2018年7月的勒索病毒事件似乎还近在眼前，2019年勒索病毒再度来袭。近日，医疗信息安全事故频发，我国多地医院持续检测出勒索病毒，患者数据被加密，导致医院信息系统整体瘫痪。

医疗行业勒索病毒总体情况

2018年9月，腾讯发布《医疗行业勒索病毒专题报告》，报告显示，自7月以来，在全国三甲医院中，有247家医院检出了勒索病毒，广东、湖北、江苏等地区检出勒索病毒最多，几乎每个月都会发生3-4起重大医疗数据泄露事件。

病毒家族

从医院勒索攻击的病毒家族来看，主要是WannaCry、GlobeImposter、Magniber、Satan等勒索病毒家族。

被勒索病毒攻击的操作系统

被勒索病毒攻击的操作系统主要以Windows 7为主，Windows 10次之。此外还有微软已经停止更新的Windows XP。Windows XP依旧有相当高的使用比例，这说明部分医院没有及时更新操作系统，而微软官方已不再提供安全补丁，这会为医疗业务带来极大的安全隐患。

病毒入侵方式

被勒索病毒入侵的方式上看，主要是利用系统漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式。利用系统漏洞攻击主要依靠永恒之蓝漏洞工具包传播。一旦黑客得以入侵内网，还会利用更多攻击工具(RDP/SMB弱口令爆破、NSA攻击工具包等等)在局域网内横向扩散。根据调查分析，国内各医疗机构大多都有及时修复高危漏洞的意识，但是由于资产管理不到位，导致少数机器依然存在风险，给了黑客可乘之机。

医疗领域为何屡被攻击?

从屡次发生的勒索病毒事件来看，不管是国内还是国外，医疗行业都是黑客的主要攻击对象，综合来说，主要有以下几点原因：

其一，这与医疗机构所保存数据的重要性、隐私性有关，医院数据涉及个人隐私，患者病历信息更可以卖出高价，加上数据的紧急性(患者数据被加密很可能导致手术延迟危及生命)，自然就被黑客惦记上了;

其二，以往医疗机构大多是局域网，与互联网物理隔离，但近些年，为了提高服务质量、改善服务体验，医疗机构面向互联网的应用越来越多，比如与省医保、市医保、农合、铁路医保等多处连接，不再是纯粹的内网，网络环境复杂。各个机构间使用的操作系统不统一，安全问题也随之而来;

其三，长期以来，由于医疗机构在信息化建设方面的整体投入不足，造成医疗机构更愿意把钱花在“刀刃”上，而对于网络安全这种锦上添花的需求则没有足够的预算予以保证。加上安全意识薄弱，普遍存在内外网互联和对U盘的管理不严，部分医院也没有安装专业的杀毒软件，导致黑客趁虚而入。

勒索病毒最容易藏身的五个地方

关键系统文件

高度复杂的恶意软件可以隐藏的最危险和无害的地方之一是你的关键系统文件。传统上，可以通过数字签名的方式用于替换或修改现有关键系统文件，许多恶意软件文件由在已签名文件的属性可认证字段(ACT)中可见的外部签名或元数据来区分。

最近有国外的安全研究人员发现签名不再是万无一失的。现在，网络犯罪分子已经发现如何在不修改ACT的情况下通过将恶意软件隐藏在签名文件中来完成“文件速记”。虽然高度复杂的网络罪犯使用的文件速记技术可以绕过大多数传统的检测方法，但仍有一些痕迹。使用除了特征码改变之外还能够检测文件大小或内容的变化的技术，可以检测这些负面的变化。

注册表

一些恶意软件会修改Windows注册表键，以便在“自动运行”之间建立位置，或者确保每次启动操作系统时都启动恶意软件。InfoWorld的Roger A.Grimes在2015年写道，现在绝大多数恶意软件修改注册表密钥，作为确保长期驻留于网络中的一种模式。 手动检查Windows注册表项以检测异常是一项艰巨的任务。理论上需要将日志文件与成千上万的自动运行设置进行比较。虽然存在一些可能的捷径，但是通常使用文件完整性监视解决方案最有效地确定对注册表键的修改。

