医疗行业勒索病毒防范（2019）（21页）.pdf

《医疗行业勒索病毒防范（2019）（21页）.pdf》由会员分享，可在线阅读，更多相关《医疗行业勒索病毒防范（2019）（21页）.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、主讲人：李华生结语勒索病毒处置解决方案勒索病毒介绍医疗行业网络安全形势医疗行业勒索病毒事件Network security status医疗行业的网络安全威胁01CONTENTS防火墙核心交换机挂号系统工作站护士、医生工作站药品管理工作站MRICTCRCRHIS子数据中心路由器交换机交换机门诊管理系统住院管理系统药品管理系统医院综合系统辅助诊疗系统图像获取系统图像控制系统图像存储系统图像显示系统PACS子数据中心病例管理系统患者管理系统数据分析系统EMR子数据中心数据采集系统数据录入系统分析处理系统分析报告系统LIS子数据中心数据中心层网络层终端及设备层网络层的流量安全威胁：恶意流量无法完全识

2、别和阻止 APT攻击层出不穷，传统安全设备的能力有一定的滞后性终端及设备层的网络安全威胁：系统漏洞未及时修复 恶意软件泛滥 弱口令普遍存在 外设随意接入 防范薄弱成为入侵的入口数据中心层的网络安全威胁：数据库缺少审计和防护，容易引发攻击和数据泄露。数据中心之间隔离不到位，对于单点威胁容易被横向扩散。服务器防护不力，容易成为“肉鸡”。123内蒙古新疆甘肃四川辽宁陕西河南湖南山西北京河北山东江苏浙江上海广东湖北重庆江西福建吉林黑龙江西藏安徽金融,4%教育,7%制造业,7%政府机构,7%医疗,25%对外贸易,11%工业企业,17%互联网,16%其他,6%地域分布行业分布全国医疗系统勒索病毒形势依然严

3、峻！勒索病毒攻击最多的操作系统主要包括Windows 7Windows 10Windows XPWindows 2003Windows server系列以十二生肖作为后缀，“狗”生肖尚未出现GlobeImposter勒索病毒家族：2017年出现，2018年8月份演进为V3.0版本。整体特点如下:加密方法：采用RSA和AES两种加密算法的结合。-无法破解！主要的传播方式:扫描渗透+远程桌面登录爆破。-粗暴实用！解密办法：暂无公开的破解方法。V3.0版本特点如下：1、将加密文件的后缀改成 动物名称+4444的样子。2、当加密完成后，除了清除远程桌面登录信息，还添加了自删除的功能，让追溯分析难度更高

4、。为什么勒索病毒总是攻击医院？安全薄弱、社会影响大！勒索病毒系列勒索病毒原理与危害勒索病毒最新趋势Extortion virus02CONTENTSWannaCry家族乌克兰首都机场、国家银行、俄罗斯石油公司、中国八十多个城市遭到过攻击。能够加密113种常用类型文件。北京市委网信办、市公安局、市经信委等单位联合发布预警。Petya家族席卷全球150多个国家，能够加密178种常用类型文件Bad Rabbit家族GlobeImposter家族病毒会加密本地磁盘与共享文件夹的所有文件，导致系统、数据库文件被加密破坏，几乎无法解密首个以达世币（DASH）作为赎金的勒索病毒，持续更新对抗查杀，被加密文件

5、后缀通常被追加CRAB.GDCB.KRAB 等后缀。GandCrab家族攻击者使用弱口令暴力破解受害者机器，很多公司都是同一个密码，就会导致大量机器中毒。Crysis家族Locky家族是2016年流行的勒索软件之一，和Cerber 的传播方式类似，主要采用垃圾邮件和EK勒索赎金0.5-1个比特币。Locky家族粗略计算20个家族*50个变种=1000种已知的勒索病毒漏洞邮件程序木马网页挂马存储设备带入office组件的病毒感染人工投毒病毒进入内网入侵内网扩散永恒之蓝双脉冲星永恒之冠永恒浪漫永恒王者永恒协作等等扩散病毒运行通过脚本文件进行Http请求通过脚本文件下载文件读取远程服务器文件收集计算

6、机信息进程遍历文件调用加密算法运行加密进程加密中了勒索病毒，多久之后开始加密？01传统杀毒软件单点能力无法应对勒索的分布式扩散勒索病毒在局域网内大量扩散，对主机上安装的杀毒软件无法及时全部配置检测任务杀毒软件无法处理未知的勒索病毒变种勒索病毒变种繁多，杀毒软件依赖规则库，面对新型勒索病毒无法识别，只能任由其完成加密行为02Globelmposter家族变种.freeman、.panda.reserve、.true+.walker、.gotham.techno、.chak等传统杀毒软件在勒索病毒面前力不从心！方案1：