医疗卫生行业令人尊敬，它是患者寄托生死大任的职业，无论是医院，卫生院，医疗器械，药店等等，你都把自己的健康和生命交给了它。而一些恶魔，却将犯罪之手伸向了这片圣洁之地，殊不知其呱呱坠地之时，同样来自医院之劳，忘其恩也罢，却损其利，将成千上万病人病例、药方、学术报告等重要医疗卫生资料通过恶意计算机病毒加密成一个不可查看文件，并以此勒索医院，交赎金还原文件。

奇安信威胁情报中心一直对此类犯罪活动表示谴责，并持续与这类勒索软件攻击的黑产团伙进行对抗。今年以来，奇安信安全服务团队在全国各地执行了大量医疗卫生行业大大小小的勒索攻击应急响应案例统计发现， 90%均为黑产团伙针对医院、药业、医疗器械的定向攻击行为。鉴于许多医疗卫生行业的网络安全防护措施并未健全，人员的安全意识的有待加强，因此在被定向攻击的时候，往往造成不可挽回的损失。

因此，红雨滴团队基于奇安信安服团队将近期典型的针对医疗卫生行业的勒索攻击案例汇成案例集，提供给医疗卫生从业者和公众参考，引起警惕从而采取必要的措施避免威胁的影响，黑产团伙只要有利益可以获取而不用担心牢狱之灾是永远都不会收手的。 

针对CT机的攻击

相对于个人PC而言，医疗机械中内嵌的Windows系统大多为Win2000，WinXP，Win7等低版本且未更新最新补丁的状态。

而XX市中心医院的一台CT机，就由于不定时的发生蓝屏重启现象，且此前主机存在数个病毒文件，如勒索软件、木马等，运维人员已对该CT机进行备份处置。

在对流量进行还原过程中，发现攻击者对该CT机网段进行了流量嗅探和分析。

通过研判，发现多个主机针对该CT机的445端口进行访问，并建立IPC连接，经判断，其被攻击者使用“永恒之蓝”MS17-010高危漏洞发起攻击。

因此除了及时对工控机打补丁外，还要进行下列操作：

1. 工控机与PC主机进行网络隔离。

2. 工控主机网络前端加防火墙。

3. 架设工控主机安全终端，做单机防护。

内网Windows服务器被勒索

内网，即局域网，一般为政企单位最为脆弱之地，主要由于较多管理者认为，在内网通向外网的出入口处做好防护措施，即可保障内网的安全，这也就导致攻击者进入内网后畅通无阻，使用各种招数进行横向移动。

以下为2019年以来几起典型的内网服务器被勒索的案例。

Ø 客服服务器被入侵，投放Attention勒索软件

某大学某医院遭受未知勒索软件攻击，根据对内网已知中勒索的服务器进行日志分析，最终定位到源头机器为客服服务器，并且该机器上存在攻击者上传的Mimikatz及抓密码的记录。

当时中招的机器口令均设置一致且为弱口令，建议全面修改机器口令。

在所有中招机器中发现被加密文件后缀格式为：*. -XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX，并留有勒索文本至服务器内，勒索软件名为Attention。

此外，内网还存在大量尝试IPC连接局域网机器的记录，试图爆破密码。

Ø 弱口令登陆外网服务器

某医院遭受GandCrab攻击，经过排查分析发现源头为对外开放的服务器，被黑客通过该服务器弱口令远程登录，并获取到192.168网段服务器的远程登录权限，随后利用该服务器对内网服务器进行IPC暴力破解，在将大量设备的权限获取完毕后，投放勒索病毒。

Ø 域控主机被加密。

某药业公司，内网出现大量勒索病毒有横向传播的迹象，域控已被加密。

排查后发现终端被植入勒索病毒加密后缀为：.Rabbit4444 ，通过查找在 C:\User\xxxx\AppData\Local 下发现加密模块程序：Rabbit4444.exe ，确认是 Globelmposter 勒索病毒。

根据登录日志查看攻击者一次登录成功，所以判断攻击者事先已经掌握域管理账号信息不存在爆破行为，证明很有可能使用Mimikatz抓取成功，再次证明域控主机作为内网命脉，更应该在登陆其他设备查看信息后，及时修改密码。

此外，某医疗器械公司，三台域控主机被加密，被感染MegaCortex勒索病毒。经过排查，多台被爆破主机上均存在可疑服务rstwg，通过迹象分析，判断为勒索加密程序。

