1、结语勒索病毒处置解决方案勒索病毒介绍医疗行业网络安全形势医疗行业勒索病毒事件Network security status医疗行业的网络安全威胁01CONTENTS防火墙核心交换机挂号系统工作站护士、医生工作站药品管理工作站MRICTCRCRHIS子数据中心路由器交换机交换机门诊管理系统住院管理系统药品管理系统医院综合系统辅助诊疗系统图像获取系统图像控制系统图像存储系统图像显示系统PACS子数据中心病例管理系统患者管理系统数据分析系统EMR子数据中心数据采集系统数据录入系统分析处理系统分析报告系统LIS子数据中心数据中心层网络层终端及设备层网络层的流量安全威胁：恶意流量无法完全识别和阻止 AP

2、T攻击层出不穷，传统安全设备的能力有一定的滞后性终端及设备层的网络安全威胁：系统漏洞未及时修复 恶意软件泛滥 弱口令普遍存在 外设随意接入 防范薄弱成为入侵的入口数据中心层的网络安全威胁：数据库缺少审计和防护，容易引发攻击和数据泄露。数据中心之间隔离不到位，对于单点威胁容易被横向扩散。服务器防护不力，容易成为“肉鸡”。123内蒙古新疆甘肃四川辽宁陕西河南湖南山西北京河北山东江苏浙江上海广东湖北重庆江西福建吉林黑龙江西藏安徽金融,4%教育,7%制造业,7%政府机构,7%医疗,25%对外贸易,11%工业企业,17%互联网,16%其他,6%地域分布行业分布全国医疗系统勒索病毒形势依然严峻！勒索病毒攻

3、击最多的操作系统主要包括Windows 7Windows 10Windows XPWindows 2003Windows server系列以十二生肖作为后缀，“狗”生肖尚未出现GlobeImposter勒索病毒家族：2017年出现，2018年8月份演进为V3.0版本。整体特点如下:加密方法：采用RSA和AES两种加密算法的结合。-无法破解！主要的传播方式:扫描渗透+远程桌面登录爆破。-粗暴实用！解密办法：暂无公开的破解方法。V3.0版本特点如下：1、将加密文件的后缀改成 动物名称+4444的样子。2、当加密完成后，除了清除远程桌面登录信息，还添加了自删除的功能，让追溯分析难度更高。为什么勒索病

4、毒总是攻击医院？安全薄弱、社会影响大！勒索病毒系列勒索病毒原理与危害勒索病毒最新趋势Extortion virus02CONTENTSWannaCry家族乌克兰首都机场、国家银行、俄罗斯石油公司、中国八十多个城市遭到过攻击。能够加密113种常用类型文件。北京市委网信办、市公安局、市经信委等单位联合发布预警。Petya家族席卷全球150多个国家，能够加密178种常用类型文件Bad Rabbit家族GlobeImposter家族病毒会加密本地磁盘与共享文件夹的所有文件，导致系统、数据库文件被加密破坏，几乎无法解密首个以达世币（DASH）作为赎金的勒索病毒，持续更新对抗查杀，被加密文件后缀通常被追加

5、CRAB.GDCB.KRAB 等后缀。GandCrab家族攻击者使用弱口令暴力破解受害者机器，很多公司都是同一个密码，就会导致大量机器中毒。Crysis家族Locky家族是2016年流行的勒索软件之一，和Cerber 的传播方式类似，主要采用垃圾邮件和EK勒索赎金0.5-1个比特币。Locky家族粗略计算20个家族*50个变种=1000种已知的勒索病毒漏洞邮件程序木马网页挂马存储设备带入office组件的病毒感染人工投毒病毒进入内网入侵内网扩散永恒之蓝双脉冲星永恒之冠永恒浪漫永恒王者永恒协作等等扩散病毒运行通过脚本文件进行Http请求通过脚本文件下载文件读取远程服务器文件收集计算机信息进程遍历

6、文件调用加密算法运行加密进程加密中了勒索病毒，多久之后开始加密？01传统杀毒软件单点能力无法应对勒索的分布式扩散勒索病毒在局域网内大量扩散，对主机上安装的杀毒软件无法及时全部配置检测任务杀毒软件无法处理未知的勒索病毒变种勒索病毒变种繁多，杀毒软件依赖规则库，面对新型勒索病毒无法识别，只能任由其完成加密行为02Globelmposter家族变种.freeman、.panda.reserve、.true+.walker、.gotham.techno、.chak等传统杀毒软件在勒索病毒面前力不从心！方案1：安恒EDR一剑封喉方案2：预警防御一体化确认中招勒索Emergency disposal03C

7、ONTENTS方案3：安全建设平台化情形1：中招未加密情形2：中招且加密1.部署EDR2.开启防御引擎3.切断扩散路径6.阻止加密行为4.定位病毒源5.查杀已知病毒7.巡检与加固诱饵引擎，独家技术！装了安恒EDR，承诺不被加密，支持保险赔付！应急七步法集防御、检测、运维功能于一体的主机安全及管理系统安 恒 主 机 卫 士（E D R）是 一 款 集 成 了 丰 富 的 系 统 防 护 与 加 固、网 络 防 护 与 加 固 等 功能 的 主 机 安 全 产 品。安 恒 主 机 卫 士（E D R）通 过 自 主 研 发 的 文 件 诱 饵 引 擎，有 着 业界 领 先 的 勒 索 专 防 专

8、杀 能 力；通 过 内 核 级 东 西 向 流 量 隔 离 技 术，实 现 网 络 隔 离 与 防护；拥 有 补 丁 修 复、外 设 管 控、文 件 审 计、违 规 外 联 检 测 与 阻 断 等 主 机 安 全 能 力。应用场景：PC安全管理虚拟机安全管理勒索病毒查杀处理服务器安全运维挖矿病毒查杀处理APT预警平台流量解析引擎流量解析引擎勒索病毒预警云端威胁情报业务流量EDR防御查杀微隔离技术病毒查杀引擎加密阻止引擎恶意文件与流量阻止恶意流量清理恶意程序确保数据安全预警违规外联预警勒索病毒预警疑似勒索病毒最佳搭档！困境与对策厂商的社会责任Company introduction04CONTE

9、NTS1、事情多！2、事情杂！3、安全设备多！4、采购审批难！5、上了安全设备还不一定能抵御所有的风险！01 医院的视角1、难以整体掌握辖区内医院的安全状况！2、自身有可能成为病毒感染的源头！3、各家医院防御能力参差不齐！4、产品选型五花八门！5、单点问题容易演变为全局问题！02 卫健委的视角1、平台化思维！2、避免监管部门的成为攻击跳板！3、制定防御体系的基础方案！4、牵头集中采购！5、全面治理与大数据分析！04 建议1、极简操作！2、极简部署！3、联动防御！4、应急处置神器！5、服务+产品+保险相结合！03 厂商的责任1、难以整体掌握辖区内医院的安全状况！2、自身有可能成为病毒感染的源头！3、各家医院防御能力参差不齐！4、产品选型五花八门！5、单点问题容易演变为全局问题！02 卫健委的视角1、极简操作！2、极简部署！3、联动防御！4、应急处置神器！5、服务+产品+保险相结合！03 厂商的责任1、平台化思维！2、避免监管部门的成为攻击跳板！3、制定防御体系的基础方案！4、牵头集中采购！5、全面治理与大数据分析！04 建议1、事情多！2、事情杂！3、安全设备多！4、采购审批难！5、上了安全设备还不一定能抵御所有的风险！01 医院的视角社会责任与商业价值的统一服务与产品齐头并进与客户共同成长THANK YOU谢谢观看