医疗行业勒索病毒专题报告

1、概述

自2017年5月WannaCry爆发以来，勒索病毒一直都是各行业安全主要关注点。通过对调查中医疗机构采用的各种数据安全措施分析可见，数据灾备、数据库镜像备份、数据冷备份和数据离线存储是医院主要的数据安全措施，至少有一半医院采取了数据备份措施，使得医院遭受勒索攻击时，能及时恢复数据维持业务正常运转。

图1

在勒索攻击方面，自7月以来，勒索病毒一直处于持续活跃传播的状态，其中8月份相对于7月勒索病毒传播有所加强。由于依然部分医院信息系统存在安全风险，受利益驱使，勒索病毒依然是医院面对的主要安全风险之一。

图2

2、针对医疗行业的勒索病毒攻击

自7月以来，在全国三甲医院中，有247家医院检测出勒索病毒。其中以广东、湖北、江苏检出的勒索病毒最多。

图3

被勒索病毒攻击的操作系统主要以Windows 7为主，Windows 10次之。此外还有微软已经停止更新的Windows XP。Windows XP依旧有相当高的使用比例，这说明部分医院没有及时更新操作系统，而微软官方已不再提供安全补丁，这会为医疗业务带来极大的安全隐患。

图4

从全国医院高危漏洞修复情况上看，主要有RTF漏洞、Flash漏洞未修复。勒索病毒攻击者往往会将带有漏洞利用的Office文档通过伪造的钓鱼邮件进行传播，一旦用户点击打开，则会下载勒索病毒在内网展开攻击。

图5

从医院勒索攻击的病毒家族来看，主要是WannaCry、GlobeImposter、Magniber、Satan等勒索病毒家族。

WannaCry勒索病毒具体通过永恒之蓝漏洞主动传播的能力，使得自身很容易在内网扩散；此外GlobeImposter、Magniber、Satan等勒索病毒主要针对服务器发起攻击。与2017年相比，勒索病毒已发生较为明显的变化：攻击行动不再是没有目的的广撒网式传播，而是针对重点高价值目标投放，以最大限度达到敲诈勒索的目的。

图6

从医疗行业被勒索病毒入侵的方式上看，主要是利用系统漏洞入侵和端口爆破（常用的包括1433端口、3389端口等）的方式。利用系统漏洞攻击主要依靠永恒之蓝漏洞工具包传播。一旦黑客得以入侵内网，还会利用更多攻击工具（RDP/SMB弱口令爆破、NSA攻击工具包等等）在局域网内横向扩散。根据调查分析，国内各医疗机构大多都有及时修复高危漏洞的意识，但是由于资产管理不到位，导致少数机器依然存在风险，给了黑客可乘之机。

图7

WannaCry

WannaCry可以通过永恒之蓝漏洞主动呈蠕虫式传播。因此一旦WannaCry入侵到了医疗机构内网，便能迅速在内网扩散，使得WannaCry成为了勒索病毒检出的榜首。

图8

自7月以来，全国三甲医院中有213家医院，有发现被永恒之蓝漏洞攻击，其中广东省医院被永恒之蓝漏洞攻击最为严重，而针对永恒之蓝漏洞微软官方发布漏洞补丁已经超过1年时间。

图9

从永恒之蓝漏洞的攻击源来看，91%都是内网攻击，从而也印证了WannaCry检出量如此高的原因。

图10

GlobeImposter

从年初湖南省两家省级医院被GlobeImposter攻击后，GlobeImposter在2018年一直是针对服务器攻击最猛烈的勒索病毒。GlobeImposter主要通过RDP弱口令爆破，远程登录医疗机构的Web服务器进行传播。一旦黑客入侵成功，取得服务器的完全控制权，即使服务器上装有安全软件，也会被黑客手动退出或卸载，安全措施便形如虚设。

黑客控制服务器之后，会以此为跳板，在内网继续扩大战果，攻击更多可以入侵的服务器或终端设备。

从7、8月3389端口爆破趋势上看，进入8月中下旬之后，利用RDP弱口令爆破的入侵吴明显增长。

图11

GandCrab

GandCrab在2018年1月发现后，便成为传播最为广泛的勒索病毒之一，近期更新也颇为频繁，版本已经升级到4.3。

图12

GandCrab勒索病毒4.0之后的版本首先将加密算法修改为salsa20；此外在传播方式上，由原来的广撒网式传播，例如水坑攻击、邮件攻击，开始向精确攻击服务器攻击转变。近期已先后发现GandCrab通过RDP弱口令爆破、Tomcat弱口令爆破的方式进行传播。

