事件簡述國內多家醫院感染GlobeImposter勒索病毒事件，應急響應團隊接到某省多家醫院服務器遭受攻擊的反饋，經分析此次攻擊是發生在該省同一衛生專網的GlobeImposter勒索病毒事件，針對此專網的攻擊影響到該省50多家市縣醫院。

目前并沒有直接證據顯示本次攻擊行動是一起以全國醫院為目標的針對性攻擊行動。

事件詳情某省多家醫院服務器遭受攻擊，經分析此次攻擊是發生在該省同一衛生專網的GlobeImposter勒索病毒事件，針對此專網的攻擊影響到該省50多家市縣醫院。

該攻擊方式為定向爆破和投遞勒索，通過RDP遠程桌面攻擊服務器，利用ProcessHacker結束殺毒軟件進程，并利用其它黑客工具如掃描器、密碼抓取工具進行進一步攻擊，隨后執行勒索軟件，文件被加密，病毒感染后的主要特征包括windows服務器文件被加密、加密后綴 *.snake4444。

最近半年月度行業勒索病毒攻擊統計：最近半年按月統計衛生行業勒索病毒事件統計：從統計結果，可以看到，最近半年各行業均遭到不同程度的勒索病毒攻擊事件，此次醫院事件是因為該省在同一衛生專網內橫向傳染，其攻擊手段與2018年的事件類型一致，屬常規攻擊事件，不具有行業屬性。

緊急處置方案緊急處理1. 控制已發現被攻陷主機，采取措施防止蔓延：下線已發現招攻陷主機，掃描暴露到公網的主機和端口、緊急關停。

2. 摸清楚受害主機范圍，對中招主機進行處置：通過天眼全流量風險分析、天擎病毒掃描或漏洞掃描等方式，篩查出受害主機范圍，對中招主機下線然后查殺、打補丁未感染主機與加固1、在網絡邊界防火墻上全局關閉3389端口或只對特定IP開放。

2、開啟Windows防火墻，盡量關閉3389、445、139、135等不用的端口。

3、每臺服務器設置唯一口令，且復雜度要求采用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）。

4、安裝天擎最新版本（帶防爆破功能）和天擎服務器加固版本防止被黑。

5、如用戶處存在虛擬化環境，建議用戶安裝360虛擬化安全管理系統，進一步提升防惡意軟件、防暴力破解等安全防護能力。

安全建議安全沒有所謂的“銀彈”，需要重新審視和規劃。

建議感染單位馬上開展一次全面深度的安全體檢，主動發現系統、應用存在的安全隱患；對系統的安全進行重新規劃，如：增加主動防御手段，充分利用威脅情報；部署全流量監測設備，實時檢測分析，持續響應。