事件簡述國內(nèi)多家醫(yī)院感染GlobeImposter勒索病毒事件，應(yīng)急響應(yīng)團(tuán)隊(duì)接到某省多家醫(yī)院服務(wù)器遭受攻擊的反饋，經(jīng)分析此次攻擊是發(fā)生在該省同一衛(wèi)生專網(wǎng)的GlobeImposter勒索病毒事件，針對此專網(wǎng)的攻擊影響到該省50多家市縣醫(yī)院。

目前并沒有直接證據(jù)顯示本次攻擊行動是一起以全國醫(yī)院為目標(biāo)的針對性攻擊行動。

事件詳情某省多家醫(yī)院服務(wù)器遭受攻擊，經(jīng)分析此次攻擊是發(fā)生在該省同一衛(wèi)生專網(wǎng)的GlobeImposter勒索病毒事件，針對此專網(wǎng)的攻擊影響到該省50多家市縣醫(yī)院。

該攻擊方式為定向爆破和投遞勒索，通過RDP遠(yuǎn)程桌面攻擊服務(wù)器，利用ProcessHacker結(jié)束殺毒軟件進(jìn)程，并利用其它黑客工具如掃描器、密碼抓取工具進(jìn)行進(jìn)一步攻擊，隨后執(zhí)行勒索軟件，文件被加密，病毒感染后的主要特征包括windows服務(wù)器文件被加密、加密后綴 *.snake4444。

最近半年月度行業(yè)勒索病毒攻擊統(tǒng)計：最近半年按月統(tǒng)計衛(wèi)生行業(yè)勒索病毒事件統(tǒng)計：從統(tǒng)計結(jié)果，可以看到，最近半年各行業(yè)均遭到不同程度的勒索病毒攻擊事件，此次醫(yī)院事件是因?yàn)樵撌≡谕恍l(wèi)生專網(wǎng)內(nèi)橫向傳染，其攻擊手段與2018年的事件類型一致，屬常規(guī)攻擊事件，不具有行業(yè)屬性。

緊急處置方案緊急處理1. 控制已發(fā)現(xiàn)被攻陷主機(jī)，采取措施防止蔓延：下線已發(fā)現(xiàn)招攻陷主機(jī)，掃描暴露到公網(wǎng)的主機(jī)和端口、緊急關(guān)停。

2. 摸清楚受害主機(jī)范圍，對中招主機(jī)進(jìn)行處置：通過天眼全流量風(fēng)險分析、天擎病毒掃描或漏洞掃描等方式，篩查出受害主機(jī)范圍，對中招主機(jī)下線然后查殺、打補(bǔ)丁未感染主機(jī)與加固1、在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉3389端口或只對特定IP開放。

2、開啟Windows防火墻，盡量關(guān)閉3389、445、139、135等不用的端口。

3、每臺服務(wù)器設(shè)置唯一口令，且復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu)，口令位數(shù)足夠長（15位、兩種組合以上）。

4、安裝天擎最新版本（帶防爆破功能）和天擎服務(wù)器加固版本防止被黑。

5、如用戶處存在虛擬化環(huán)境，建議用戶安裝360虛擬化安全管理系統(tǒng)，進(jìn)一步提升防惡意軟件、防暴力破解等安全防護(hù)能力。

安全建議安全沒有所謂的“銀彈”，需要重新審視和規(guī)劃。

建議感染單位馬上開展一次全面深度的安全體檢，主動發(fā)現(xiàn)系統(tǒng)、應(yīng)用存在的安全隱患；對系統(tǒng)的安全進(jìn)行重新規(guī)劃，如：增加主動防御手段，充分利用威脅情報；部署全流量監(jiān)測設(shè)備，實(shí)時檢測分析，持續(xù)響應(yīng)。