新闻链接：http://www.2cto.com/News/201603/494877.html
新闻时间：2016-03-22
新闻正文： 在过去一年中,勒索软件攻击备受瞩目，已经上了好几次头条新闻。包括洛杉矶的一家医院的数据遭到恶意加密，支付了赎金才把这些数据找回来。近日，在加拿大渥太华的一家医院也被勒索软件所攻击。

        我们发现加拿大另外一家医院的网站已经失控，网站上正在传播勒索软件给它的浏览者：医院的工作人员、患者和家属是最可能访问该网站的人群。坐落于安大略省的诺福克综合医院，曾在2009年成为麦克马斯特大学的健康科学学院的教学设施之一。

        该门户网站是由Joomla CMS维护运营的，根据他们服务器上的清单文件目前运行的版本是2.5.6（而最新版本是3.4.8）。已经过时的版本存在几个漏洞，这便可以解释为什么该网站会被黑客攻击。

        我们蜜罐检测了该医院的网页，并得到了通过钓鱼攻击注入的勒索软件套件。仔细查看被捕获的数据包发现，恶意代码使该攻击工具直接注入到了该网站的源代码之中。

        类似于许多网站被攻击的过程，这种注入是有条件的，对一个特定的IP地址只出现一次。例如，经常访问该页面的网站管理员将只会看到它的一个简洁版本，而经验不足的管理人员会进行对漏洞和恶意软件有利的操作。

\

        有一种特殊的勒索软件叫 TeslaCrypt，它会勒索500美元来恢复已加密的个人文件。一个星期后若不支付，该付款金额还会加倍。

        不安全的网络平台依然盛行
        现在我们仍然可以看到大量网站运行过时的服务器端软件，即基于WordPress和Joomla的网站。随着恶意广告，黑客攻击网站是新兴恶意软件所针对的最大目标。

        不更新网站的常见原因包括缺乏资源，担心破坏现有的应用程序，或干脆忘记跟上安全补丁的步伐。 事实上，任何版本过久的或安全级别不高的网站都是等着被自动扫描工具扫描，被恶意垃圾邮件敲诈，被网络钓鱼或被恶意重定向，这里还只是仅举几例。

        我们联系了诺福克医院，最终能够与他们的IT人员谈话。我们分享了自己的信息（截图和捕获的网络数据包），并告诉他们我们实验室收集了攻击勒索的流量。我们被告知，他们正在努力升级网站的Joomla版本并与他们的托管服务提供商联系。

        加拿大的勒索软件
        这次特殊的攻击促使我们总结一下勒索软件在加拿大的情况。自今年一月起，Malwarebytes反恶意软件已经检测到勒索攻击影响了超过一万加拿大人，其中很多人已经积极主动地使用我们的Anti-Exploit 或 Anti-Ransomware Beta产品来阻止攻击。

        根据我们的分析，以下是最受勒索软件影响的加拿大城市前10名：
        多伦多
        渥太华
        蒙特利尔
        马卡姆
        卡尔加里
        温哥华
        伦敦
        埃德蒙顿
        温尼伯
        圣凯瑟琳

        当涉及到勒索事件，安全点总比事后补救好。别忘了备份您的文件，每周至少一次，如果可能的话尽量使用外部媒介进行备份。通过使用适当的安全措施和多层防御防止感染恶意软件。不幸的是，就像不安全的网站的存在一样，更多在勒索软件面前不堪一击的是个人电脑。由于很少有人备份，很多用户会因为迫切地想要找回数据而觉得支付赎金是唯一可行的办法。可悲的是，这些因素综合起来解释了为什么勒索软件如此普遍，为什么新的恶意工具和类似的模仿软件不断涌现。网上罪犯们都将勒索软件视为一件利器。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法