图13

Magniber

Magniber勒索病毒相对比较陌生，该勒索病毒原主要针对韩国攻击，但现在开始在亚太地区范围内扩散，国内开始不断发现有该勒索病毒的攻击。

图14

Magniber借助Magnitude漏洞利用工具包传播，Magnitude漏洞利用工具包主要是针对浏览器利用。从近期的检测中发现目前Magniber勒索病毒主要利用新IE漏洞CVE-2018-8174传播。

Satan

Satan勒索病毒最初通过永恒之蓝漏洞传播，但在6月初发现Satan勒索病毒在传播方式上使用了“组合拳”，添加了多个新漏洞利用：JBoss反序列化漏洞（CVE-2017-12149）、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞（CVE-2017-10271）。通过对新漏洞工具的使用，令撒旦（Satan）病毒的感染扩散能力、影响范围得以显著增强，成为了企业安全的重大威胁之一。

图15

但是Satan勒索病毒是可解密的。在6月初，腾讯智慧安全团队接到湖北某医院反馈，其内部多台服务器遭遇勒索病毒攻击，所有数据类文件都被加密，加密后文件名被修改成“[dbger@protonmail.com]+原始文件名+.dbger”。经过腾讯智慧安全团队分析发现，入侵该医院服务器的是撒旦（Satan）勒索病毒的最新变种并且可以解密。于是提供解密工具协助医院恢复数据，避免了损失。

3、勒索病毒趋势分析

勒索病毒与安全软件的对抗加剧

随着安全软件对勒索病毒的解决方案日趋成熟完善，勒索病毒更加难以成功入侵用户电脑，但是病毒传播者会不断升级对抗技术方案，例如黑客加强代码混淆加密，使得安全软件无法及时报毒。

监测发现勒索病毒还会使用正规的数字签名，以此逃避安全软件的检测。白+黑的利用方式（利用正常软件调用勒索病毒模块）也早已流行。

勒索病毒攻击针对企业用户

勒索病毒的攻击日益精准，主要针对高价值目标定点投放，甚至人工投放。在病毒传播者看来，医疗机构的业务系统如同金矿一般宝贵。一旦医疗机构的业务系统被勒索病毒加密，黑客勒索得手的概率远高于攻击普通用户电脑。GandCrab持续了半年多的撒网式传播，已开始转向针对高价值目标。

勒索病毒传播场景多样化

传统的勒索病毒传播更多的依赖于水坑攻击、钓鱼邮件攻击、或利用Office安全漏洞构造攻击文档，诱骗安全意识不足的目标用户运行或打开文件后中毒。

根据监测到的数据发现，越来越多的攻击者会首先从医疗机构连接外网的Web服务器入手，利用服务器的安全漏洞或弱口令入侵，一旦成功，便会利用更多攻击工具在内网继续攻击扩散。如果医疗机构的业务系统存在安全漏洞，又迟迟未能修补，便会给黑客留下可趁之机。

勒索病毒更新迭代加快

以GandCrab为例，在7月初发现第四代之后，短短2个月，又发现了4个更新版本。在安全软件不断的更新完善勒索病毒解决方案时，勒索病毒也在不断的更新寻找攻击突破口。一次次的勒索得手，刺激病毒作者不断升级版本，继续作恶。

4、安全建议

1、 终端电脑接入网络需要严格按照标准流程执行，比如存在漏洞的系统、未安装安全软件的系统不得接入内网；

2、 及时修复全网存在的高危漏洞，特别是医疗机构对外提供Web服务的业务系统。如果存在管理员使用弱密码登录系统，建议修改为复杂密码，并配置相应的安全策略，避免弱口令爆破攻击；

3、 尽量关闭业务系统暂不使用的端口，如：445，139等；

4、企业内部建议全网安装腾讯御点终端安全管理系统：
御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

5、 加强企业资产信息管理，发现入侵及时隔离，禁止员工随意使用移动设备（硬盘、U盘、存储卡等）接入业务系统。智能手机连接到业务系统也需要严格管控；

6、 增加各机器日志、流量的监控记录，发现异常行为及时告警跟进；

7、 定期备份重要数据，并确保备份系统可以离线存储，有相当多的勒索病毒事件是攻击者把备份数据都一起加密了。

当发生勒索病毒攻击时，可采取如下处理措施：

1） 立即组织内网检测，查找所有开放445 等高危端口的终端和服务器，一旦发现电脑中毒立即断网隔离。

2） 建议提前部署流量检测设备，实时监控异常攻击型流量，快速定位失陷主机并隔离；

3） 失陷主机必须先使用安全软件查杀病毒，以及漏洞修复等能力加固系统，确保风险消除后，再尝试利用备份数据恢复和接入内网系统；

4） 分析安全事件中完整攻击链，制定全局性改进方案，并且落实到责任人按计划时间节点持续推进。