作者:hacker发布时间:2022-07-18分类:破解邮箱浏览:125评论:2
据腾讯电脑管家预警,国内两家省级医院服务器疑似遭最新勒索病毒攻击,致其系统瘫痪,同时数据库文件被加密破坏,已影响正常就医秩序。
据悉,其中一家湖南省儿童医院在今晨7点左右,全院系统无法正常使用,经查系医院服务器中了疑似最新的勒索病毒。
黑客要求院方在6小时内为每台中招机器支付1个比特币(约合人民币6.6万元)。
据院方通报,医院在今晨系统瘫痪后启动了应急预案,增派人力接诊滞留病人,同时加大了就医流程的巡查,10时30分左右医院门诊已恢复接诊,急诊危急重症病人通道畅通。
2月23日上午,湖北襄阳南漳县人民医院系统被植入升级版勒索病毒后陷入瘫痪,黑客要求支付比特币才能恢复正常。24日上午11时,该院回复称,患者看病已不受影响,公安部门已介入调查。
多名知情人介绍,23日上午上班后,住院部医生发现,原来只能联内网的电脑可以上外网了;药剂师发现,因系统瘫痪录入在电脑中的药价等数据不见了;还有医生发现,存储在电脑中的病例也消失了。
南漳县人民医院办公室值班人员介绍,系统瘫痪后,他们联系技术人员前来修理,并向南漳公安局报警;另一方面,医生克服困难,就诊秩序没受太大影响。
2017年勒索病毒全球爆发。23日上午,南漳县人民医院电脑系统被植入了“升级版勒索病毒”,黑客要求医院支付比特币,才能恢复正常。
目前,医院已建立了一个新系统,但之前的数据尚未恢复。“这次被勒索的比特币换算成人民币,在30万元左右。目前,襄阳市和南漳县警方正在全力侦破该案。
1. 隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;
2. 切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问;
3. 查找攻击源:手工抓包分析或借助态势感知类产品分析,确认全网感染数量;
4. 查杀病毒:可使用以下工具进行查杀;
5. 设置复杂密码:如果主机账号使用简单密码,建议重置为高强度的密码
欢迎交流补充!
该病毒通过SMB漏洞传播,只要远程主机上开启了445端口,就可以通过文件共享服务在远程主机上植入木马和执行恶意代码,而不需要该主机打开任何文件或网页。机构和学校的网络大部分属于内网,445端口处于打开监听状态,而且还留存有很多XP和Win7系统,并且都没有及时打补丁,因此一旦某台暴露外网的机器不慎感染,很容易集体中招。
根据报道, 5月15日,中央网信办网络安全协调局负责人就“蠕虫”式勒索软件攻击事件回应称,该勒索软件还在传播,但传播速度已经明显放缓。
据该负责人介绍,5月12日起,一款勒索软件在全球较大范围内传播,感染了包括医院、教育、能源、通信、制造业等以及政府部门在内的多个领域,我国一些行业和政府部门的计算机也受到感染,造成了一定影响。
事件发生后,公安、工信、教育、银行、网信等有关部门都立即做了部署,对防范工作提出了要求。几天来应对该勒索软件的实践表明,对广大用户而言最有效的应对措施是要安装安全防护软件,及时升级安全补丁,即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁。作为单位的系统管理技术人员,还可以采取关闭该勒索软件使用的端口和网络服务等措施。
该负责人还建议,各方面都要高度重视网络安全问题,及时安装安全防护软件,及时升级操作系统和各种应用的安全补丁,设置高安全强度口令并定期更换,不要下载安装来路不明的应用软件,对特别重要的数据采取备份措施等。
日前,全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击,被攻击者被要求支付比特币才能解锁。据悉,目前已经在99个国家观察到超过57000个感染例子。
据社交媒体上用户贴出的照片显示,该勒索软件在锁定电脑后,索要价值300美元的比特币,并显示有“哎哟,你的文件被加密了!”(Ooops, your files have been encrypted!)字样等的对话框。
据了解,这是最近几年极为流行的、依靠强加密算法进行勒索的攻击手段。
与之前的攻击不同的是,此次勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久美国国家安全局(NSA)被泄漏出来的MS17-010漏洞,因此无需受害者下载、查看或打开任何文件即可发动攻击。
国内多个高校电脑遭遇病毒入侵
