提到勒索病毒，大家都感觉十分的头疼，加密文件不说还会破坏文件数据，在中了勒索病毒之后也没有很好的解决办法。在大多数的人的意识里，黑客不都是那种在虚拟世界里“劫富济贫、行侠仗义”的形象吗？不是说黑客也应该是有职业操守的吗？说好的不攻击医院呢？事实证明：不存在的，关键是谁和你说好的呀？

从2017年WannaCry爆发时就完全可以看出，这群网络上的亡命徒只追求利益，完全没有什么所谓的“职业道德”、“职业操守”：他们当时大规模入侵全球范围内的学校、公共系统、医院，肆无忌惮地敲诈勒索，造成病人无法就诊、学校资料破坏、公共设施无法正常运转，整个世界都陷入了勒索病毒带来的黑色恐怖中……在此期间，英国国立医疗服务（NHS）成为重灾区，248个医疗机构中共有48个受到攻击，许多医院正常的治疗活动受到影响。

2018年的春节过后，国内某医院住院医师发现，原本只能连接到内部网的电脑，现在居然可以连接外部网络，突然在门厅里药店的同事哭了，他的电脑系统瘫痪了，输入的价格数据不见了，几乎在同一时间，诊室主任医师眼看着电脑里的病例消失在一瞬间…

10分钟后，医院紧急通知，系统可能遭到新型勒索病毒的袭击，各部门启用应急预案。不到半小时，医院的住院大厅人满为患。

2019年1月份开始，国内几家医院陆续感染GlobeImposter的升级变种勒索病毒V3.0版本，几家医院深受不同程度影响。

为什么医院会成为勒索病毒重灾区呢？

有人用“如幼儿抱赤金行于闹市”这句话来形容在黑客眼里的医院，医院中的资料非常完备，涉及许多患者的隐私信息，医学记录、数据。这些数据就像是幼儿手中的“金子”无不在吸引着那些“想要干一番大事业”的不法分子们。

因为医院的数据信息资料十分完备让他成为攻击者眼中的“香饽饽”，还有一个条件，让医院成为勒索病毒的重灾区，那就是医院在信息安全方面防护极低。

虽然医院设有信息科室，但是这些科室却得不到重视，主要工作变成维修电脑，让人心生无奈。有很多的医院网络安全策略不当。很多单位购买过不少的安全设备，但是这些设备却如同摆件一样放置一旁。比如，很多单位都部署过防火墙，但里面设置的几乎是透明的原始模式，有的单位购买安装杀毒软件，但并没有在服务器上安装，也没有按时为软件打补丁。虽然有不少单位都部署了安全设备，但密码却是类似12345678这样弱到爆的口令，设备虽然齐全但是对于安全意识却缺乏的可怜，只有在遭到网络攻击后医院才会逐渐的重视起这些网络安全问题。

勒索病毒分这两步

对于医院的电脑，很多人应该有这样的感受，医生无非也就是开个药，查询一下你的历史病例，看起来是个内网的操作流程，医生天天忙得团团转，又不会去发邮件逛淘宝点钓鱼网址，为啥会中招？

对黑客来说，把大象放进冰箱需要两步。

第一步，打入对方内部。

第二步，对其成员进行大规模策反。

具体来说，第一步需要突破边界，从外网进入内网，在这个过程中往往是利用服务器的系统漏洞，或者是暴力破解远程桌面服务密码，此时可成功打入敌方内部。而第二步则是横向扩散，利用内网互相传播，进一步扩散感染面。

在整个破解过程中，黑客往往会先在系统上安装远程控制木马，以此远程控制中毒机器执行任意操作，比如下发勒索者木马，甚至可以卸载安全软件。接着使用的手段就花样就比较多了，比如感染共享目录，抓取windows密码后尝试登录其它机器（不同服务器使用同样帐号密码会中招），远程桌面密码暴力破解，浏览器密码查看尝试等。

在一些被攻破的案例中，一般打补丁完成度比较高，但关闭文件共享、端口服务等就会有很多医院做不到，而不使用通用服务器帐号密码，密码定时更换，能做到这些的就更少了。

换句话说，你被勒索并不是对方有多高明，有时是自己漏出的破绽太多。

血泪教训后，如何防御？

血泪教训过后，到底该怎么应对“丧尽天良”的黑客？

网络安全团队给出了以下几点建议：

1.目前在省级及其以上级别的医院，都会配备安全人员或者有相关的预算（外包安全服务），可以定期做安全测试，相当于人每年要体检，知道问题在哪里后，根据情况配备安全产品或者自己来部署安全防护。

2.采用高强度密码，千万不要使用简单的弱密码、弱密码、弱密码……（恩，有人会说这是废话，但就是说上100遍，也还是有人会用，这点真的很重要）服务器密码使用高强度且无规律的密码，并且强制要求每台服务器使用不同的密码管理。

3.设置内部访问控制，对没有互联需求的服务器、工作站，内部访问需设置相应控制，避免可连外网的服务器被攻击后，被作为跳板进一步攻击企业服务器。

4.尽量部署安全专业的服务器系统，如采用Linux和Unix系统平台，其严格的安全机制可以有效地阻止各种Windows病毒的感染，尤其是严重危害数据安全的勒索病毒。

除了对于安全人员的要求，普通的医生和后勤人员也要有安全意识：

1.不要让电脑裸奔，个人电脑安装靠谱的杀软。

2.保护好自己的文档，勒索病毒最想加密的就是你的重要文档，或者备份，或者加密。

3. 关闭不必要的端口，默认情况下，Windows 有很多端口是开放的，不法黑客可通过这些端口连上你的电脑。尽量关闭 445、135、139 等不必要开启的端口，对 3389 端口则可以进行白名单配置，只允许白名单内的ip 连接登录。

4.关闭不必要的文件共享，文件共享也存在隐患，如有需要，请使用 ACL 和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

5.养成良好的上网习惯，切记不要随意点击来源不明的邮件附件。