春節(jié)剛過，年輕的住院部醫(yī)生張楠第一天上班，她突然發(fā)現(xiàn)，自己的電腦竟然出現(xiàn)了淘寶廣告彈窗，真是新年新氣象，按理來說，它只能連內(nèi)網(wǎng)，上不了外網(wǎng)的。沒容她多想，忽然走廊里傳來藥劑科同事的“哀嚎”，他的電腦系統(tǒng)癱瘓，錄入其中的藥價(jià)等數(shù)據(jù)不見了。幾乎同一時(shí)間，對面診室的主治醫(yī)生袁朗眼睜睜的看著電腦中的病例瞬間消失……

10分鐘后，醫(yī)院緊急通知，系統(tǒng)可能受到了新型勒索病毒的攻擊，各部門啟用應(yīng)急預(yù)案。

不到半個(gè)小時(shí)，醫(yī)院的住院部大廳內(nèi)就人滿為患，陷入混亂，一些想掛急診號的家屬開始變得焦躁。

而這，并不是個(gè)例，第二天相隔不遠(yuǎn)的另一家兒童醫(yī)院也遭遇了類似的黑客攻擊，致使許多病患無法及時(shí)就診。

其實(shí)，雷鋒網(wǎng)發(fā)現(xiàn)，自去年WannaCry爆發(fā)以來，這些以前只在科幻大片中出現(xiàn)的場景，正越來越多的出現(xiàn)在現(xiàn)實(shí)生活中。比如，英國國立醫(yī)療服務(wù)（NHS）系統(tǒng)就曾成為重災(zāi)區(qū)，旗下248個(gè)醫(yī)療機(jī)構(gòu)中共就曾有48個(gè)受到攻擊，許多醫(yī)院正常的治療活動也受到影響，部分病人被迫轉(zhuǎn)院。

之前更多針對個(gè)人的勒索病毒，近來頻頻瞄向醫(yī)院等機(jī)構(gòu)，比如這次的 GlobeImposter ，這也成為勒索病毒發(fā)展的“新趨勢”。

為何救死扶傷的醫(yī)院正越來越多的成為黑客攻擊的靶子？這些本就配備安全團(tuán)隊(duì)的機(jī)構(gòu)，為何系統(tǒng)屢屢被攻破？血的教訓(xùn)下，又該如何防范？

對機(jī)構(gòu)進(jìn)行勒索，成本低，來錢快

來自騰訊企業(yè)安全的技術(shù)專家饒帥，曾對多家醫(yī)院有過防護(hù)和應(yīng)急處理經(jīng)驗(yàn)，他告訴雷鋒網(wǎng)，相比于個(gè)人，黑客對機(jī)構(gòu)進(jìn)行勒索，更容易來錢。

之所以說是成本低，是因?yàn)閷τ谝话愕墓魜碚f，備好攻擊“原料”并不難，有時(shí)甚至都不需要自己來開發(fā)，在網(wǎng)上就可找到已經(jīng)發(fā)布的各類工具組合成攻擊包。當(dāng)然特殊的APT攻擊也有，但比較少。

與其他機(jī)構(gòu)相比，醫(yī)院的信息系統(tǒng)也比較有特殊性，如其中的醫(yī)學(xué)記錄、數(shù)據(jù)、病患資料以及預(yù)約信息等，都屬于需要緊急使用的信息，被加密后，會造成比較大的影響，所以勢必會想盡辦法以最快速度恢復(fù)數(shù)據(jù)，比如，馬上交贖金。

這并非是向惡勢力低頭，而是，還有什么比生命更重要？

自從去年體會過勒索病毒對眾多資料撕票的“血淚史”，不少人已經(jīng)成為了及時(shí)升級、不隨便點(diǎn)釣魚網(wǎng)址的“機(jī)智”網(wǎng)民，各路殺軟也會經(jīng)常秀一把輕松碾壓勒索病毒的肌肉。但對于服務(wù)器來說，可就沒那么簡單了，因?yàn)樾枰雷o(hù)的點(diǎn)實(shí)在太多，不像個(gè)人PC 下載一個(gè)靠譜的殺軟就萬事大吉。

俗話說，蒼蠅不叮無縫的蛋，而服務(wù)器，正好是那個(gè)“縫”比較多的蛋。

對于服務(wù)器來說，可訪問外網(wǎng)的終端，外接u盤，對外的web服務(wù)，內(nèi)部設(shè)備直接的訪問控制，關(guān)鍵服務(wù)器防滲透、爆破，各種系統(tǒng)軟件、第三方軟件漏洞等都可能讓攻擊者趁虛而入。

在饒帥的實(shí)際工作中，一般醫(yī)院對于勒索病毒之類的緊急事件都會有應(yīng)急預(yù)案，目前他所知道的還沒有因此而造成生命危險(xiǎn)的案例，不過在前文中所提到的NHS所遭遇到的勒索病毒，有一些病人被迫進(jìn)行了轉(zhuǎn)院。