从一些主机上发现攻击者的一些黑客工具，发现其中两个批处理脚本攻击者自行编写的横向移动工具，如通过文件共享传播恶意文件，还有一个脚本是使用psexec（远程系统和远程支持工具），以xxx用户名，xxx密码连接各个服务器，并运行rstwg服务，这跟之前推断的rstwg为勒索病毒程序的假设吻合，且用户名密码为超级管理员密码。

Ø 外网主机3389端口被密码爆破入侵

某医学检验公司遭受Globelmposter勒索软件攻击，攻击者首先通过爆破外网xxxx:3389远程登陆成功后（即成功登录10.x.x.x内网地址），利用其地址作为跳板机，对其内网地址进行大量的IPC爆破，爆破成功后，通过登录RDP进行投毒，投毒后将其样本清除，并继续爆破下一台主机或虚拟机。

此外多个卫生院，卫健局/委，以及多个医院，均被使用上述模式入侵成功，同样被投放一样的勒索软件。

Ø 通过OA服务器入侵

某医院遭受GandCrab勒索攻击，从内网进行排查，发现GandCrab勒索软件的传播途径大多为RDP&IPC暴力破解，并在成功入侵主机后会创建名称为KprocessHacker2的系统服务。

这里值得一提的是， ProcessHacker是一款进程管理软件，经常被恶意攻击者利用来强制结束杀毒软件进程。

而从内到外进行排查发现，攻击入口指向医院的OA服务器。从判断OA服务器被勒索的时间是否在爆发时间内，可推测为攻击者手工投毒，并且此OA服务器为攻击者掌握的主要跳板机，继续对日志进行分析，发现存在OA隐藏账号的IPC登录记录。

可见攻击者通过本机本地地址，登录IPC服务，并使用的账号为OAAPP服务创建的隐藏账号，正常情况下不会有人采用此帐号进行IPC登录，判断此登录记录为攻击者得到OA的webshell之后使用OA服务器作为代理来进行远程IPC登录，随后攻击者进行提权操作，将权限提升至system。最后推测幕后攻击者的入侵方式为中间件/Web入侵，如JBoss/Weblogic反序列化漏洞、Struts2命令执行命令等。

Ø 通过VPN帐号弱口令爆破入侵

某卫生健康委员会，多台业务服务器被Crysis勒索软件加密。

对防火墙旁挂设备VPN核查配置及日志溯源，发现VPN有关联资源配置权限发布可疑（10.x.x.x整个网段），有账号登录后直接可以访问该遭受勒索病毒服务器IP地址网段。从VPN日志中分析，发现“(单位名)(数字)”用户账号曾在异常时间成功登录，经过确认该账号无人使用。且VPN用户账号密码存在弱口令，可以使用密码对账号进行枚举爆破，也可以对账号进行暴力破解。 此后，攻击者对遭受勒索病毒服务器IP地址网段的RDP协议远程桌面账号密码进行暴力破解。

综上所述，经过统计2019年上半年来的数十起的勒索软件攻击可以发现，通过弱口令，口令爆破方式入侵成功的案例占比80%，且基本上，在通过3389远程桌面端口进入受害者主机后，均会采取内网横向移动入侵的方式，如继续暴力破解，Mimikatz抓密码等方式，在权限获取完毕后，投放勒索软件获利。

Linux服务器被勒索

某医药公司感染Satan勒索病毒，通过对系统文件、进程及日志等分析，发现其Linux服务器被攻击者通过PUT方式上传了satan.jsp文件，使用的为Apache Tomcat 远程代码执行漏洞（CVE-2017-12615）。

对被加密的文件进行排查，被加密文件后缀为.satan_pro，且加密释放的特征文件为.conn、.crypt和.Ssession，确定为Linux版本的Santan勒索病毒变种Lucky。

定向攻击手段的勒索攻击事件

Ø 一家医院被入侵，攻击源竟来自另一家医院？

某人民医院遭受GandCrab勒索软件攻击，加密后缀为ZMIGZF。

通过排查系统日志发现，攻击源来自10.x.x.2，其多次进行RDP登录爆破，并于2019年初爆破成功，从而导致某人民医院受损。 紧接着，在其被加密的服务器日志中，发现攻击源来自另一家某某医院，前往某某医院排查后，发现攻击源10.x.x.2也被加密，根据其登录日志分析，同网段的10.x.x.3服务器也被攻破，但其文件未加密，疑似黑客作为跳板服务器。

