自2017年5月一種(zhong)名(ming)為(wei)WannaCry的(de)勒索病(bing)毒爆發以(yi)來，部分醫院成為(wei)主要攻(gong)擊對象(xiang)之一。

9月17日(ri)至21日(ri)，在國家網絡(luo)安(an)全(quan)(quan)宣傳周暨網絡(luo)安(an)全(quan)(quan)博覽會(hui)期(qi)間，騰訊智慧安(an)全(quan)(quan)發布《醫療行業勒索病毒專題報告》。

自今年7月以來(lai)，勒(le)索病(bing)毒一(yi)直處于(yu)持續(xu)活躍的狀(zhuang)態，其中8月相對(dui)于(yu)7月勒(le)索病(bing)毒傳播有所加強(qiang)。

另外在全國三甲醫(yi)院(yuan)中，有(you)247家醫(yi)院(yuan)檢(jian)出(chu)了勒索(suo)病毒，以(yi)廣東、湖北、江蘇等(deng)地區檢(jian)出(chu)勒索(suo)病毒最多。

其中，被(bei)勒索病(bing)毒攻(gong)擊的操作系統主要(yao)以(yi)Windows 7為主，Windows 10次之，以(yi)及停(ting)止更新的Windows XP。

對此(ci)，報告指出，當前沒(mei)有(you)及時更(geng)新操(cao)作系統的(de)醫(yi)療(liao)機構仍占一定(ding)的(de)比例，這(zhe)極(ji)有(you)可能會為醫(yi)療(liao)業務帶(dai)來極(ji)大的(de)安全隱患。

針對性投放病毒2017年5月12日，WannaCry勒索病毒爆發(fa)，全(quan)英(ying)國(guo)16家醫(yi)(yi)院(yuan)遭(zao)到(dao)大范(fan)圍(wei)網絡攻擊，醫(yi)(yi)院(yuan)的(de)內網被攻陷，導致(zhi)這16家醫(yi)(yi)院(yuan)基本(ben)中斷(duan)了與外界聯系(xi)，內部醫(yi)(yi)療系(xi)統幾乎停止運轉，很快又(you)有(you)更多醫(yi)(yi)院(yuan)的(de)電腦遭(zao)到(dao)攻擊，這場網絡攻擊迅速席卷全(quan)球(qiu)。

勒(le)索(suo)病毒，是一種(zhong)新型電腦病毒，主要以郵件、程序木馬、網頁掛馬的形式(shi)進行傳(chuan)播(bo)。

該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。

這(zhe)種病毒(du)利(li)用各(ge)種加密(mi)算法(fa)對文件(jian)進行加密(mi)，被(bei)感染者一般無法(fa)解密(mi)，必須拿(na)到解密(mi)的私鑰才有(you)可(ke)能破解。

全國醫院高危(wei)漏(lou)洞(dong)仍然有(you)RTF漏(lou)洞(dong)、Flash漏(lou)洞(dong)等未及時修復。

勒(le)(le)索病毒(du)工作者往往會將帶漏洞利用的Office文(wen)檔通過(guo)偽造的釣魚郵(you)件傳播，一旦用戶點擊打(da)開，則會下載勒(le)(le)索病毒(du)在內網展開攻擊。

報告指出，勒(le)索病毒(du)相較2017年也已發生較為(wei)明顯的(de)變(bian)化，攻(gong)擊行(xing)動不再(zai)是(shi)沒有目(mu)的(de)的(de)廣撒網(wang)式傳播，而是(shi)針對重(zhong)點高價(jia)值目(mu)標(biao)投放，以最大限度(du)達到敲詐(zha)勒(le)索的(de)目(mu)的(de)。

從醫(yi)療行業被勒索病毒(du)入侵(qin)的(de)方式上看，勒索病毒(du)主要通過系統(tong)漏洞(dong)入侵(qin)和端口爆(bao)破，然后(hou)利用永恒之藍漏洞(dong)工具包(bao)傳播(bo)，一旦不法黑客(ke)得以入侵(qin)內網，還(huan)會利用更(geng)多攻擊工具在局域網內橫向擴(kuo)散。

