安全预警|变种勒索病毒卷土重来医疗行业遭遇勒索病毒攻击

2月24日消息,据国内网友爆料,国内某医院出现系统瘫痪状况,患者无法就医,医院大厅人满为患。据悉该院多台服务器感染勒索病毒,数据库文件、业务文件均被病毒加密破坏,攻击者要求院方必须在六小时内为每台感染终端支付1个比特币赎金,约合每台终端解锁需要支付人民币66000余元。

1519631722608407.png

截图转自FreeBuf :http://www.freebuf.com/news/163284.html

1519631741512749.png


1技术原理及分析

经分析发现,此次勒索病毒正是GlobeImposter家族的变种V2.0,此勒索病毒将加密后的文件重命名为TRUE、TECHNO等扩展名,此病毒主要针对企业,通过RDP远程桌面入侵施放病毒,病毒会加密本地磁盘与共享文件夹的所有文件。并通过邮件来告知受害者付款方式。


2处置措施

  • 已经中毒计算机,需要断开网络,预防感染其它计算机文件

  • 杀毒软件,更新病毒库

  • 禁止系统自带远程协助服务,使用第三方远程管理软件

  • 服务器尽量不要开放外网端口

  • 更改复杂密码,不低于12位字符

  • 更改默认administrator管理帐户,禁用GUEST来宾帐户

  • 设置帐户锁定策略,输入错误次数为5次后禁止登录

  • 调整内网计算机相关文件夹的权限


3勒索软件防护

  • 备份,备份,再备份

  • 定期进行外部端口扫描

  • 定期进行安全测试发现存在的漏洞

  • 常规的系统维护

  • 定期更新操作系统补丁

  • 安装防病毒软件,及时更新病毒库

  • 部署APT等安全系统,并实时监测网络安全状态


4中新金盾深度用户行为分析平台“猎潜者”介绍

中新网安基于多年的攻防实战和大数据分析的能力发布的中新金盾深度用户行为分析平台“猎潜者”,基于大数据模型的风险计算,结合态势感知服务,进行对客户关键业务安全监测,保证数据全面性、时效性,同时融合7*24专家安全值守,对检测到的漏洞、事件进行专家级的验证,为保障单位提供可靠的安全保障能力。


“猎潜者”深度用户行为分析平台通过对恶意文件、恶意攻击行为、高级组合攻击、基于业务的逻辑攻击进行模型分析计算,实时得出风险提示,通过专家在线、现场服务做到风险跟踪关闭,为保障单位核心网络提供有力的保障。

1519631779361040.png

中新金盾深度用户行为分析平台“猎潜者”,是一整套应对高持续性威胁(APT攻击)全生命周期的解决方案,包括事前监测、事中预警、事后溯源等重要用途,整套解决方案由技术监测平台、专家领导小组、应急响应中心、风险管理顾问组成,通过一系列策略对于APT攻击进行有效控制,做到安全风险可控。


“勒索软件”的回顾

1 什么是“勒索软件”

勒索软件(Ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。


一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。

1519631806504947.png


2“勒索软件”传播手段

  • 勒索软件的传播手段,主要有以下几种

  • 借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行

  • 与其他恶意软件捆绑发布

  • 作为电子邮件附件传播


3战争并未结

国内外事件研究者认为 “敲诈者”病毒的崛起是两个因素造成的:其一是越来越多的犯罪分子发现这种攻击方式利润丰厚;其二是勒索工具、开发包和服务的易用性和破坏力不断提高;另一方面比特币匿名支付和匿名网络带来的犯罪隐蔽性也是其中重要的原因。

1519631823410970.png