（更）台灣｜衛福部單位疑似遭勒索病毒攻擊，要求支付比特幣

近日，衛生福利部隸屬的醫療單位疑似遭到勒索病毒攻擊，共有 18 家醫療院所受害，內部重要資料遭到加密，若不如期支付比特幣贖金，資料將會銷毀，重建的資金將耗費幾十億新台幣。

本文目錄

（9/3 12:50 更新：衛福部發佈最新公告，針對勒索病毒的攻擊進行說明。文中針對衛福部公告更新事件進度，包括受害醫療院所數量，衛福部後續處理等。）

據自由時報和華視報導，台灣衛生福利部隸屬的醫療單位，近日疑似遭到曾肆虐全球的勒索病毒Wanna Cry 攻擊，共有 18 家醫療院所的電腦主機內的資料遭到加密。資安人員正搶救資料，以防資料銷毀。

這些被挾持的電腦主機，裡面有許多重要資料，包括病患資料、員工名冊、帳冊、醫療影響、斷層掃描病歷等等。駭客威脅若不在指定時間內支付比特幣贖金，將銷毀醫院的重要資料。而這些資料一旦毀損，未來醫療院所的資料重建將曠日費時，耗損鉅資，且會損害病患就診權益。

衛福部資訊處處長龐一鳴坦言，北、中各有一家醫療院所的系統遭到勒索病毒攻擊，分別為台北、彰化醫院，但龐一鳴表示，勒索病毒只攻擊到索引頁面，並無資料庫外洩。

經資訊處清查後發現，目前大約有 18 家醫療院所遭到攻擊，受害單位包含衛福部、大型醫院、診所的電腦主機，而資安人員正在積極搶救當中，如果不付贖金，資料會被全數銷毀，重建資金將耗費幾十億新台幣。

龐一鳴指出最早從 8 月 29 日開始傳出受害情形，而他也指出僅應用系統重要檔案被加密而不能運作，因此重要醫療資料不受影響，系統在一兩小時內就能夠復原，醫院營運一切正常，不會影響民眾就醫看病。

然而，科技媒體 iThome 指出，衛福部隸屬的醫療院所感染的是名為「Globeimposter 3.0」的勒索病毒，衛生福利部打造跨醫院資安情資分享與分析的 H-ISAC，已經發布警訊，通知各醫療院所單位注意電子病歷系統（EEC Gateway），嚴防病毒擴散。

GlobeImposter 是最活躍勒索病毒種類之一，短短一年期間已經變異到了 3.0 版本。主要通過垃圾郵件、滲透掃描、遠程桌面、惡意程序捆綁等方式植入。

病毒將加密後的文件重命名為.Ox4444擴展名，並要求用戶通過郵件溝通贖金跟解密密鑰等。由於其加密算法採用無法反向的 RSA+ AES 算法，受害者在沒有私鑰的情況下無法恢復文件，所以要解密唯有聯繫駭客，支付贖金，取得密碼。而目前類似的病毒還有，Cerber、CrySIS、GrandCrab。

衛福部於昨（2）日發布公告，至 9 月 1 日的清查結過，共有 22 家醫院受到勒索病毒的影響。其中 7 間醫院已加入衛福部的資安分享中心 H-ISAC，也依照 H-ISAC 規定完成通報。衛福部指出，受病毒影響之醫院皆已陸續清除病毒，並復原工作主機，未影響醫療業務運作，亦未發現個資外洩情事。

經初步查證，某些醫院主機被駭客當成跳板，經由 VPN 網路攻擊。衛福部已向國家資通安全彙報網站進行通報，並交由調查局協助犯罪行為調查。

不過，公告仍未說明勒索病毒的種類。

傳統的勒索病毒軟體大部分都是透過點擊惡意連結、郵件附檔、Adobe Flash Player 等較為被動的方式散播，但是 WannaCry 和 GlobeImposter 除了以上的方法之外，還會利用 Windows 的漏洞進行類似蠕蟲的主動式傳播行為。

以 WannaCry 為例，只要在區域網路中有一台主機中勒索病毒，病毒就會掃描區域網路中其他主機是否開啟通訊埠，然後利用先前遭到外洩的美國 NSA 攻擊程式 EternalBlue 進行弱點滲透攻擊。

而 Globelmposter 則是會攻擊開啟遠程桌面服務的服務器，利用密碼抓取工具獲取管理員密碼後對內網服務器發起掃描並人工投放勒索病毒，導致文件被加密。

過去幾年，WannaCry 一共攻擊了 30 萬台電腦，造成全球約 80 億美元的損失；此外，WannaCry 也造成了台灣有史以來損失金額最高的資安事件。2018 年 8 月，台積電產線就遭到 WannaCry 的變種病毒攻擊，損失多達 26 億新台幣。

雖然微軟早就提供更新檔案，填補系統中的漏洞，但有許多公司行號仍在使用舊版系統，且未更新。因此世界各地不斷地傳出 Wanna Cry 的攻擊。

台灣更是被列為全球第三大風險感染國，根據專門檢驗全球資料庫及伺服器的搜尋系統 Shodan 指出，目前台灣共有 41,008 台的高危險設施，僅落後美國與俄羅斯。

– 受 WannaCry 威脅最嚴重國家排名，圖片來源 Shodan –

《BlockTempo動區動趨》LINE官方號開通囉～立即加入獲得第一手區塊鏈、加密貨幣新聞報導！

動區動趨