近期国内又有多家医院感染GlobeImposter勒索病毒

本帖最后由杨乃玉于 2019-3-12 06:48 编辑

360社区

事件简述

2019年03月10日，国内多家医院感染GlobeImposter勒索病毒事件，360企业安全应急响应团队接到某省多家医院服务器遭受攻击的反馈，经分析此次攻击是发生在该省同一卫生专网的GlobeImposter勒索病毒事件，针对此专网的攻击影响到该省50多家市县医院。目前并没有直接证据显示本次攻击行动是一起以全国医院为目标的针对性攻击行动。

事件详情

2019年3月10日，360企业安全应急响应团队接到某省多家医院服务器遭受攻击的反馈，经分析此次攻击是发生在该省同一卫生专网的GlobeImposter勒索病毒事件，针对此专网的攻击影响到该省50多家市县医院。

该攻击方式为定向爆破和投递勒索，通过RDP远程桌面攻击服务器，利用ProcessHacker结束杀毒软件进程，并利用其它黑客工具如扫描器、密码抓取工具进行进一步攻击，随后执行勒索软件，文件被加密，病毒感染后的主要特征包括windows服务器文件被加密、加密后缀 *.snake4444。

最近半年月度行业勒索病毒攻击统计：

360社区

最近半年按月统计卫生行业勒索病毒事件统计：

360社区

从统计结果，可以看到，最近半年各行业均遭到不同程度的勒索病毒攻击事件，此次医院事件是因为该省在同一卫生专网内横向传染，其攻击手段与2018年的事件类型一致，属常规攻击事件，不具有行业属性。

紧急处置方案

紧急处置

1. 控制已发现被攻陷主机，采取措施防止蔓延：下线已发现招攻陷主机，扫描暴露到公网的主机和端口、紧急关停。

2. 摸清楚受害主机范围，对中招主机进行处置：通过天眼全流量风险分析、天擎病毒扫描或漏洞扫描等方式，筛查出受害主机范围，对中招主机下线然后查杀、打补丁。

未感染主机与加固

1、在网络边界防火墙上全局关闭3389端口或只对特定IP开放。

2、开启Windows防火墙，尽量关闭3389、445、139、135等不用的端口。

3、每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

4、安装天擎最新版本（带防爆破功能）和天擎服务器加固版本防止被黑。

5、如用户处存在虚拟化环境，建议用户安装360虚拟化安全管理系统，进一步提升防恶意软件、防暴力破解等安全防护能力。

安全建议

安全没有所谓的“银弹”，需要重新审视和规划。建议感染单位马上开展一次全面深度的安全体检，主动发现系统、应用存在的安全隐患；对系统的安全进行重新规划，如：增加主动防御手段，充分利用威胁情报；部署全流量监测设备，实时检测分析，持续响应。【来源：360企业安全】

360社区