中国国家互联网应急中心还表示,勒索软件的攻击涉及到国内用户(已收到多起高校案例报告),已经构成较为严重的攻击威胁。
从5月12日晚间起,中国多个高校的师生陆续发现自己电脑中的文件和程序无法打开,而是弹出对话框要求支付比特币等赎金后才能恢复。
目前,山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院在内十几家高校发布遭受病毒攻击的通知,提醒师生注意防范。
部分高校通知称,近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。
国内外被攻击的电脑中的是同一病毒
在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的媒体报道称此次攻击为“永恒之蓝”。
不过,这次WanaCry2.0系列攻击,实际上是一次蠕虫攻击,威力等同于当年的conficker。该蠕虫一旦攻击进入能连接公网的用户机器,就会利用内置了EnternalBlue的攻击代码,自动在内网里寻找开启了445端口的机器进行渗透。
中国国家互联网应急中心称,当用户主机系统被该勒索软件入侵后,用户主机上的重要数据文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件,都被恶意加密且后缀名统一修改为 “.WNCRY”。
国内高校为何此次成病毒攻击“重灾区”?
据悉,各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。
此外,如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。
不过,相关网络运营商在骨干网ISP策略中习惯性禁止445端口的数据传输,防止蠕虫等病毒传播的策略,发挥了重要的作用。在本次漏洞事件中,间接地降低了本次漏洞所带来的风险。
电脑若中了勒索病毒怎么办?
根据中国国家信息安全漏洞共享平台(CNVD)秘书处普查的结果,互联网上共有900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。
据外媒报道,一名网络安全研究员声称他找到方法能停止这个病毒扩散,但警告这只是暂时性质的。
中国国家互联网应急中心表示,目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
此病毒与以往的勒索攻击事件一样,采用了高强度的加密算法,因此在事后想要恢复文件是很难的,重点还是在于事前的预防。
及时更新
Windows已发布的安全补丁。
在3月MS17-010漏洞刚被爆出的时候,微软已经针对Win7、Win10等系统在内提供了安全更新;此次事件爆发后,微软也迅速对此前尚未提供官方支持的Windows
XP等系统发布了特别补丁。
最好是在电脑上安装安全类软件,并保持实时监控功能开启,可以拦截木马病毒的入侵。
Windows 7系统用户可打开控制面板点击防火墙-高级设置-入站规则-新建规则-勾中“端口”-点击“协议与端口”,勾选“特定本地端口”,填写445后点击下一步,继续点击“阻止链接”,一直下一步,并给规则命名,可完成关闭445端口。
关闭445等端口(其他关联端口如:
135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
加强对445等端口(其他关联端口如:
135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
由于微软对部分操作系统停止安全更新,建议对Window
XP和Windows server 2003主机进行排查(MS17-010更新已不支持),使用替代操作系统;做好信息系统业务和个人数据的备份。
标签:国内医院遭遇勒索软件攻击
已有2位网友发表了看法:
访客 评论于 2022-07-18 17:42:41 回复
勾中“端口”-点击“协议与端口”,勾选“特定本地端口”,填写445后点击下一步,继续点击“阻止链接”,一直下一步,并给规则命名,可完成关闭445端口。关闭445等端口(其他关
访客 评论于 2022-07-18 10:04:36 回复
办公室值班人员介绍,系统瘫痪后,他们联系技术人员前来修理,并向南漳公安局报警;另一方面,医生克服困难,就诊秩序没受太大影响。2017年勒索病毒全球爆发。23日上午,南漳县人民医院电脑系统被植入了“升级版勒索病毒”,黑客要求医院支付比特币,才能恢复