威努特“主动防御”+“数据备份恢复”全面对抗医疗行业勒索攻击

近日，罗马尼亚多家医院的医疗信息系统遭到Backmydata勒索软件攻击影响，医院HIS系统在遭到攻击、数据库被加密后离线。据罗马尼亚国家网络安全局（DNSC）称，攻击者首先在2月10日（星期六）对一家儿童医院的数据进行了加密，并在2月11日至2月12日期间对其他24家医院进行了攻击。已确认25家医院的资料已被攻击者加密，为防止损害进一步蔓延，在调查事件期间，使用该HIS系统的其他75间医疗机构也将其系统关闭，调查人员正在试图确定他们是否也受到影响。2月13日，DNSC宣布受影响的医院数量已增加到26家，攻击者已提出3.5比特币（约175000美元）的赎金要求。

本次攻击中使用的Backmydata属于Phobos勒索软件系统的变种，该勒索软件通常通过利用远程桌面（RDP）服务中的漏洞（包括弱口令）来感染系统。在受感染的系统上，Backmydata实现停用防火墙策略、删除影像副本以及加密和泄漏资料。在勒索信中，攻击者声称窃取了机密数据，如果不支付赎金，这些数据将被出售，并提供受害者用于通讯的电子邮件地址。

受本次勒索软件攻击，针对医院信息系统（HIS）的勒索软件攻击已扰乱至少100家医院的日常运营，受影响的医院都必须放弃使用电脑系统，回到纸笔时代，手写病历。

勒索软件，也称为勒索病毒，是一种恶意软件，其目的是通过加密用户的文件来阻止用户访问这些文件，并以此为条件向用户勒索钱财。勒索软件通常通过木马病毒的形式传播，它能够获取文件或系统的控制权限，并阻止用户控制这些文件或系统。

勒索软件通常要求受害者支付赎金，赎金的形式可能包括真实货币、比特币或其他虚拟货币。有时，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。即使用户支付了赎金，也可能会发现无法正常使用系统，无法还原被加密的文件。

医院对各类信息系统的依赖程度越来越高。以HIS系统为例，涉及到医院所属各部门，对人、物、财全方位管理，患者从挂号、看诊、缴费、手术、住院、出院等等各个环节，都需与其直接挂钩，一旦HIS信息系统出现问题，影响面巨大。鉴于此，有几个主要原因导致越来越多的医院成为勒索攻击的目标：

医院存储着大量患者的敏感健康信息，包括个人身体状况、病例记录和医疗历史等。这些信息对于患者本人和犯罪分子都具有极高的价值，因此医院成为了勒索攻击的理想目标。

医院信息系统若长时间无法恢复，可能会对医疗服务及患者生命健康产生不可逆的影响，医院只能被迫支付赎金，以获得解密数据的秘钥。

医院通常面临着复杂的IT基础设施，包括医疗设备、电子病历系统、内部网络等。这些系统中个别系统可能存在漏洞和安全弱点，容易被黑客入侵并实施勒索攻击。

在医疗机构内部，员工多为医疗卫生专业相关人员，对于信息系统及网络安全层面缺乏足够的信息安全意识，难以应对市场上有组织有预谋的勒索软件攻击。

综合来看，医院作为携带大量敏感数据、运营对信息系统稳定性要求高、人员网络安全意识相对薄弱等因素，使得医院成为勒索攻击的理想目标。

勒索软件攻击与其他网络病毒攻击重要的差别在于，系统一旦遭受勒索软件攻击，数据和操作系统通常难以解密，因此，防勒索不仅需要关注对勒索攻击进行精准检测与防御，还需要考虑应急的高效和高质量的数据恢复，数据恢复是遭受勒索攻击最关键也是最后的一道防线。

从技术的角度看，采用主动安全防御技术和数据备份恢复技术，能够为医疗行业提供最有效的防勒索方案。目前，威努特“主动防御”+“数据备份恢复”的组合方案，是医疗行业防勒索的典型代表方案。

通过在医院内PC终端、服务器上部署威努特主机防勒索系统，建立系统中应用与数据访问关系模型，阻断勒索软件对应用数据的篡改，保护系统中文档、数据库、音频、图像、视频、配置文件免遭勒索软件恶意加密。

威努特主机防勒索系统基于Cyber-Kill-Chain防护模型提供勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等功能，精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复，实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。