排查10.x.x.3时发现其早于2016年即被攻陷（存在黑客上传的webshell），于2018年开始有频繁的境外IP登录记录，可见策划已久。在主机中发现若干黑客工具，多为内网渗透提权工具，其读取了10.x.x.3服务器的密码。而由于某某医院内网服务器均为同一密码，虽然不是弱口令，但其通过猜测，用同样的密码登录到10.x.x.2服务器上，执行了加密，本机加密结束后，病毒自身的口令破解模块成功登录到某人民医院服务器，从而导致被加密。

可见此次攻击幕后的黑客，潜伏周期长，配合攻击手段多，且针对性打击强，医院方面务必全方面防护入口点。

Ø 攻击者定期下载加密文件，伪造设备被勒索的状态

某中医院在凌晨1点大面积感染GlobeImposter勒索病毒，经过日志回溯发现，其专门被3389爆破进入，且服务器中的浏览器存在下载爆破字典的行为。

此后利用字典进行横向爆破个人机成功后，个人机安装的THIS4客户端每天都会更新（.bat文件），并会从已经感染病毒的服务器中下载整个目录，而此目录的文件都已被加密，从而导致给用户一种感染勒索软件病毒的假象，其实只是攻击者拷贝了一批被加密的文件（包括桌面快捷方式）。

而通过搜索发现，THIS4是医院的信息管理系统，会处理门诊挂号等操作，可见攻击者对医院的系统极为熟悉。

WannaCry阴魂不散

Ø 外包开发团队接入内网，WannaCry突现雄风

某大学某医院内网大量机器发现445攻击流量，内网部署的IDS设备识别该攻击为MS17-010永恒之蓝漏洞攻击。最后发现是Wannacry勒索病毒，可见病毒已经出现1年半了，该病毒在内网的威力还是如此之大。该部门存在经常有外包开发团队到现场接入内网的情况，

Ø 某肿瘤医院，未装杀毒软件导致WannaCry复燃

内网共存在10多台主机和服务器可能受到勒索病毒影响，其服务器因未安装杀毒软件受到勒索病毒攻击。确认病毒为WannaCry蠕虫勒索病毒， 其传播手段为利用“永恒之蓝”漏洞，攻击内网其他机器的445端口进行横向传播。

而除了上述两家医院，还有多家医院也因类似的原因和场景导致一个早已过时的WannaCry勒索软件加密从而无法解密，同时侧面反映，医疗卫生行业，内网中没有打关键漏洞补丁还有很多，而一旦存在入口点，配合蠕虫化的武器，那将会是一场灾难。

用于攻击的勒索软件

经统计发现，2019年上半年来，针对医疗卫生行业的勒索软件种类并不丰富，主要集中在GandCrab，Globelmposter，而自从GandCrab“退休后”，其继任者Sodinokibi在6月中旬后攻势猛烈，同时，一种名为Attension的新型勒索软件也悄悄开辟新战场。

下图为针对医疗卫生行业的勒索趋势图，同时起对于整个行业的勒索攻击趋势也有参考意义。

以下为针对行业的真实攻击事件中发现的勒索家族种类简介。

GandCrab

目前均可解密，后缀随机，计算机加密后背景会直接显示GandCrab+版本号

解密工具下载地址：

http://download.bitdefender.com/am/malware_removal/BDGandCrabDecryptTool.exe

而目前大部分分析人员普遍认为，其继任者为Sodinoki勒索软件，也同样出现在近期的勒索软件攻击热潮中。

Globelmposter

暂无解密手段，其后缀名特征会使用十二生肖的英文名+数字的风格(如：Rabbit6666、Dragon6666)，或者古希腊十二神的英文名+数字作为加密文件后缀(如：Aphrodite666、Ares666)。

勒索信格式如下：

Crysis

以多种后缀如.phobos为后缀，同样在针对中国政企进行攻击。

Tater

新型勒索病毒，加密算法采用了RSA+AES的方式，暂无法解密，后缀格式为.xxxx@mail2tor.com.rar

MegaCortex

勒索软件，以.aes128ctr为加密扩展名：

Attention

勒索病毒，被勒索文件的后缀为随机的字母和数据编码*. -XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

