湖北某医院遭撒旦勒索病毒袭击，腾讯御点解密成功，重要数据已恢复

腾讯智慧安全团队对受损服务器进行详细的安全检查，发现该医院的业务系统虽然此前已经安装某杀毒软件，并采取加固措施，封闭部分高危端口，但仍有服务器未能及时安装漏洞补丁，致使该医院业务系统被黑客攻击后安装撒旦（Satan）勒索病毒。

在发现服务器数据被勒索病毒加密后，该院工作人员尝试过多种解密类工具均无法恢复数据，随即联系到腾讯智慧安全团队，希望能够协助处理问题并加固医院的安全体系。

腾讯智慧安全团队分析发现，加密该医院服务器的撒旦（Satan）勒索病毒为最新变种，幸运的是，该勒索病毒变种采用的是对称加密算法，而非大多数勒索病毒使用的非对称加密。

分析人员发现加密密钥被直接写入病毒程序和被加密文件中，可以利用病毒的这一“疏漏”获得密钥进行解密。只需要运行腾讯御点或腾讯电脑管家中的文档守护者，使用“文档解密”功能即可解密完成。

腾讯智慧安全团队已帮助医院工作人员使用“文档守护者－文档解密”功能，成功解密被加密的数据文件。目前，该医院被加密的重要数据已完全恢复正常。

为帮助该院杜绝勒索病毒在局域网内传播，腾讯智慧安全团队和医院信息管理部门联合分析，确定最可能的攻击源为永恒之蓝漏洞攻击。遂使用腾讯御点终端漏洞补丁修复功能，对医院内网存在漏洞的系统安装补丁。

撒旦（Satan）勒索病毒自2017年初出现以来，腾讯御见威胁情报中心已密切监控其动向，并多次发布安全预警。近期撒旦勒索病毒变种再次活跃，在6月底--7月上旬出现明显上升。

撒旦（Satan）勒索病毒的早期版本主要瞄准服务器加密数据库文件，最新版本已升级到针对所有文档文件进行加密。此外，撒旦（Satan）勒索病毒的攻击传播方式也在持续进化，其扩散能力和影响范围不断增强。

从单独利用“永恒之蓝”漏洞传播到利用多种系统漏洞、常用服务器组件高危漏洞攻击传播。比如JBoss反序列化漏洞（CVE-2017-12149）、JBoss默认配置漏洞(CVE-2010-0738)、Put任意上传文件漏洞、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞（CVE-2017-10271）等先后被撒旦（Satan）勒索病毒所采用。

腾讯智慧安全针对勒索病毒已构成整体防御体系。腾讯智慧安全御点终端安全管理系统，将百亿量级云查杀病毒库、引擎库以及腾讯TAV杀毒引擎、系统修复引擎应用到医疗企业内部，可有效防御医疗企业内网终端的病毒木马攻击。

同时，御点还具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助医疗机构管理者全面了解、管理企业内网安全状况、保护医疗机构网络信息安全。

腾讯御点终端安全管理系统除了能够有针对性地查杀病毒攻击外，还与腾讯御界高级威胁检测系统、腾讯御见安全态势感知平台和新加入的腾讯御知网络空间风险雷达等产品，在终端安全、边界安全、网站监测、统一监控方面为医疗机构建立一套集风险监测、分析、预警、响应和可视化为一体的安全体系，提供行业解决方案，全方位立体化保障企业用户的网络安全。

附IOCs：

C2:

http://101.99.84.136/data/token.php?status=ST&code=

http://101.99.84.136/data/token.php?status=BK&code=

http://101.99.84.136/data/token.php?status=DB&code=

URL:

http://101.99.84.136/cab/mmkt32.exe

http://101.99.84.136/cab/mmkt64.exe

http://101.99.84.136/cab/no3.exe

http://101.99.84.136/cab/no4.exe

http://101.99.84.136/cab/sts.exe

http://101.99.84.136/cab/st.exe

http://101.99.84.136/cab/setup.exe

MD5:

1fedee59eb95756282cff2493da93689

c290cd24892905fbcf3cb39929de19a5

58d30af5992e33b351293b23ce97724f

c2e413cf553d253578bf1b5674cfbdc2

c0150256a864e5c634380a53290c7649

ecf5cabc81047b46977a4df9d8d68797