GlobeImposter勒索病毒再度攻击医院 安全专家支招防御

2018-07-06   

近日，国内某医院系统遭受GlobeImposter勒索病毒攻击，导致医院业务系统瘫痪，患者无法就医。据悉，勒索病毒通过医院的防火墙，感染了医院的多台服务器，入侵整个系统，导致部分文件和应用被病毒加密破坏无法打开，数据库文件被破坏，攻击者要求院方必须在六小时内为每台中招机器支付1比特币赎金，才能解密文件。

近日，国内某医院系统遭受GlobeImposter勒索病毒攻击，导致医院业务系统瘫痪，患者无法就医。据悉，勒索病毒通过医院的防火墙，感染了医院的多台服务器，入侵整个系统，导致部分文件和应用被病毒加密破坏无法打开，数据库文件被破坏，攻击者要求院方必须在六小时内为每台中招机器支付1比特币赎金，才能解密文件。

GlobeImposter是目前流行的一类勒索病毒，它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式，受害者在没有私钥的情况下无法恢复文件，如需恢复重要资料只能被迫支付赎金。

医疗体系遭受勒索病毒的攻击已经不是第一次，仅在2018年第一季度就已经发生过多起类似事件，网络安全事故真正开始威胁生命安全。2018年，勒索病毒注定还将继续活跃。为了医疗机构能够更好地应对勒索病毒，必须要从相关人员安全意识和服务器安全防护两方面同时加强。为此，瑞星安全专家为大家提供了以下防范方法与建议。

用户的防御措施

1、系统漏洞攻击

防御措施：

（1）及时更新系统补丁，防止攻击者通过漏洞入侵系统

（2）安装补丁不方便的组织，可安装网络版安全软件，对局域网中的机器统一打补丁

（3）在不影响业务的前提下，将危险性较高的，容易被漏洞利用的端口修改为其它端口号，如139、445端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险

2、远程访问弱口令攻击

防御措施：

（1）使用复杂密码

（2）更改远程访问的默认端口号，改为其它端口号

（3）禁用系统默认远程访问，使用其它远程管理软件

3、钓鱼邮件攻击

防御措施：

（1）安装杀毒软件，保持监控开启，及时更新病毒库

（2）如果业务不需要，建议关闭office宏，powershell脚本等

（3）开启显示文件扩展名

（4）不打开可疑的邮件附件

（5）不点击邮件中的可疑链接

4、web服务漏洞和弱口令攻击

防御措施：

（1）及时更新web服务器组件，及时安装软件补丁

（2）web服务不要使用弱口令和默认密码

5、数据库漏洞和弱口令攻击

防御措施：

（1）更改数据库软件默认端口

（2）限制远程访问数据库

（3）数据库管理密码不要使用弱口令

（4）及时更新数据库管理软件补丁

（5）及时备份数据库