WannaCry

问世主要为了实施破坏性攻击，因此更不存在解密方法。

而需要注意的是，虽然目前GandCrab是在被完全解密前的投放量和成功率最高的勒索软件，但并不代表之后背后的攻击者不会再继续发起勒索软件攻击，因为攻击者还是原来的攻击者，仅仅是勒索软件提供商（如“继任者”Sodinoki勒索软件）发生了变化，勒索软件攻防仍然是业界一大难题。

总结来说，勒索病毒广泛利了Windows远程桌面的密码破解攻击，同时还可能会用到其他多种攻击方法 ，主要的传播方式如下：

1、Windows远程桌面密码破解

2、系统及程序漏洞（如永恒之蓝、office办公软件漏洞等）

3、人工入侵，投放勒索病毒

4、钓鱼邮件、钓鱼网站

整个勒索病毒产业链攻击流程如下：

自救手段

当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。例如：与被感染主机相连的其他服务器也存在漏洞或是有缺陷，将有可能也被感染。所以，采取自救措施的目的是为了及时止损，将损失降到最低。

正确处置方法

(一)    隔离中招主机

处置方法

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1）  物理隔离

物理隔离常用的操作方法是断网和关机。

断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2）  访问控制

访问控制常用的操作方法是加策略和修改登录密码。

加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。

修改登录密码的主要操作为：立刻修改被感染服务器的登录密码；其次，修改同一局域网下的其他服务器密码；第三，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

处置原理

隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器；另一方面是为了防止黑客通过感染主机继续操控其他服务器。

有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播，如WannaCry勒索病毒，一旦有一台主机感染，会迅速感染与其在同一网络的其他电脑，且每台电脑的感染时间约为1-2分钟左右。所以，如果不及时进行隔离，可能会导致整个局域网主机的瘫痪。

另外，近期也发现有黑客会以暴露在公网上的主机为跳板，再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击，造成更大规模的破坏。

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。

(二)    排查业务系统

处置方法

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

处置原理

业务系统的受影响程度直接关系着事件的风险等级。评估风险，及时采取对应的处置措施，避免更大的危害。另外，备份系统如果是安全的，就可以避免支付赎金，顺利的恢复文件。

所以，当确认服务器已经被感染勒索病毒后，并确认已经隔离被感染主机的情况下，应立即对核心业务系统和备份系统进行排查。

(三)    联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

中招客户可以联系奇安信集团，全国400应急热线：4008136 360转2 转4。

或者访问奇安信集团官网 www.qianxin.com 及时寻求帮助。

错误处置方法

(一)    使用移动存储设备

错误操作

当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动硬盘等移动存储设备。

错误原理

勒索病毒通常会对感染电脑上的所有文件进行加密，所以当插上U 盘或移动硬盘时，也会立即对其存储的内容进行加密，从而造成损失扩大。从一般性原则来看，当电脑感染病毒时，病毒也可能通过U盘等移动存储介质进行传播。

所以，当确认服务器已经被感染勒索病毒后，切勿在中毒电脑上使用U盘、移动硬盘等设备。

(二)    读写中招主机上的磁盘文件

错误操作

当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。

错误原理

很多流行勒索病毒的基本加密过程为：

1）首先，将保存在磁盘上的文件读取到内存中；

2）其次，在内存中对文件进行加密；

3）最后，将修改后的文件重新写到磁盘中，并将原始文件删除。

也就是说，很多勒索病毒在生成加密文件的同时，会对原始文件采取删除操作。理论上说，使用某些专用的数据恢复软件，还是有可能部分或全部恢复被加密文件的。

而此时，如果用户对电脑磁盘进行反复的读写操作，有可能破坏磁盘空间上的原始文件，最终导致原本还有希望恢复的文件彻底无法恢复。

安全建议

1、 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现；

2、 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接IP范围进行限制；

3、 有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问，如FTP、数据库服务、远程桌面等管理端口；

4、 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据；

5、 配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等，加强安全溯源能力；

6、 建议在服务器或虚拟化环境上部署虚拟化安全管理系统，提升防恶意软件、防暴力破解等安全防护能力；

7、 建议安装相应的防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描，加强服务器上的病毒清除能力；

8、 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患；

9、 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作；

当然，最重要的一点就是，务必打全补丁！远程桌面服务远程代码执行漏洞Bluekeep已面世许久，商业化的渗透测试工具已具备批量攻击的功能，而近期微软又曝光多个远程桌面服务远程代码执行漏洞，因此，即使将弱口令修改为强口令，若主机存在漏洞，那仍然存在被入侵的高风险，请务必重视。