勒索软件具有磁盘遍历、文件创建、文件删除、重命名等典型恶意行为，通过监测勒索典型行为，结合文件熵技术，可准确识别各种新型或未知勒索病毒，针对已知勒索病毒，威努特主机防勒索系统内置勒索特征实时监测勒索病毒的执行，进而阻断或中止各类勒索进程保护系统安全。

基于勒索软件磁盘遍历和恶意加密的特征，威努特主机防勒索系统能够动态生成诱饵文件投放给勒索软件，勒索软件对诱饵文件的加密行为将被防勒索系统识别，进而精准识别勒索软件。

勒索病毒采用多种方式破坏系统资源，包括MBR加密、操作系统锁定、系统卷影备份删除等恶意行为；威努特主机防勒索系统通过预置保护规则，避免勒索病毒对MBR引导区、操作系统账号、系统卷影备份等资源的破坏。

勒索软件加密应用数据前，会优先中止各类应用进程，威努特主机防勒索系统会对常见应用进程进行保护，避免应用进程被非法中止导致的业务中断或系统崩溃；同时采用数字签名验证、远程线程创建禁用、DLL加载限制等方式，保护系统进程不被注入，防范勒索软件对应用数据的加密。

威努特主机防勒索系统通过建立系统中应用与数据间的访问关系模型，阻断勒索软件对应用数据非法的读写删改，保护系统中文档、数据库、音频、图像、视频、配置文件免遭勒索软件恶意加密。

勒索软件攻击后数据较难恢复，威努特主机防勒索系统提供应用数据动态备份，在任何可疑操作前完成数据自动备份，同时通过文件熵和方差检测技术，避免被加密的数据入库，勒索攻击发生后，可基于备份数据快速恢复系统业务。

一旦应用或HIS系统被勒索软件攻破，快速恢复核心数据，保持业务的正常运转，是医疗行业防勒索的关键。虽然主机防勒索系统具备文件备份与恢复机制，在疑似勒索软件加密操作前完成数据自动备份，并对备份数据严密保护，勒索攻击发生后，可基于备份数据快速恢复被加密的数据；但在一些特殊的情况下（如未安装主机防勒索系统的主机）被勒索软件攻击，数据备份与恢复产品将是保护数据的最后手段,也是防止勒索软件攻击的最后一道防线。

因此，部署威努特数据备份与恢复系统（DBR），通过本地备份、远程备份、定时备份等多种方式，确保医院重要数据的可靠性和完整性，有效避免因勒索软件攻击导致的数据丢失或损坏。DBR具备实时备份功能，确保数据的完整性和可追溯性，同时实现数据的实时同步和容灾，确保数据的可靠性和可用性。在数据恢复方面，DBR提供快速的数据恢复功能，支持多种恢复方式，包括基于时间点的恢复、基于备份的恢复等，以满足医院不同场景下的数据恢复需求。

（1）场景一：数据容灾

数据的安全及业务的连续性是一个应用系统最基本的保证，关键业务数据的丢失或业务的中断可能会给医院带来不可估量的损失。

通过建立实时或准实时的容灾数据库，在出现数据损失时不仅可以保证关键业务数据的及时恢复，也可以确保应用程序的及时接管，将故障对应用系统的影响降到最低。

（2）场景二：实时复制

威努特 CDP实时监控检查业务文件的变化量，并将发生变化的业务数据量实时复制到备端服务器对应位置保存。采用多线程复制技术优化数据实时复制性能。无需植入系统内核驱动，在保障实时复制性能的同时减少对业务系统的影响。备端端数据可随时进行读取查看、多副本快速挂载恢复。

（3）场景三：应用级容灾

通过实时复制技术，在备端服务器已拥有了一套与业务环境完全一致的备用系统，备用系统拥有与业务环境一样的操作系统、应用配置和业务数据，一旦业务系统发生故障（如：遭受勒索软件攻击）或其他原因导致业务系统中断运行，可将备用系统的IP改为业务系统IP，即可将整个业务接管到灾备系统上运行，接管时间即修改IP时间，非常迅速。

面对日益猖獗的勒索软件攻击，单一的安全防护机制已无法有效地防御，新型的防勒索机制建设迫在眉睫。以威努特“主动防御”+“数据备份恢复”为代表的典型防勒索攻击方案，全面对抗医疗行业勒索攻击。通过主机防勒索技术、数据备份与恢复技术，为医疗行业客户建立坚固的勒索攻击安全防线。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121