预警 | 医疗行业遭遇勒索病毒攻击

2月24日消息,据国内网友爆料,国内某医院今晨出现系统瘫痪状况,患者无法顺利就医,正值儿童流感高发季,医院大厅人满为患。据悉该院多台服务器感染勒索病毒,数据库文件、业务文件均被病毒加密破坏,攻击者要求院方必须在六小时内为每台感染终端支付1个比特币赎金,约合每台终端解锁需要支付人民币66000余元。医院信息系统因此而无法正常使用,取号、办卡、挂号、收费、诊疗等业务受到影响。尽管医院快速启动应急预案采用人工方式恢复了接诊,但系统仍未完全恢复。

图:物联网医疗行业攻击现状分析

虽然物联网医疗能够为医疗保健生产力和病人信息获取指数增长,但也由于潜在的不安全的网络的设备而导致风险暴露。在国外,此类针对于医疗系统的攻击已经屡见不鲜,我们已经看到2017年5月WannaCry网络攻击如何瘫痪了英国的国家卫生服务系统(NHS)。

图:物联网医疗现状分析

根据Gartner研究,到2020年,25%的医疗攻击将来自物联网设备.SANS报告称,医院中约17%的网络攻击来自医疗终点。77%的医院现在报告说,连接医疗设备的安全风险是他们最关心的问题。

图:物联网医疗系统

针对此次医院遭受勒索病毒攻击感染的情况,安恒信息应急响应中心结合在勒索病毒领域多年的专业应急响应处置与数据恢复经验,提出针对医院系统防护勒索病毒防护指导。

图:当前安全解决方案的不足

终端系统预防措施

  • 及时安装系统安全漏洞补丁
  • 安装系统防恶意程序软件
  • 安装主机网络防火墙软件
  • 实时备份系统重要数据到存储介质中,如移动硬盘等
  • 设置系统口令,并强化口令复杂度,至少8位,同时包含数字、大写字母、小写字母、特殊字符两种以上
  • 关闭不必要的服务,如Windows共享服务、远程桌面控制等
  • 提高网络安全意识,不随意打开未知来源的邮件附件、不乱插U盘等

网络防御措施

  • 部署APT等安全攻击预警系统,并实时监测网络安全状态
  • 部署蜜罐系统,对网络攻击进行实时诱捕,感知系统安全状况。
  • 外网防火墙严格控制端口开放情况,非必需业务端口禁止网络连接
  • 做好内网安全隔离,不同业务间做好Vlan划分,不需要交互业务做好网络隔离

安全应急处置建议

  • 立即断开已经感染的主机系统的网络连接,防止进一步扩散;
  • 采用数据恢复软件、磁盘硬件数据恢复服务进行数据恢复,尽可能挽回数据损失;
  • 已经感染终端,根据终端被加密数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、重建磁盘引导扇区MBR后,安装全新操作系统,并完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。

注释:

勒索软件,又称勒索病毒,是一种特殊的恶意软件,其与其他病毒最大的不同在于手法以及中毒方式,其主要通过系统性地加密受害者硬盘上的文件,并要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密档案。勒索病毒通常有如下感染方式:

1、通过典型的木马病毒形式传播,将自身为掩盖为看似无害的文件

2、通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载安装

3、与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-02-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

潜伏17年0day漏洞被发现威胁Office全版本 1123台利盟打印机在线暴露

2017.12.22 周五 安全资讯 资讯要点 网络安全公司 FireEye 和 Dragos 于上周报道称,新型恶意软件 Triton 和 Trisis通过破...

225100
来自专栏北京马哥教育

勒索病毒wannacry最新信息汇总

? 由于在短短几天时间内一举攻击了全球70多个国家并且在中国给各大高校狠狠的上了一课,最新的勒索病毒近期在中文互联网上刷屏了。此次勒索病毒大面积爆发事件的影响...

31960
来自专栏FreeBuf

Linux XOR DDoS僵尸网络发起强有力的DDoS攻击

Akamai的专家们发现Linux XOR DDoS僵尸网络,它是一个恶意的网络基础设施,可用于对几十个目标发起强有力的DDoS攻击。此外,它主要针对游戏领域和...

38350
来自专栏安恒信息

不仅美国有棱镜门 英国情报部门扫描32国端口

在棱镜门丑闻中,美国国安局等情报部门对各国公民乃至政要的通信进行监听的丑闻被曝光。实际上,英国、加拿大等其他西方国家的情报部门,也在对他国通过互联网手...

34350
来自专栏FreeBuf

解码针对工业工程领域的网络攻击 Operation Ghoul「食尸鬼行动」

? 1 介绍 卡巴斯基于2016年6月监测到了Operation Ghoul(食尸鬼行动)网络攻击,Operation Ghoul针对30多个国家的工业、制造...

22890
来自专栏安恒信息

关于最新Petya勒索病毒变种,热点问题都在这里

北京时间2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇Petya勒索病毒最新变种袭击,政府、银行、电力系统、通讯系统、企业以及...

34860
来自专栏腾讯云安全的专栏

Petya 勒索病毒来袭,腾讯云用户安全指引

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。腾讯云联合腾讯电脑管家发现相关样本在国内...

35600
来自专栏域名资讯

币类域名大热:“卢币”lubi.com域名六位数售出

这阵子,真可谓是币类域名大热!,前段时间就有传出bihu.com就以七位数成交!众多带“bi(币)”的域名都卖了高价

228100
来自专栏FreeBuf

BUF大事件:BlackHat2018拉斯维加斯举办;台积电三大工厂遭病毒感染

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,世界信息安全行业的最高盛会BlackHat在拉斯维加斯举办;台积电三大工厂接连遭病毒感染,敲响工控安全的警钟...

7930
来自专栏域名资讯

多起交易低调进行:“民兵”域名买家揭晓

在域名圈中时常传出域名交易的消息,也有很多低调进行的域名交易,即使是交易完成了。也很难得知买卖双方的信息。近日,外媒又曝出一批品相不错的域名的相关动...

23280

扫码关注云+社区

领取腾讯云代金券