某省医疗保障局信息中心,负责全省医保基金的征收、支付、监管等核心业务,服务参保人员5200万、定点医疗机构1.2万家。核心业务系统基于DELL PowerEdge R750服务器构建,采用EMC Unity XT混闪存储(配置10块40TB SSD硬盘+20块16TB HDD硬盘,总容量720TB),数据库采用Oracle 19c集群,存储医保参保信息、医保报销记录、基金收支数据等核心数据,其中医保基金监管数据直接支撑基金违规使用核查,年核查基金金额超300亿元。
2025年11月18日凌晨2时,省医保局信息中心监控平台突发“文件加密告警”,运维人员登录核心服务器后发现,所有后缀为.dbf、.log、.dat的医保数据文件均被修改为.enc后缀,桌面生成提示文档,内容显示“所有医保数据已通过AES-256加密,支付8个比特币(约192万元)可获取解密密钥,72小时后未支付将永久删除密钥”。
故障迅速引发业务中断:定点医疗机构的医保报销系统无法提交报销数据,参保人员在医院就医后无法实时结算,出现大量患者聚集医院现象;医保基金监管系统中断,无法开展基金违规使用核查,存在基金流失风险;医保参保信息查询、缴费等线上服务全面瘫痪,12393医保服务热线1小时内接到咨询投诉电话超3000通。
安全团队紧急介入,通过样本分析确认,该为新型Conti变种,通过运维人员的钓鱼邮件植入,利用服务器的弱密码漏洞获取管理员权限,加密范围覆盖DELL服务器本地磁盘及EMC混闪存储。医保局备份系统显示,最新的全量备份为11月15日生成,若依赖备份恢复,将丢失3天内的12万笔医保报销记录、5万条参保人员信息变更记录,需组织大量人力手工补录,至少耗时1周,将严重影响医保服务正常开展。
11月18日上午8时,省医保局紧急与金海境科技数据恢复中心签订紧急服务协议,要求36小时内完成核心医保数据解密,保障医保服务正常运行。数据恢复工程师检测发现,加密过程中未彻底覆盖原始数据扇区,部分医保数据文件残留完整数据片段,具备技术恢复条件。
针对“Conti加密+医保数据丢失+业务中断”的核心问题,团队制定“逆向-密钥挖掘-数据解密-系统加固”的四阶段方案,核心是通过代码逆向分析及底层数据提取,实现医保数据完整恢复,避免支付赎金。
1. 样本分析与密钥获取
团队将样本放入隔离的沙箱环境,使用专业反汇编工具进行逆向分析,发现该Conti变种存在两个关键缺陷:一是加密过程中会在磁盘空闲扇区留存原始文件备份;二是密钥传输过程中会在内存中留下临时密钥片段。基于这两个缺陷,工程师采取双重策略获取解密密钥:通过内存取证工具提取受感染服务器的内存镜像,从中捕获临时密钥片段;利用加密算法的漏洞,结合团队积累的Conti密钥库,通过算法优化生成完整解密密钥。经过10小时技术攻关,成功获取完整的AES-256解密密钥。
2. 核心医保数据解密与修复
为避免解密过程中数据二次损坏,首先对受感染的DELL服务器磁盘及EMC混闪存储进行完整镜像备份,生成720TB的镜像文件集,所有解密操作均基于镜像进行。使用自主研发的解密工具,结合获取的密钥对加密文件进行批量解密:针对Oracle数据库文件(.dbf),解密后使用Oracle专业工具修复加密过程中损坏的表结构及索引,确保数据库可正常挂载;针对医保报销记录文件(.dat),通过文件头特征识别从磁盘空闲扇区提取原始数据片段,与解密文件拼接修复,确保记录完整;对解密后的数据进行完整性校验,通过MD5哈希值比对,确保恢复的数据与原始数据一致。
针对3天的增量数据缺失,通过定点医疗机构的本地报销系统日志提取报销数据,结合医保缴费系统的临时缓存补全参保人员信息变更记录,数据完整度达100%。
3. 系统加固与业务恢复
数据解密完成后,对所有DELL服务器进行全面查杀,修复钓鱼邮件植入的恶意程序,部署EDR终端检测与响应系统,实时监控异常文件操作;更换所有服务器的管理员密码,设置“大小写字母+数字+特殊符号”的强密码策略,配置防火墙规则限制外部网络访问数据库端口。
将解密后的核心医保数据回迁至EMC混闪存储,重新配置Oracle数据库集群参数及医保业务系统的连接参数。11月19日晚10时,所有医保业务系统全面恢复运行,定点医疗机构医保报销、参保人员实时结算等服务正常开展,较约定时间提前4小时完成任务。
本次省级医保基金监管系统数据恢复案例,为医疗保障行业防护提供重要借鉴:
1. 防护需构建多层拦截体系:部署“邮件过滤+终端杀毒+防火墙+WAF”的四重防护体系,重点拦截钓鱼邮件及恶意程序;定期更新库及系统补丁,关闭服务器不必要的端口及服务,消除安全漏洞。
2. 数据备份需遵循离线隔离原则:核心医保数据采用“3-2-1”备份原则,建立3份副本,存储于2种不同介质(混闪存储+磁带库),其中1份采用离线存储,彻底隔绝加密范围;定期开展备份恢复测试,确保备份数据可用。
3. 应急响应需多方协同:建立“医保部门+安全厂商+数据恢复机构”的三方联动应急机制,明确故障处置流程及时限;制定医保数据故障应急预案,包含数据恢复、业务降级、患者疏导等配套措施,降低故障对参保人员的影响。
4. 人员安全需强化培训:每月开展运维人员信息安全培训,重点讲解钓鱼邮件识别、强密码设置、远程管理工具安全使用等知识;建立“可疑操作上报机制”,避免人为操作漏洞导致植入。