在他看來，情況也許并沒有到達(dá)某些媒體所渲染的“非常嚴(yán)重”的境地，就目前的勒索而言，黑客往往是批量去嘗試找機(jī)會，廣撒網(wǎng)，可能攻擊了100家，其實(shí)可能只有1家的被攻擊成功，而我們看到的都是被攻擊成功的。

勒索分這兩步

對于醫(yī)院的電腦，很多人應(yīng)該有這樣的感受，醫(yī)生無非也就是開個(gè)藥，查詢一下你的歷史病例，看起來是個(gè)內(nèi)網(wǎng)的操作流程，醫(yī)生天天忙得團(tuán)團(tuán)轉(zhuǎn)，又不會去發(fā)郵件逛淘寶點(diǎn)釣魚網(wǎng)址，為啥會中招？

雷鋒網(wǎng)發(fā)現(xiàn)，對黑客來說，把大象放進(jìn)冰箱需要兩步。

第一步，打入對方內(nèi)部。

第二步，對其成員進(jìn)行大規(guī)模策反。

具體來說，第一步需要突破邊界，從外網(wǎng)進(jìn)入內(nèi)網(wǎng)，在這個(gè)過程中往往是利用服務(wù)器的系統(tǒng)漏洞，或者是暴力破解遠(yuǎn)程桌面服務(wù)密碼，此時(shí)可成功打入敵方內(nèi)部。而第二步則是橫向擴(kuò)散，利用內(nèi)網(wǎng)互相傳播，進(jìn)一步擴(kuò)散感染面。

在整個(gè)破解過程中，黑客往往會先在系統(tǒng)上安裝遠(yuǎn)程控制木馬，以此遠(yuǎn)程控制中毒機(jī)器執(zhí)行任意操作，比如下發(fā)勒索者木馬，甚至可以卸載安全軟件。接著使用的手段就花樣就比較多了，比如感染共享目錄，抓取windows密碼后嘗試登錄其它機(jī)器（不同服務(wù)器使用同樣帳號密碼會中招），遠(yuǎn)程桌面密碼暴力破解，瀏覽器密碼查看嘗試等。

在饒帥和團(tuán)隊(duì)所接觸到的被攻破的案例中，一般打補(bǔ)丁完成度比較高，但關(guān)閉文件共享、端口服務(wù)等就會有很多醫(yī)院做不到，而不使用通用服務(wù)器帳號密碼，密碼定時(shí)更換，能做到這些的就更少了。

換句話說，你被勒索并不是對方有多高明，有時(shí)是自己漏出的破綻太多。

血淚教訓(xùn)后，如何防御？

血淚教訓(xùn)過后，到底該怎么應(yīng)對“喪盡天良”的黑客？

騰訊企業(yè)安全團(tuán)隊(duì)給出了以下幾點(diǎn)建議。

1.目前在省級及其以上級別的醫(yī)院，都會配備安全人員或者有相關(guān)的預(yù)算（外包安全服務(wù)），可以定期做安全測試，相當(dāng)于人每年要體檢，知道問題在哪里后，根據(jù)情況配備安全產(chǎn)品或者自己來部署安全防護(hù)。

2.采用高強(qiáng)度密碼，千萬不要使用簡單的弱密碼、弱密碼、弱密碼……（恩，有人會說這是廢話，但就是說上100遍，也還是有人會用，這點(diǎn)真的很重要）服務(wù)器密碼使用高強(qiáng)度且無規(guī)律的密碼，并且強(qiáng)制要求每臺服務(wù)器使用不同的密碼管理。

3.設(shè)置內(nèi)部訪問控制，對沒有互聯(lián)需求的服務(wù)器、工作站，內(nèi)部訪問需設(shè)置相應(yīng)控制，避免可連外網(wǎng)的服務(wù)器被攻擊后，被作為跳板進(jìn)一步攻擊企業(yè)服務(wù)器。

4.部署安全專業(yè)的云服務(wù)，在終端、服務(wù)器不熟專業(yè)安全的防護(hù)軟件，服務(wù)器可考慮不熟騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)。

除了對于安全人員的要求，普通的醫(yī)生和后勤人員也要有安全意識。

1.不要讓電腦裸奔，個(gè)人電腦安裝靠譜的殺軟。

2.保護(hù)好自己的文檔，勒索病毒最想加密的就是你的重要文檔，或者備份，或者加密。

3. 關(guān)閉不必要的端口，默認(rèn)情況下，Windows 有很多端口是開放的，不法黑客可通過這些端口連上你的電腦。盡量關(guān)閉 445、135、139 等不必要開啟的端口，對 3389 端口則可以進(jìn)行白名單配置，只允許白名單內(nèi)的ip 連接登錄。

4.關(guān)閉不必要的文件共享，文件共享也存在隱患，如有需要，請使用 ACL 和強(qiáng)密碼保護(hù)來限制訪問權(quán)限，禁用對共享文件夾的匿名訪問。

5.養(yǎng)成良好的上網(wǎng)習(xí)慣，切記不要隨意點(diǎn)擊來源不明的郵件附件。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。