根據調查分析，國內(nei)各醫療(liao)機(ji)(ji)構大多(duo)都有及時(shi)修(xiu)復高危漏洞的意(yi)識，但由于資產管(guan)理不(bu)(bu)到(dao)位，導致少數機(ji)(ji)器(qi)依(yi)然存(cun)在風險，給(gei)了不(bu)(bu)法分子可乘之機(ji)(ji)。

報告指出，病毒(du)傳播者不斷更新作(zuo)案手法，通(tong)過加(jia)(jia)強代碼混淆加(jia)(jia)密升級對抗技術方案，導致安全軟件無法及時報毒(du)。

以(yi)PyLocky勒索(suo)病(bing)毒(du)為例，該勒索(suo)病(bing)毒(du)擁(yong)有正(zheng)規(gui)的(de)(de)(de)數字(zi)簽名，借助合法證書避免被安全(quan)(quan)軟件(jian)的(de)(de)(de)查殺攔截，從而橫行網絡，給用戶網絡安全(quan)(quan)帶(dai)來巨大的(de)(de)(de)威脅(xie)。

而另一個勒索(suo)病毒GandCrab，在7月初發現第(di)四(si)代之后，短(duan)短(duan)2個月就更新了4個版本，速度之快令人咋舌(she)。

在傳播(bo)場景方面，傳統的(de)勒索病毒傳播(bo)更多的(de)依賴于水坑攻(gong)擊(ji)、釣(diao)魚郵件攻(gong)擊(ji)、或(huo)利用Office安(an)全漏洞構(gou)造攻(gong)擊(ji)文檔，誘騙安(an)全意識不足的(de)目(mu)標用戶運行后(hou)中毒。

近日騰訊智(zhi)慧安全御見威(wei)脅情報(bao)中心監測(ce)還(huan)發(fa)現，越來越多的(de)攻(gong)擊者會首(shou)先從醫療機(ji)構(gou)連接外(wai)網的(de)Web服(fu)務器入手，利用服(fu)務器的(de)安全漏洞或弱口令入侵，一旦成(cheng)功，便會利用更多攻(gong)擊工具在內網繼續攻(gong)擊擴散(san)。

如果醫療機構的(de)業務系統存在安全(quan)漏洞，又遲遲未能修補，便(bian)會(hui)給不(bu)法分子留下(xia)可趁之(zhi)機。

報告通過對調查(cha)中醫(yi)(yi)療機構采用的(de)各種數(shu)(shu)(shu)(shu)據安全(quan)(quan)措(cuo)施(shi)分析，發現(xian)數(shu)(shu)(shu)(shu)據災備(bei)、數(shu)(shu)(shu)(shu)據庫鏡(jing)像備(bei)份、數(shu)(shu)(shu)(shu)據冷備(bei)份和數(shu)(shu)(shu)(shu)據離線存儲是醫(yi)(yi)院(yuan)主要的(de)數(shu)(shu)(shu)(shu)據安全(quan)(quan)措(cuo)施(shi)，目前至(zhi)少有(you)一半醫(yi)(yi)院(yuan)采取了數(shu)(shu)(shu)(shu)據備(bei)份措(cuo)施(shi)，使得醫(yi)(yi)院(yuan)遭受勒索(suo)攻擊(ji)時(shi)，能及時(shi)恢(hui)復數(shu)(shu)(shu)(shu)據維(wei)持業務正常運轉。

醫(yi)療互聯網化安全(quan)考驗互聯網時(shi)代(dai)，隨著移(yi)動醫(yi)療、AI醫(yi)療影像、電子病(bing)歷等等數字化程序的普及，醫(yi)療數據被(bei)泄露(lu)屢見不鮮。

面對未知(zhi)、突(tu)發性的(de)勒索(suo)病(bing)毒(du)，采取主動事前防御(yu)的(de)辦法，無疑(yi)是保(bao)護企(qi)業信息(xi)安(an)全(quan)的(de)重中(zhong)之重。

維創信息技術最后再次提醒大家：抓緊進(jin)行一次安(an)全排(pai)查，消除安(an)全隱患，加強(qiang)安(an)全防護措施(shi)，做好數據備份(fen)，做好等保等合規性工(gong)作。

如(ru)果有網絡(luo)安全和數(shu)據(ju)加密方面的需要，也可以與(yu)維創信息技(ji)術聯系。