國內便再次發生多起勒索病毒攻擊事件

2017年WannaCry、Petya、Bad Rabbit等勒索病毒的陰霾尚未完全消散，春節假期剛過，國內便再次發生多起勒索病毒攻擊事件。

2月24日消息，據網友爆料，國內一家省級三甲醫院今晨出現系統癱瘓狀況，患者無法順利就醫，正值兒童流感高發季，醫院大廳人滿為患。

據悉該院多台伺服器感染GlobeImposter勒索病毒，資料庫文件被病毒加密破壞，黑客要求院方必須在六小時內為每台中招機器支付1個比特幣贖金，約合人民幣66000餘元。據網上報道：這個病毒的是GlobeImposter 2.0病毒家族的其中一種後綴格式，其它格式還有：

後綴.GOTHAM；*.YAYA；*.CHAK；*.GRANNY；*.SKUNK；*.TRUE；*.SEXY;*.MAKGR；*.BIG1；*.LIN；*.BIIT;*.reserve；*.BUNNY；*.FREEMAN；

勒索通知信息文件為：how_to_back_files.html ；

此病毒主要針對企業，通過RDP遠程桌面入侵施放病毒，病毒會加密本地磁碟與共享文件夾的所有文件。

據了解自從去年WannaCry爆發以後，勒索病毒的攻擊重心已逐漸由個人電腦用戶轉向企業伺服器，尤其是以弱口令爆破遠程登錄伺服器、再植入勒索病毒的攻擊方式最為常見。此次爆發的GlobeImposter家族勒索病毒變種，主要以國內公共機構伺服器作為攻擊對象。據AnyShare技術專家指出，從捕獲的傳播樣本來看，其惡意代碼框架和流程是一致的，唯一不同的就是加密文件的後綴名和攻擊者的郵箱地址信息。惡意代碼樣本為了防止被輕易地分析，加密了大多數字元串和一部分API，而加密後的文件後綴將會重命名為.TRUE等。

AnyShare安全技術專家表示，針對GlobeImposter等勒索病毒常用的遠程登陸攻擊手段，AnyShare專門為伺服器系統提供了遠程登錄保護功能，可以防止黑客利用爆破弱口令遠程登錄系統，從而避免遭遇數據被加密勒索的損失；除此之外，AnyShare已經對已知病毒類型進行過濾，不允許該病毒文件類型進行上傳。

注意：管理員可以在AnyShare管理控制台【文檔管理】——【文檔策略】——【文檔同步策略】里添加已知病毒文件後綴名，後續版本升級會自動默認勾選該選項，確保在雲盤內的所有文件都是安全的。

目前，AnyShare已經發布對抗勒索軟體的整體解決方案：愛數AnyShare+AnyBackup的整體解決方案——AnyShare的下一代企業雲盤對桌面提供了自動同步備份，AnyBackup則可以針對各類伺服器進行定時和實時備份！

首先，AnyShare的桌面客戶端直接跟資源管理器結合，雲盤的文件，向上自動備份，向下按需載入！很多雲盤採用富客戶端或者選擇同步，都是不可取的，用戶很難選擇把哪些文件上傳哪些文件不上傳，而且AnyShare支持指定本地多文件夾自動同步備份。

其次，AnyShare為文件提供實時歷史版本，對於一旦感染勒索病毒的文件，可以基於後綴名批量恢復勒索文件歷史版本，用戶完全不用擔心受到勒索軟體的攻擊。

最後，愛數AnyShare與愛數AnyBackup結合，對AnyShare的數據進行離線備份，當文件被勒索軟體鎖定後，利用備份數據即可輕鬆恢復文件。

對於病毒，殺毒軟體有很好的應對措施，中毒文件也可以清除病毒；而對於勒索病毒，加密的文件，病毒清除幾乎毫無可能，唯一的途徑就是事前特徵掃描識別，避免感染，而一旦感染，最後的一道防火牆就是：你備份了沒有？

面對勒索軟體病毒，愛數AnyShare負責人強調：文件備份就是最後一道防火牆！

而對於沒有使用AnyShare的企業，AnyShare安全技術專家建議如下防範措施：

1、伺服器盡量不要開放外網埠；

2、禁止系統自帶遠程協助服務，使用其它遠程管理軟體；

3、更改默認administrator管理帳戶，禁用GUEST來賓帳戶；

4、更改複雜密碼，字母大小寫，數字及符號組合的密碼，不低於10位字元；

5、外網伺服器不要有訪問及修改內網計算機文件夾的許可權；

6、設置帳戶鎖定策略，在輸入5次密碼錯誤後禁止登錄；

7、安裝殺毒軟體，設置退出或更改需要密碼，防止進入關閉殺毒軟體；

8、定期的一個數據異地備份，如是雲伺服器，一定要做好快照。

根據最近網路上這些鮮活的醫療行業中毒案例，加上更多沒有被報道出來的案例，不得不等猜測這不是個案，很可能是境外或者境內部分黑客有組織地專門針對醫療行業用戶進行了各種攻擊，嘗試著對數據進行加密，然後進行勒索。所以在此不得不提醒大家（不僅是醫療行業用戶）抓緊進行一次安全排查，消除安全隱患，加強安全防護措施，做好數據備份，做好等保等合規性工作！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！