7*24小时服务热线:
0512-66329843
上半年爆发的勒索病毒至今令人心有余悸。然而过完年黑客也开工了,国 内两家医院连遭比特币勒索。
该医院系统故障大概在早上7点钟开始,一网友在上午8点多在微博上表示,医院仍然处于瘫痪状态,大批患者无法就医。不过在上午10点半,医院启动了应急预案,增派人力接诊滞留病人,同时加大了就医流程的巡查,确保医疗安全,10时30分左右医院门诊已恢复接诊,急诊危急重症病人通道畅通。
电话联系医院值班人员,其表示医院系统仍在瘫痪中,但对于医院是否遭受勒索攻击并不清楚。
湖南省儿童医院是全省唯一的治疗儿童重大疾病的专科医院,哪怕导致医院系统瘫痪几分钟都有可能导致一个新生命无法及时就医,更何况是数个小时。国内外频繁发生的医院遭受黑客攻击事件再次提醒,医院应该有意识地加强安全措施应对各种威胁,同时提供更加完善的应急方案保证紧急情况下的正常就医。
据网上报道:这个病毒的是GlobeImposter 2.0病毒家族的其中一种后缀格式,其它格式还有:
{原文件名}后缀.GOTHAM;*.YAYA;*.CHAK;*.GRANNY;*.SKUNK;*.TRUE;*.SEXY;*.MAKGR;*.BIG1;*.LIN;*.BIIT;*.reserve;*.BUNNY;*.FREEMAN;
勒索通知信息文件为:how_to_back_files.html
此病毒主要针对企业,通过RDP远程桌面入侵施放病毒,病毒会加密本地磁盘与共享文件夹的所有文件。
对付勒索病毒必须以预防为主,需要在服务器、网络环境、应用三个层面进行安全风险检查与加固:
1) 服务器层面,需要避免弱口令,避免多个系统使用同一口令,及时安装漏洞补丁,关闭Windows共享服务、远程桌面控制等不必要的服务,安装防病毒、终端安全管理软件,并及时更新将病毒库;360公司已经针对本次勒索病毒制定的专项检测工具。
2) 网络层面,要做好安全区域隔离工作,尤其针对重要业务系统及核心数据库,应该设置独立的安全区域,并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务;
3) 应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控,并对业务系统及数据进行备份,并验证备份系统及备份数据的可用性,一但主系统遭受攻击,保障备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被感染、被攻击;
安全防护本身是一个动态的对抗过程,在以上安全加固措施的基础上,日常工作中,还需要加强系统使用过程的管理与网络安全状态的实时监测:
1) 电脑中不使用不明来历的U盘、移动硬盘等存储设备;不接入公共网络,同时机构的内部网络中不运行不明来历的设备接入。
2) 要常态化的开展安全检查和评估,及时发现安全薄弱环节,及时修补安全漏洞和安全管理机制上的不足,时刻保持系统的安全维持在一个相对较高的水平;(类似定期体检)
3) 及时关注并跟进网络安全的技术进步,有条件的单位,可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务,以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源根除。
中毒后第一时间做好以下工作:
1、断开网络,预防感染其它计算机文件。
2、结束病毒进程,安装杀毒软件,查杀病毒,预防二次中毒加。(查杀病毒不会损坏加密的文件)
3、备份加密数据。预防意外造成加密数据损坏无法解密。
4、排查服务器的局域网是否有共享文件夹文件被加密,备份它们
如果您现在对您所在公司的系统环境还不放心,我们可以提供以下紧急防护方案:1.主机开放端口扫描2.主机系统补丁加固3.关闭共享端口; 持续加固方案1.安装网络版杀毒软件2.主机系统安全漏洞扫描及加固3.主机系统基线配置核查4.全员信息安全意识教育5.制定企业信息化安全管理策略6.备份数据并制定策略
