7月2日，某国外医疗单位HIS系统中多个关键服务器和操作终端的业务数据被加密，疑似被威胁病毒攻击。 HIS系统是为三院整体运行提供全面的人工管理和各项服务的重要信息系统。 一旦截瘫，将给临床造成巨大的经济损失和不良的社会影响。

图1 HIS系统服务器文件加密

了解客户情况后，万惠第一时间组建应急专家组，第一时间赶赴客户现场，开展病毒危机应急响应工作。

现场风暴处置

应急专家组在现场与客户深入沟通后，梳理出应急预案。 整体流程和结果如下：

1、现场情况回顾：快速回顾现场网络结构。 客户网络部署了防火墙、IPS、终端防病毒等防护措施，无法抵御勒索病毒的攻击！ 通过插入U盘进行测试，发现中毒服务器还在持续加密。 推测该病毒程序并没有自我删除，很有可能会继续在外网传播。

2、病毒样本分析：通过人工识别判断，​​从中毒服务器中提取病毒样本。 经研究分析，该病毒为Eking，属于Phobos威胁软件家族的变种病毒。 Phobos 是一种攻击性很强的威胁软件。 HTA威胁信息开启后（标志着Phobos加密结束），会继续在后台运行，继续加密目标范围内的新文件。 具体病毒行为分析如下：

1）发布文件

病毒执行后会在系统临时目录下创建3582-490目录和Fast.exe文件：

图2 Eking释放临时文件示意图

2）文件遍历

遍历c盘（遍历系统所有c盘、网络共享盘等）：

图3 Eking穿越盘c示意图

遍历目录（遍历重要系统目录以外的目录，先遍历Users目录）：

图4 Eking遍历目录示意图

3）文件加密

图5 Eking加密文件示意图

4）病毒驻留

释放病毒父文件svchost.com文件：

图6 Eking发布的病毒母体文件示意图

注册表更改exe关联路径（exe程序打开时病毒文件会再次执行）：

图7 易金注册中心更改exe关联路径示意图

3、攻防对抗测试：恐吓病毒样本与Winnut反恐吓系统进行真实的攻防对抗。 恐吓病毒样本运行后，反恐吓系统行为检测模块检测到恶意程序正在调用高危命令，病毒诱捕模块诱杀。主机防威胁系统立即发出警报，阻断和隔离威胁病毒，有效阻止威胁病毒的运行。

4、防扩散行动：为防止病毒继续在外网垂直传播，感染其他服务器和运行工作站，应急专家团队协助客户在重要服务器上部署Vennut主机防恐吓系统，工作站，并启动相关保护措施。

最终仅用4小时就完成了从采样、分析、防护等一系列应急响应任务，确保了现场业务的正常运行，没有继续受到网络攻击的威胁。威胁病毒。 技能和能力得到了用户的一致好评。

为什么防火墙、IPS、终端杀毒等防护措施不起作用？

目前市场上活跃的威胁病毒种类繁多，但各家的威胁病毒也在不断更新变异。 极高的变异频率使得传统基于病毒特征库的杀毒软件在应对海量新型威胁病毒时更加有效。 ，无济于事。

但恐吓攻击手段多种多样，包括文件加密、数据泄露、系统加密、锁屏等，后果严重。 EDR产品响应阻断机制生效的前提是威胁病毒已经形成异常行为。 一旦延误应对封锁的行动，就为时已晚，将造成无法挽回的严重损失。

据悉服务器攻击软件，恐吓攻击已经具备了APT攻击的特征。 恐吓攻击一般利用漏洞、钓鱼邮件、移动媒体、供应链、远程桌面等方式进行传播。 防火墙和 IDS 等传统安全解决方案不再有效。 对恐慌病毒传播的反应十分猖獗。

总而言之，传统产品和解决方案可以很好地抵御恐吓攻击。

Venut反恐吓系统防御思路及疗效展示

Winnut反恐吓系统基于恐吓病毒诱捕检测+关键业务保护和核心数据保护+数据备份技术，实现对恐吓病毒的防范。 本次现场预防的具体功效如下：

1、前置防御行为检测模块与病毒诱捕模块双模块联动

图8 行为检测和病毒陷阱模块防护效果

反威胁病毒预防的关键在于对早期威胁病毒的检测和阻断。 反恐系统不再以传统特征库的形式检测病毒，而是根据病毒的行为特征进行有效判断。 它可以监控操作系统底层的函数调用。 系统配备了威胁软件的行为规则。 基于威胁软件C盘遍历和恶意加密等高危指令调用动作，触发行为监控机制，创新动态生成诱饵文件抓取病毒。 技术，威胁软件对诱饵文件的加密行为会被反威胁系统识别，从而准确判断恶意程序为威胁病毒，并及时停止威胁进程，对其进行阻断和隔离。

2. 动态测量/拦截病毒查杀模块与关键业务和核心数据保护同步运行

在本次应急响应中服务器攻击软件，有效阻断对关键业务和核心数据的删除和加密，是保护终端关键业务和核心数据不被威胁病毒终止和加密的关键。

图 9 关键业务和核心数据保护

图 10 核心数据加密失败警告

关键业务和核心数据保护原理： Winnut反恐吓系统通过在系统中建立应用程序与数据之间的访问关系模型，阻断恐吓软件非法终止应用程序和非法读取、写入、删除、加密数据。

在本次应急响应过程中，对客户的重要医疗业务系统进行了专项安全防护，防止由此造成的业务中断或系统崩溃。 加密、被盗、泄露等

3、事后恢复——文件安全技术支持，快速完成加密文件的恢复

极端情况下，病毒成功加密终端文件，Winnut反恐系统根据按需触发的文件备份机制，快速完成加密文件的恢复。 基于应用数据动态备份策略，在任何可疑操作之前完成手动数据备份，严格保护备份数据。 威胁攻击发生后，可以根据备份数据快速恢复系统服务。

图11 文件保险箱保障业务数据快速恢复

结论

通过这场风波，再次证明了被动防御技术无法有效阻止威胁病毒的攻击。 只有基于主动防御理念专门针对威胁病毒进行防御的终端安全产品，才能更好地解决威胁病毒攻击的困境。