防止U盤病毒入侵，也是企事業單位的明智選擇！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！