近期国内连续出现两起医院遭遇勒索病毒的恶性事件,2月23日,湖北某医院系统被植入勒索病毒,医院系统瘫痪,黑客要求支付价值约30万元人民币的比特币才能恢复正常。24日,湖南省某医院服务器中招,所有数据文件被强行加密,系统瘫痪使得患者无法正常就医。专家提示,360安全卫士“远程登录保护”功能可有效预防针对企业服务器的弱口令爆破攻击。
勒索病毒兴风作浪 重点攻击企业服务器
据了解,湖南某医院多台服务器所感染的病毒名为GlobeImposter勒索病毒,感染该病毒后,导致数据库文件被加密,医院信息系统无法正常使用,取号、办卡、挂号、收费等业务受到病毒影响,只有支付比特币赎金才能恢复数据文件。
图1:网友发文称湖南某儿童医院系统瘫痪
360安全中心介绍,作为目前较为流行的勒索病毒,GlobeImposter加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式,采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件。
与wannacry勒索病毒无差别的显性攻击相比,针对网络服务器的精准攻击是隐性的。据360发布的勒索软件威胁形势分析报告显示,2017年,服务器入侵成为了勒索病毒的重要传播方式,约15%的勒索攻击是针对中小企业服务器发起的定向攻击。相比于个人电脑,服务器数据的珍贵程度和不可恢复性更强,因此被勒索者支付赎金的意愿也相对更强。
针对企业服务器的攻击以弱口令爆破服务器后远程登录的方式最为常见。黑客使用自动化攻击脚本,暴力破解服务器管理员账号密码,入侵后可秘密控制服务器,卸载服务器上的杀毒软件并植入勒索病毒。
360安全专家介绍到,黑客攻击企业服务器,一旦局域网内一台服务器中招,就会有更多的内网服务器被控制,导致系统大面积严重瘫痪,如近期这两起国内医院被勒索病毒控制的案例,造成难以弥补的危害。
360安全卫士推出“远程登录保护” 两大维度斩断病毒黑手
360安全卫士监测显示,当前约10%的用户服务器会遭遇弱口令扫描。针对这种弱口令爆破后远程登录的攻击方式,360安全卫士推出“远程登录保护”功能,斩断伸向服务器的病毒黑手,从陌生IP登录和多次登录口令错误两大方面,有效防御勒索病毒远程登录控制服务器。
图2:360针对服务器系统推出“远程登录保护”功能
服务器系统用户下载安装360安全卫士后,打开安全防护中心即可看到“远程登录保护”功能,开启该功能后,当360安全卫士检测到首次陌生IP自动登录及多次登录口令错误时,可自动阻止这种高风险的自动登录行为,避免类似GlobeImposter勒索病毒的弱口令爆破等攻击。
当前时代的网络安全与国家安全、社会安全、基础设施安全、信息安全息息相关,牵一发而动全身,企业服务器一旦被勒索病毒攻击,致使数据文件加密,所造成的后果不堪设想。对此,安全专家建议服务器系统用户及时下载安装360安全卫士,开启“远程登录保护”功能,预防此类勒索病毒入侵。