GlobeImposter勒索病毒偷袭儿童医院 安全专家支招防御

　　据郴州网警巡查执法官方微博消息，国内一省级儿童医院今天上午8时左右信息系统发生故障，医院随即启动了应急预案，增派人力接诊滞留病人，同时加大了就医流程的巡查，确保医疗安全，10时30分左右医院门诊已恢复接诊，急诊危急重症病人通道畅通。

　　据悉，该院多台服务器感染GlobeImposter勒索病毒，数据库文件被病毒加密，只有支付比特币赎金才能恢复文件。医院信息系统因此而无法正常使用，取号、办卡、挂号、收费等业务受到影响。尽管医院快速启动应急预案恢复了接诊，但系统仍未完全恢复。

　　记者采访360安全中心获悉，GlobeImposter是目前流行的一类勒索病毒，它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式，受害者在没有私钥的情况下无法恢复文件，如需恢复重要资料只能被迫支付赎金。

　　360安全专家介绍说，近期勒索病毒攻击服务器大多是通过弱口令爆破后利用3389远程登录，黑客使用自动化攻击脚本，用密码字典暴力破解管理员账号。如果系统管理员的密码设置比较简单，黑客入侵服务器后一般会创建个“后门”账号实施秘密控制，伺机卸载服务器上的杀毒软件并植入勒索病毒。

　　当局域网里有一台服务器被入侵控制后，黑客通常会在内网扫描入侵更多机器，造成大面积的病毒感染情况发生。

　　针对弱口令爆破攻击手段，360安全卫士专门为服务器系统提供了远程登录保护功能，可以自动拦截高风险的远程登录行为，包括首次从陌生IP登录，以及多次登录口令错误情况，都能够将其阻止，从而避免数据被GlobeImposter等病毒加密勒索。

　　自从去年WannaCry爆发以后，勒索病毒的攻击重心已逐渐由个人电脑用户转向企业服务器，尤其是以弱口令爆破远程登录服务器、再植入勒索病毒的攻击方式最为常见。

　　由于医院拥有大量需要紧急使用的信息和数据，包括法医学记录和数据、病患资料以及预约信息等等，都必须尽快恢复数据，因此特别受到勒索病毒的“青睐”。大安全时代，网络安全事故真正开始威胁生命安全。安全专家建议企事业单位加强服务器安全防护，如因业务需要开放3389远程登录端口，应开启360安全卫士“远程登录保护”功能，注意及时打补丁并设置高强度的管理员密码。