自2017年发生轰动全球的NSA黑客武器库泄漏事件以来,“永恒之蓝”漏洞攻击事件层出不穷。近期，腾讯智慧安全团队接到湖北某医院求助，称其内部多台服务器遭遇勒索病毒攻击，所有数据类文件都被加密，经检测发现，入侵该医院服务器的是撒旦(Satan)勒索病毒的最新变种，可能利用“永恒之蓝”漏洞袭击企业服务器数据库。

(图：“文档守护者-文档解密”功能)

  腾讯智慧安全团队发现，该医院的业务系统虽然此前已封闭部分高危端口，但仍有服务器未能及时安装漏洞补丁，致使该医院业务系统被黑客攻击后植入撒旦(Satan)勒索病毒，初步推断本次攻击源可能为“永恒之蓝”漏洞进行攻击。

  同时，加密该医院服务器的撒旦(Satan)勒索病毒为最新变种，不同于以往使用的非对称加密方式，本次勒索病毒变种采用的是对称加密算法。基于此，分析人员发现加密密钥被直接写入病毒程序和被加密文件中，利用病毒的这一“疏漏”可获得密钥进行解密。

(图：腾讯“御点”病毒查杀)

  自2017年初撒旦(Satan)勒索病毒出现以来，腾讯智慧安全御见威胁情报中心已密切监控其动向，并多次发布安全预警。根据腾讯智慧安全御见威胁情报中心数据显示，近期撒旦勒索病毒变种再次活跃，在6月底至7月上旬出现明显上升趋势。

(图：近期勒索病毒数据监测统计)

  据悉，撒旦(Satan)勒索病毒的早期版本主要瞄准服务器加密数据库文件，本次版本已升级到针对所有文档文件进行加密。此外，撒旦(Satan)勒索病毒的攻击传播方式也在持续进化，从单独利用“永恒之蓝”漏洞传播到利用多种系统漏洞、常用服务器组件高危漏洞攻击传播，其扩散能力和影响范围不断增强。

  为帮助该院杜绝勒索病毒在局域网内传播，腾讯智慧安全协助该医院通过运行腾讯御点“文档守护者-文档解密”功能，成功解密被加密的数据文件。目前，该医院被加密的重要数据已完全恢复正常。