GlobeImposter勒索病毒偷袭儿童医院 安全专家支招防御
据郴州网警巡查执法官方微博消息,国内一省级儿童医院今天上午8时左右信息系统发生故障,医院随即启动了应急预案,增派人力接诊滞留病人,同时加大了就医流程的巡查,确保医疗安全,10时30分左右医院门诊已恢复接诊,急诊危急重症病人通道畅通。
据悉,该院多台服务器感染GlobeImposter勒索病毒,数据库文件被病毒加密,只有支付比特币赎金才能恢复文件。医院信息系统因此而无法正常使用,取号、办卡、挂号、收费等业务受到影响。尽管医院快速启动应急预案恢复了接诊,但系统仍未完全恢复。
记者采访360安全中心获悉,GlobeImposter是目前流行的一类勒索病毒,它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件,如需恢复重要资料只能被迫支付赎金。
360安全专家介绍说,近期勒索病毒攻击服务器大多是通过弱口令爆破后利用3389远程登录,黑客使用自动化攻击脚本,用密码字典暴力破解管理员账号。如果系统管理员的密码设置比较简单,黑客入侵服务器后一般会创建个“后门”账号实施秘密控制,伺机卸载服务器上的杀毒软件并植入勒索病毒。
当局域网里有一台服务器被入侵控制后,黑客通常会在内网扫描入侵更多机器,造成大面积的病毒感染情况发生。
针对弱口令爆破攻击手段,360安全卫士专门为服务器系统提供了远程登录保护功能,可以自动拦截高风险的远程登录行为,包括首次从陌生IP登录,以及多次登录口令错误情况,都能够将其阻止,从而避免数据被GlobeImposter等病毒加密勒索。
自从去年WannaCry爆发以后,勒索病毒的攻击重心已逐渐由个人电脑用户转向企业服务器,尤其是以弱口令爆破远程登录服务器、再植入勒索病毒的攻击方式最为常见。
由于医院拥有大量需要紧急使用的信息和数据,包括法医学记录和数据、病患资料以及预约信息等等,都必须尽快恢复数据,因此特别受到勒索病毒的“青睐”。大安全时代,网络安全事故真正开始威胁生命安全。安全专家建议企事业单位加强服务器安全防护,如因业务需要开放3389远程登录端口,应开启360安全卫士“远程登录保护”功能,注意及时打补丁并设置高强度的管理员密码。