临时文件夹

操作系统包含一组临时文件夹，其范围从Internet缓存到应用程序数据。这些文件是操作系统的固有部分，允许系统处理和压缩信息以支持用户体验。本质上，这些临时文件夹通常是缺省可写的，以便所有用户能够进行互联网浏览、创建Excel电子表格和其他常见活动。

由于这些临时文件夹固有的松散安全性，一旦罪犯通过网络钓鱼、rootkit漏洞或其他方法进入您的系统，它就成为恶意软件和赎金软件的常见着陆点。随机软件和恶意软件可以使用临时文件夹作为启动台，以便立即执行，或通过权限提升和其他模式，在公司的网络内建立各种其他据点。

LNK文件

也被称为“快捷方式”，可能包含到恶意软件或充斥赎金软件的网站的直接路径，或者更危险的是可执行文件。很可能，您的员工在桌面上有很多这样的途径，以便于访问常访问的Web应用程序和其他工具。 恶意软件和赎金软件都可以通过巧妙伪装的.lnk文件下载后在系统中获得支持，该文件可能类似于现有的快捷方式，甚至无害的PDF文档。不幸的是，由于文件的LNK方面没有明显显示，很多最终用户无法区分。

Word文件

即使是比较低级的垃圾邮件过滤器也有足够的智慧来识别.exe文件可能是恶意的。然而，很多网络犯罪分子已经意识到了这种做法，并且正在利用MicrosoftOfficeVBA在Word文档宏中插入赎金代码。这种特殊风格的“锁定赎金软件”立即输入临时文件，并执行对数据和赎金软件需求的锁定。

“中招”后如何解决?

信息安全行业专业人士表示，一般中毒后基本无解，因为医疗机构不要病急乱投医，盲目相信某些厂商吹嘘的可破解病毒。不过，当发生勒索病毒攻击时，以下应急措施可以采纳：

1、 排查：立即组织内网检测，查找所有开放445 等高危端口的终端和服务器，一旦发现电脑中毒，立即关闭所有网络连接，禁用网卡。

2、切断传播途径：关闭潜在终端的SMB，RDP端口等共享传播端口。关闭异常的外联访问。

3、查找攻击源：手工抓包分析供给源或借助态势感知类产品分析。

4、查杀病毒修复漏洞：失陷主机必须先使用安全软件查杀病毒，以及漏洞修复等能力加固系统，确保风险消除后，再尝试利用备份数据恢复和接入内网系统;

对于大家普遍关注的中招后的数据恢复，专家建议，可以尝试使用数据恢复软件找到被删除的源文件；通过解密工具破解，解密文件;通过winhex对比历史文件分析文件头内容恢复，以及通过支付赎金恢复数据等方式。但目前勒索病毒的数据恢复难度较大，部分勒索病毒即便支付攻击者赎金也未必可以解密被勒索文件，因此建议防范还是以预防为主。

勒索病毒如何防范?

应对勒索病毒主要靠防范，防范措施如下：

1、及时给系统打补丁。勒索病毒特别是GandCrab，非常喜欢通过应用漏洞层面进一步渗透，所以补丁一定要打。值得注意的是，给操作系统打补丁的同时，也不要遗漏了应用程序尤其是中间件的补丁。

2、安装专业靠谱的杀毒软件，并开启主动防御功能。虽然不要把希望都寄托在杀毒软件上，但因此就不装杀毒软件更是万万不可的。

3、对外业务系统屏蔽远程登录端口以及其他高危端口，为你的系统设置复杂的强口令，有条件的部署应用防火墙或者漏洞扫描，及时发现和阻止通过漏洞进行的攻击。

4、最后，一定要做好备份!备份!备份!而且一定要注意，备份数据不可以和原始数据放在一起，一定要离线存储。再强调一下，对于勒索病毒，像双机、双活之类的高可用和实时同步技术是无法防范的，必须要有定时的备份。

安全无小事，勒索病毒“可防不可解”，需要医信厂商和医疗机构共同加强安全防御措施和意识。防范于未然，要记住，数据备份与灾难恢复是数据安全的最后一道防线，一定要做好数据备份系统！

本文整理自“大兵说安全(微信ID：dabingshuoanquan)”、腾讯及网络，涉及专业知识，如有不足，请专业人士留言指正。