为何医院屡屡成为勒索病毒攻击的靶子？

春节刚过，年轻的住院部医生张楠第一天上班，她突然发现，自己的电脑竟然出现了淘宝广告弹窗，真是新年新气象，按理来说，它只能连内网，上不了外网的。没容她多想，忽然走廊里传来药剂科同事的“哀嚎”，他的电脑系统瘫痪，录入其中的药价等数据不见了。几乎同一时间，对面诊室的主治医生袁朗眼睁睁的看着电脑中的病例瞬间消失……

10分钟后，医院紧急通知，系统可能受到了新型勒索病毒的攻击，各部门启用应急预案。

不到半个小时，医院的住院部大厅内就人满为患，陷入混乱，一些想挂急诊号的家属开始变得焦躁。

而这，并不是个例，第二天相隔不远的另一家儿童医院也遭遇了类似的黑客攻击，致使许多病患无法及时就诊。

其实，雷锋网发现，自去年WannaCry爆发以来，这些以前只在科幻大片中出现的场景，正越来越多的出现在现实生活中。比如，英国国立医疗服务（NHS）系统就曾成为重灾区，旗下248个医疗机构中共就曾有48个受到攻击，许多医院正常的治疗活动也受到影响，部分病人被迫转院。

之前更多针对个人的勒索病毒，近来频频瞄向医院等机构，比如这次的 GlobeImposter ，这也成为勒索病毒发展的“新趋势”。

为何救死扶伤的医院正越来越多的成为黑客攻击的靶子？这些本就配备安全团队的机构，为何系统屡屡被攻破？血的教训下，又该如何防范？

对机构进行勒索，成本低，来钱快

来自腾讯企业安全的技术专家饶帅，曾对多家医院有过防护和应急处理经验，他告诉雷锋网，相比于个人，黑客对机构进行勒索，更容易来钱。

之所以说是成本低，是因为对于一般的攻击来说，备好攻击“原料”并不难，有时甚至都不需要自己来开发，在网上就可找到已经发布的各类工具组合成攻击包。当然特殊的APT攻击也有，但比较少。

与其他机构相比，医院的信息系统也比较有特殊性，如其中的医学记录、数据、病患资料以及预约信息等，都属于需要紧急使用的信息，被加密后，会造成比较大的影响，所以势必会想尽办法以最快速度恢复数据，比如，马上交赎金。

这并非是向恶势力低头，而是，还有什么比生命更重要？

自从去年体会过勒索病毒对众多资料撕票的“血泪史”，不少人已经成为了及时升级、不随便点钓鱼网址的“机智”网民，各路杀软也会经常秀一把轻松碾压勒索病毒的肌肉。但对于服务器来说，可就没那么简单了，因为需要防护的点实在太多，不像个人PC 下载一个靠谱的杀软就万事大吉。

俗话说，苍蝇不叮无缝的蛋，而服务器，正好是那个“缝”比较多的蛋。

对于服务器来说，可访问外网的终端，外接u盘，对外的web服务，内部设备直接的访问控制，关键服务器防渗透、爆破，各种系统软件、第三方软件漏洞等都可能让攻击者趁虚而入。

在饶帅的实际工作中，一般医院对于勒索病毒之类的紧急事件都会有应急预案，目前他所知道的还没有因此而造成生命危险的案例，不过在前文中所提到的NHS所遭遇到的勒索病毒，有一些病人被迫进行了转院。

在他看来，情况也许并没有到达某些媒体所渲染的“非常严重”的境地，就目前的勒索而言，黑客往往是批量去尝试找机会，广撒网，可能攻击了100家，其实可能只有1家的被攻击成功，而我们看到的都是被攻击成功的。

勒索分这两步

对于医院的电脑，很多人应该有这样的感受，医生无非也就是开个药，查询一下你的历史病例，看起来是个内网的操作流程，医生天天忙得团团转，又不会去发邮件逛淘宝点钓鱼网址，为啥会中招？

雷锋网发现，对黑客来说，把大象放进冰箱需要两步。

第一步，打入对方内部。

第二步，对其成员进行大规模策反。

具体来说，第一步需要突破边界，从外网进入内网，在这个过程中往往是利用服务器的系统漏洞，或者是暴力破解远程桌面服务密码，此时可成功打入敌方内部。而第二步则是横向扩散，利用内网互相传播，进一步扩散感染面。

在整个破解过程中，黑客往往会先在系统上安装远程控制木马，以此远程控制中毒机器执行任意操作，比如下发勒索者木马，甚至可以卸载安全软件。接着使用的手段就花样就比较多了，比如感染共享目录，抓取windows密码后尝试登录其它机器（不同服务器使用同样帐号密码会中招），远程桌面密码暴力破解，浏览器密码查看尝试等。

在饶帅和团队所接触到的被攻破的案例中，一般打补丁完成度比较高，但关闭文件共享、端口服务等就会有很多医院做不到，而不使用通用服务器帐号密码，密码定时更换，能做到这些的就更少了。

换句话说，你被勒索并不是对方有多高明，有时是自己漏出的破绽太多。

血泪教训后，如何防御？

血泪教训过后，到底该怎么应对“丧尽天良”的黑客？

腾讯企业安全团队给出了以下几点建议。

1.目前在省级及其以上级别的医院，都会配备安全人员或者有相关的预算（外包安全服务），可以定期做安全测试，相当于人每年要体检，知道问题在哪里后，根据情况配备安全产品或者自己来部署安全防护。

2.采用高强度密码，千万不要使用简单的弱密码、弱密码、弱密码……（恩，有人会说这是废话，但就是说上100遍，也还是有人会用，这点真的很重要）服务器密码使用高强度且无规律的密码，并且强制要求每台服务器使用不同的密码管理。

3.设置内部访问控制，对没有互联需求的服务器、工作站，内部访问需设置相应控制，避免可连外网的服务器被攻击后，被作为跳板进一步攻击企业服务器。

4.部署安全专业的云服务，在终端、服务器不熟专业安全的防护软件，服务器可考虑不熟腾讯云等具备专业安全防护能力的云服务。

除了对于安全人员的要求，普通的医生和后勤人员也要有安全意识。

1.不要让电脑裸奔，个人电脑安装靠谱的杀软。

2.保护好自己的文档，勒索病毒最想加密的就是你的重要文档，或者备份，或者加密。

3. 关闭不必要的端口，默认情况下，Windows 有很多端口是开放的，不法黑客可通过这些端口连上你的电脑。尽量关闭 445、135、139 等不必要开启的端口，对 3389 端口则可以进行白名单配置，只允许白名单内的ip 连接登录。

4.关闭不必要的文件共享，文件共享也存在隐患，如有需要，请使用 ACL 和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

5.养成良好的上网习惯，切记不要随意点击来源不明的邮件附件。