云安全新闻播报

< 返回最近报道列表

注意:新一轮勒索病毒攻击医院行业

上张贴安华云安全

文章来转载自公众号大兵说安全

这几天,又一轮勒索病毒袭击了医院,从上级主管部分发的通知来看,这次又是农合系统被感染。我们也陆续收到多起被勒索病毒感染导致文件被加密的报告。

相比去年的永恒之蓝,这次的病毒是以GANDCRAB5.0.4为主,危害更加严重,上次只是造成大面积的蓝屏,而这一次却是实实在在的加密了文件。关于gandcrab勒索病毒的情况,请参看我之前发布的文章:《注意:GandCrab勒索病毒出现5.0.3版本

我整理了几个大家问的最多的几个问题,统一做答复:

一、我怎么知道我感染了勒索病毒?

看到几个公众号,在介绍勒索病毒的时候,都会提到一个重要的特征,就是桌面会被替换为勒索图片,比如:

所以经常有人问我,我的文件后缀被改了,是不是中勒索病毒了?我说是啊,很明显的特征啊,他们说,可是我们的桌面没有变成你们说的那个图片的样子啊。

这里我要再强调一下,并不是所有的勒索病毒感染后都会有桌面的变化,要判断是不是被勒索,其实有几个典型的特征:

1、文件被加密,文件后缀被改变。目前我只遇到一个过被加密后文件名不变的例子,绝大多数的勒索病毒被加密后文件名后缀会改变。

2、在被加密的文件夹中,会有一个没有被加密的文件,一般是TXT文件,有时候是HTML文件。打开这个文件,就可以看到勒索病毒的信息。如果文件名格式是:XXXXXXX-DECRYPT.txt(XXXXXXX表示一个6-9位的随机字符),那么这个勒索病毒就是GANDCRAB5.0.4。

打开这个TXT文件,就可以看到关于该病毒名称和勒索信息:

只要有以上两点特征,就可以确定是中勒索病毒了,至于那些个桌面图片,目前遇到的并不多。

二、中毒了我该怎么办?

这是问我最多的一个问题,虽然我一再强调这个病毒暂时无解,但还是很多人心存侥幸,也有人告诉我说某某公司说可以解,要多少多少钱。遇到这个我也只能呵呵了。

也就是说,如果你中毒了,要么选择放弃数据,要么选择付赎金给黑客(或黑客的代理),如果你不想被代理再中间赚一笔,你也可以试着自己联系黑客,方法也简单:

1、下载一个洋葱浏览器www.torproject.org(暗网只能通过洋葱浏览器才可以浏览)

2、输入黑客留给你的地址。就会打开GANDCRAB勒索病毒作者的页面。

3、提交黑客留下的这个TXT文件,页面上就会显示赎金的金额。比如下图这个,黑客要价7000美元,一天后翻倍。

也有人问我,会不会出现付了款解不密?这个问题不好说,以前也出现过交过钱解不了密的情况,但也有成功的。只能祝你好运了。

当然,我们不建议你向黑客支付赎金。

三、我们的是内网,也会感染吗?

其实这次感染的医院都是不联互联网的,连接互联网并不是感染病毒的一个必要条件。

虽然没有直接连接互联网,但对于医院来说,并不是孤立的,你总要连医保吧,总要连农合吧,总要用U盘吧,总要安装软件吧,总有一些人连入内网吧(比如软件开发或运维人员)。简单来说,只要你的电脑跟外部存在数据交换的机会,就有感染病毒的可能。

而且内网往往更容易感染病毒,为啥呢?就是因为很多人对于连接互联网的电脑会担心中病毒,所以会加强管理。而对于内网电脑总以为不会感染病毒,所以反而放松警惕,甚至什么安全措施都不采取,反而更容易出事。


四、我应该如何防范?

前面说了,这个病毒一般被感染,基本是无解的,所以我们能做的,就是做好防范,防范措施如下:

1、及时给系统打补丁。结合最近遇到的几个GandCrab的感染案例,我们发现,被感染服务器大多为中间件服务器,且有目标性。涵盖tomcat、jboss、weblogic等,有足够证据表明gandcrab非常喜欢通过应用漏洞层面进一步渗透。比如上个月某百货公司被GandCrab V4.0加密,检测后发现黑客是通过JBOSS漏洞入侵系统,这次这个用户感染V5.0.3是通过weblogic漏洞入侵系统。前一段成都一个客户感染是通过tomcat漏洞入侵系统。所以请大家在关注给操作系统打补丁的同时,也要注意应用程序尤其是中间件的补丁也一定要打上。

2、安装专业靠谱的杀毒软件,并开启主动防御功能。并不是所有的杀毒软件都可以防范。

3、对外业务系统屏蔽远程登录端口以及其他高危端口,为你的系统设置复杂的强口令,有条件的部署应用防火墙或者漏洞扫描,及时发现和阻止通过漏洞进行的攻击。阻止端口访问的方法,可以参考《防黑必备技能之端口篇(3)

4、也是最重要的一点,那就是备份!备份!备份。而且一定要注意,备份数据不可以和原始数据放在一起,一定要离线存储。

再强调一下,对于勒索病毒,像双机、双活之类的高可用和实时同步技术是无法防范的,必须要有定时的备份。

最后提醒一下大家:防范不是靠一种手段就可以解决的。

  1. 仅靠打补丁不行。打补丁只是堵上了病毒感染和传播的一个途径而已,并不是唯一的途径。

  2. 只靠杀毒软件不行。最近遇到的几例用户都安装的有杀毒软件,而且已经进行了有效的拦截,后来黑客通过破解密码进行远程登录关闭杀毒软件从而进行了感染,还有几例是通过漏洞绕过杀毒软件的。所以千万不要把希望都寄托在防病毒软件上。当然了,因此就不装杀毒软件更是万万不可的。

  3. 任何的防范手段都不能保证百分百的安全。数据备份与灾难恢复是数据安全的最后一道防线。务必要有数据备份系统。