国内便再次发生多起勒索病毒攻击事件

2017年WannaCry、Petya、Bad Rabbit等勒索病毒的阴霾尚未完全消散，春节假期刚过，国内便再次发生多起勒索病毒攻击事件。

2月24日消息，据网友爆料，国内一家省级三甲医院今晨出现系统瘫痪状况，患者无法顺利就医，正值儿童流感高发季，医院大厅人满为患。

据悉该院多台服务器感染GlobeImposter勒索病毒，数据库文件被病毒加密破坏，黑客要求院方必须在六小时内为每台中招机器支付1个比特币赎金，约合人民币66000余元。据网上报道：这个病毒的是GlobeImposter 2.0病毒家族的其中一种后缀格式，其它格式还有：

后缀.GOTHAM；*.YAYA；*.CHAK；*.GRANNY；*.SKUNK；*.TRUE；*.SEXY;*.MAKGR；*.BIG1；*.LIN；*.BIIT;*.reserve；*.BUNNY；*.FREEMAN；

勒索通知信息文件为：how_to_back_files.html ；

此病毒主要针对企业，通过RDP远程桌面入侵施放病毒，病毒会加密本地磁盘与共享文件夹的所有文件。

据了解自从去年WannaCry爆发以后，勒索病毒的攻击重心已逐渐由个人电脑用户转向企业服务器，尤其是以弱口令爆破远程登录服务器、再植入勒索病毒的攻击方式最为常见。此次爆发的GlobeImposter家族勒索病毒变种，主要以国内公共机构服务器作为攻击对象。据AnyShare技术专家指出，从捕获的传播样本来看，其恶意代码框架和流程是一致的，唯一不同的就是加密文件的后缀名和攻击者的邮箱地址信息。恶意代码样本为了防止被轻易地分析，加密了大多数字符串和一部分API，而加密后的文件后缀将会重命名为.TRUE等。

AnyShare安全技术专家表示，针对GlobeImposter等勒索病毒常用的远程登陆攻击手段，AnyShare专门为服务器系统提供了远程登录保护功能，可以防止黑客利用爆破弱口令远程登录系统，从而避免遭遇数据被加密勒索的损失；除此之外，AnyShare已经对已知病毒类型进行过滤，不允许该病毒文件类型进行上传。

注意：管理员可以在AnyShare管理控制台【文档管理】——【文档策略】——【文档同步策略】里添加已知病毒文件后缀名，后续版本升级会自动默认勾选该选项，确保在云盘内的所有文件都是安全的。

目前，AnyShare已经发布对抗勒索软件的整体解决方案：爱数AnyShare+AnyBackup的整体解决方案——AnyShare的下一代企业云盘对桌面提供了自动同步备份，AnyBackup则可以针对各类服务器进行定时和实时备份！

首先，AnyShare的桌面客户端直接跟资源管理器结合，云盘的文件，向上自动备份，向下按需加载！很多云盘采用富客户端或者选择同步，都是不可取的，用户很难选择把哪些文件上传哪些文件不上传，而且AnyShare支持指定本地多文件夹自动同步备份。

其次，AnyShare为文件提供实时历史版本，对于一旦感染勒索病毒的文件，可以基于后缀名批量恢复勒索文件历史版本，用户完全不用担心受到勒索软件的攻击。

最后，爱数AnyShare与爱数AnyBackup结合，对AnyShare的数据进行离线备份，当文件被勒索软件锁定后，利用备份数据即可轻松恢复文件。

对于病毒，杀毒软件有很好的应对措施，中毒文件也可以清除病毒；而对于勒索病毒，加密的文件，病毒清除几乎毫无可能，唯一的途径就是事前特征扫描识别，避免感染，而一旦感染，最后的一道防火墙就是：你备份了没有？

面对勒索软件病毒，爱数AnyShare负责人强调：文件备份就是最后一道防火墙！

而对于没有使用AnyShare的企业，AnyShare安全技术专家建议如下防范措施：

1、服务器尽量不要开放外网端口；

2、禁止系统自带远程协助服务，使用其它远程管理软件；

3、更改默认administrator管理帐户，禁用GUEST来宾帐户；

4、更改复杂密码，字母大小写，数字及符号组合的密码，不低于10位字符；

5、外网服务器不要有访问及修改内网计算机文件夹的权限；

6、设置帐户锁定策略，在输入5次密码错误后禁止登录；

7、安装杀毒软件，设置退出或更改需要密码，防止进入关闭杀毒软件；

8、定期的一个数据异地备份，如是云服务器，一定要做好快照。

根据最近网络上这些鲜活的医疗行业中毒案例，加上更多没有被报道出来的案例，不得不等猜测这不是个案，很可能是境外或者境内部分黑客有组织地专门针对医疗行业用户进行了各种攻击，尝试着对数据进行加密，然后进行勒索。所以在此不得不提醒大家（不仅是医疗行业用户）抓紧进行一次安全排查，消除安全隐患，加强安全防护措施，做好数据备份，做好等保等合规性工作！