原标题：近期医疗相关企业需要特别注意防范勒索病毒攻击

一、概述

春节期间，某药品经营企业遭遇勒索病毒攻击，企业多台服务器被加密，影响业务开展。该药品经营企业为保证业务进行，被迫缴纳酬金，结果仅部分文件恢复。

腾讯安全企业应急服务中心对该事件进行调查，发现该企业中的勒索病毒为GarrantyDecrypt家族的新变种Heronpiston Ransomware。GarrantyDecrypt勒索病毒家族最早在2018年下半年被发现，该团伙每隔几个月就会有一次新变种更新发布，先后出现有bigbosshors、nostro、metan、tater等变种。由于采用了RSA+salsa20算法加密，因此一旦被该家族勒索病毒加密便无法通过第三方解密。

目前形式下，医药相关企业已社会宝贵的财富，腾讯安全专家建议相关单位，强化网络安全措施，避免使用弱密码，防止遭遇勒索病毒攻击。

Heronpiston病毒样本分析

1、根据系统语言，会屏蔽部分地区：

哈萨克斯坦、白俄罗斯、塔吉克斯坦、阿塞拜疆、吉尔吉斯斯坦、俄罗斯、亚美尼亚等国不进行勒索活动

2、关闭卷影服务；

3、设置忽略异常关机修复、关闭断电修复、关闭防火墙；

4、加密前，关闭文档、数据库等进程，解除对数据文件的占用，以便进行加密。

关闭的进程列表：

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, sqlbrowser.exe, sqlservr.exe, TNSLSNR.EXE, mysqld.exe, MsDtsSrvr.exe, sqlceip.exe, msmdsrv.exe, mpdwsvc.exe, fdlauncher.exe, Launchpad.exe, chrome.exe, oracle.exe, devenv.exe, PerfWatson2.exe, ServiceHub.Host.Node.x86.exe, Node.exe, Microsoft.VisualStudio.Web.Host.exe, Lightshot.exe, netbeans64.exe, spnsrvnt.exe, sntlsrtsrvr.exe, w3wp.exe, TeamViewer_Service.exe, TeamViewer.exe, SecomSDK.exe, schedul2.exe, schedhlp.exe, adm_tray.exe, EXCEL.EXE, MSACCESS.EXE, OUTLOOK.EXE, POWERPNT.EXE,AnyDesk.exe, microsoft.SqlServer.IntegrationServices.MasterServiceHost.exe, Microsoft.SqlServer.IntegrationServices.WorkerAgentServiceHost.exe

5、会遍历网络资源，进而对工作组内共享的数据文件进行加密

6、在本机加密时，会除Windows目录外的所有文件

7、使用随机生成的密钥通过salsa20加密算法对数据文件进行加密

8、文件后缀改为.heronpiston

9、留下勒索提示信息

GarrantyDecrypt家族主要通过钓鱼邮件、RDP爆破等方式传播。该药品经营企业也是被一个来自境外的IP通过RDP爆破方式入侵。一旦被RDP入侵后，及时电脑上部署有安全防御措施，也可能会被黑客手动退出，导致防御能力失效。

目前，正值全民对抗疫情的关键时期，医疗相关行业极为珍贵，需要特别重视网络安全问题。一旦企业被勒索病毒攻击成功，可能会导致业务生产遭遇重大损失。

安全建议

腾讯安全专家建议相关企业采取以下措施强化系统安全，避免遭遇勒索病毒攻击：

企业用户

针对RDP爆破方式入侵的重点防御方案：

1.针对该勒索病毒主要通过RDP（远程桌面服务）爆破的特点，建议企业立即修改远程桌面服务使用的弱口令，使用复杂口令可大大减少服务器被黑客爆破成功的机会。

管理员应对远程桌面服务使用的IP地址进行必要限制，或修改默认的3389端口为自定义，配置防火墙策略，阻止攻击者IP连接。

2.服务器使用腾讯御点终端安全管理系统或腾讯电脑管家拦截病毒，并启用文档守护者功能备份重要文档。

3.企业用户可以使用腾讯T-sec高级威胁检测系统(腾讯御界)，御界系统可以检测到内网爆破攻击事件增多，及时提醒网管注意。

4.针对RDP爆破的缓解措施：通过修改计算机组策略，限制登录次数，默认为不受限，我们可以将其限制为3-10以内。

操作步骤：

运行，gpedit.msc，打开组策略编辑器，在计算机设置->安全设置->帐户策略->帐户锁定策略，将帐户锁定的阈值，设定的稍小一些。

对于使用Windows 活动目录管理的企业，可以在Windows域中更新策略，强制所有终端统一调整该策略。

通用的安全措施，防止入侵者爆破成功之后在内网横向扩散病毒：

1.建议企业内网关闭不必要的网络端口，降低黑客在内网攻击传播的成功率。如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装腾讯T-sec终端安全管理系统（腾讯御点，https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户

1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码。

2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。

IOCs

MD5:

a4b0a2f9dda5466070c3ec176fc5a390

c3000fccb742a8139a4b46215fc70735

d5f70e76c59ff3eaa4db1f5a23954665

70d426dc8498a2ecae79462df6d8ce79

42c217e7b611e821be82f8c5d4e2977b