新一轮有组织的比特币勒索来袭，我们该怎么办

根据网络报道：

数据管理部主任胡外光介绍，2月24日上午7时04分，湖南省儿童医院信息系统遭到黑客攻击，导致系统大规模瘫痪，导致医院诊疗流程不正常。事发后，医院立即启动信息系统故障多部门联动应急预案，在对系统进行紧急抢修的同时服务器中了比特币勒索病毒，引导患者到各个诊所就医。

此病毒疑似为外网入侵最新变种

2月24日上午，国内顶级杀毒公司和专家赶到现场，怀疑是被国外黑客通过外网攻击，植入勒索软件服务器中了比特币勒索病毒，对省儿童医院HIS服务器文件进行加密医院，导致医院业务系统处于不可用状态。针对此次极其恶性的病毒攻击，医院表示将继续做好善后工作，处理好遗留问题，加强医院机房信息安全设备保护和应急备份策略，完善网络和信息系统的应急保障能力，维持正常的医疗救治。顺序。

（湖南省儿童医院应急处理相关人员解释了网络新闻中部分不实内容）

此次湖南省儿童医院勒索病毒从各方信息判断为真实。从应急响应来看，还是比较快的，没有造成大范围的不良影响，业务已经及时恢复。

大年初七接到一个客户（也是医疗行业）的电话，说我单位另一个部门的系统有勒索病毒，现在数据已加密，系统无法使用，请问我是否可以帮忙。只好等了一圈相关专家咨询，最后得到的答案是，只要中了病毒，数据还没有备份，很难完全恢复数据。

即使你想花钱恢复数据，也很难恢复所有数据。如果我支付赎金，我只好等着问我的一个白人朋友，他说只有大约 10% 的密码会被找回，即使给钱，大部分也不会被找回。我不得不等待并说这些数据非常重要。我的朋友直截了当地回答：有比他们的数据更重要的东西。想来想去，这些加密数据肯定是比较重要的，不然用户就不用想办法恢复了。这么重要的数据我们没有保护好，安全措施不到位，数据备份也没有做好。这种病毒是2017年3月报道的，5月份爆发过一次，但当时没有采取相应的预防措施，造成现在这样的尴尬。

据网上报道：该病毒是GlobeImposter 2.0病毒家族的后缀格式之一。其他格式包括：

p>

{原文件名}后缀.GOTHAM;*.YAYA;*.CHAK;*.GRANNY;*.SKUNK;*.TRUE;*.SEXY;*.MAKGR;*.BIG1;*.LIN;* . BIIT;*.reserve;*.BUNNY;*.FREEMAN;

勒索软件通知信息文件为：how_to_back_files.html

该病毒主要针对企业，通过RDP远程桌面入侵病毒发布，病毒对本地磁盘和共享文件夹上的所有文件进行加密。

建议采取以下预防措施：

1、服务器尽量不要打开外网端口。

2、禁止系统自带远程协助服务，使用其他远程管理软件，如TeamViewer或瑞友天翼。

3、更改默认管理员管理账户，禁用GUEST访客账户。

4、更改复杂密码，大小写字母、数字和符号的组合，不少于10个字符。

5、外网服务器应该没有权限访问和修改内网电脑文件夹。

6、设置帐户锁定策略以在输入错误密码 5 次后禁用登录。

7、安装杀毒软件，设置密码退出或更改，防止进入并关闭杀毒软件。

8、定期异地备份数据，如果是云服务器，一定要抓拍。

中毒后立即做以下工作：

1、断开网络以防止感染其他计算机文件。

2、结束病毒进程，安装杀毒软件，扫描杀毒，防止二次中毒。 （杀毒不会破坏加密文件）

3、备份加密数据。防止意外损坏无法解密的加密数据。

4、检查服务器局域网中的共享文件夹文件是否加密，并备份。

想起最近这些医疗行业的中毒案例，再加上更多未报告的案例，我不得不等待猜测这不是一个案例，很可能是一些海外或国内的黑客有组织，专门进行了各种攻击对医疗行业的用户进行了攻击，试图加密数据然后勒索数据。所以，只好等待提醒大家（不仅是医疗行业的用户）尽快进行安全检查，排除安全隐患，加强安全防护措施，做好数据备份，做好做好担保等合规工作。另外，如果有人可以恢复勒索病毒数据，也可以联系我们。