预警 | 医疗行业遭遇勒索病毒攻击

2月24日消息，据国内网友爆料，国内某医院今晨出现系统瘫痪状况，患者无法顺利就医，正值儿童流感高发季，医院大厅人满为患。据悉该院多台服务器感染勒索病毒，数据库文件、业务文件均被病毒加密破坏，攻击者要求院方必须在六小时内为每台感染终端支付1个比特币赎金，约合每台终端解锁需要支付人民币66000余元。医院信息系统因此而无法正常使用，取号、办卡、挂号、收费、诊疗等业务受到影响。尽管医院快速启动应急预案采用人工方式恢复了接诊，但系统仍未完全恢复。

图：物联网医疗行业攻击现状分析

虽然物联网医疗能够为医疗保健生产力和病人信息获取指数增长，但也由于潜在的不安全的网络的设备而导致风险暴露。在国外，此类针对于医疗系统的攻击已经屡见不鲜，我们已经看到2017年5月WannaCry网络攻击如何瘫痪了英国的国家卫生服务系统（NHS）。

图：物联网医疗现状分析

根据Gartner研究，到2020年，25％的医疗攻击将来自物联网设备.SANS报告称，医院中约17％的网络攻击来自医疗终点。77％的医院现在报告说，连接医疗设备的安全风险是他们最关心的问题。

图：物联网医疗系统

针对此次医院遭受勒索病毒攻击感染的情况，安恒信息应急响应中心结合在勒索病毒领域多年的专业应急响应处置与数据恢复经验，提出针对医院系统防护勒索病毒防护指导。

图：当前安全解决方案的不足

终端系统预防措施

• 及时安装系统安全漏洞补丁
• 安装系统防恶意程序软件
• 安装主机网络防火墙软件
• 实时备份系统重要数据到存储介质中，如移动硬盘等
• 设置系统口令，并强化口令复杂度，至少8位，同时包含数字、大写字母、小写字母、特殊字符两种以上
• 关闭不必要的服务，如Windows共享服务、远程桌面控制等
• 提高网络安全意识，不随意打开未知来源的邮件附件、不乱插U盘等

网络防御措施

• 部署APT等安全攻击预警系统，并实时监测网络安全状态
• 部署蜜罐系统，对网络攻击进行实时诱捕，感知系统安全状况。
• 外网防火墙严格控制端口开放情况，非必需业务端口禁止网络连接
• 做好内网安全隔离，不同业务间做好Vlan划分，不需要交互业务做好网络隔离

安全应急处置建议

• 立即断开已经感染的主机系统的网络连接，防止进一步扩散；
• 采用数据恢复软件、磁盘硬件数据恢复服务进行数据恢复，尽可能挽回数据损失；
• 已经感染终端，根据终端被加密数据重要性决定处置方式，如果重新安装系统则建议完全格式化硬盘、重建磁盘引导扇区MBR后，安装全新操作系统，并完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。

注释：

勒索软件，又称勒索病毒，是一种特殊的恶意软件，其与其他病毒最大的不同在于手法以及中毒方式，其主要通过系统性地加密受害者硬盘上的文件，并要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密档案。勒索病毒通常有如下感染方式：

1、通过典型的木马病毒形式传播，将自身为掩盖为看似无害的文件

2、通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载安装

3、与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播

- END -