2026年2月17日,周一,凌晨3:12
李主任(化名)是某三甲医院的信息科主任。他被电话吵醒的时候,第一反应是「又是什么系统出bug了」。
电话那头,值班的IT工程师声音在发抖:「李主任,HIS系统全挂了。所有终端都是红屏,上面有一行英文。」
「什么英文?」
「Your files are encrypted. Pay 50 Bitcoin within 72 hours or your data will be permanently destroyed.」
李主任从床上跳了起来。
接下来72小时,医院变成了「孤岛」
凌晨3:30,李主任赶到医院。他看到的是他职业生涯中最恐怖的场景。
HIS(医院信息系统)——管理挂号、收费、医嘱、药房、病历的核心系统——全部瘫痪。LIS(检验系统)、PACS(影像系统)、EMR(电子病历系统)——无一幸免。
所有终端屏幕上都显示着同样的勒索信息。服务器的文件扩展名全变成了一个不认识的后缀。
「给我断开所有网络连接!」李主任喊道。「所有服务器,所有交换机,所有WiFi,全部断开!物理断开!」
太晚了。攻击者已经在内网横向移动了至少48小时,在加密之前,他们已经把医院的核心数据全部复制了一份。这意味着他们不仅加密了数据,还掌握了数据——包括患者病历、检验报告、手术记录。
早上7:00,医院开始出现混乱。挂不了号,交不了费,开不了药,查不了病历。医生和护士回到了「纸笔时代」——在病历本上手写医嘱,用计算器算药费,靠记忆判断患者病史。
上午10:00,最糟糕的情况发生了。ICU的护士发现,系统瘫痪后,他们无法从药房获取药物——因为医嘱系统断了,药房无法验证医嘱的合法性。按照医院规定,没有系统验证的医嘱,药剂师不能发药。
一个ICU患者急需抗生素。护士跑到药房,药房的人说「没有医嘱我不能发药」。护士跑到医生办公室,医生手写了一份医嘱。药剂师拿着手写医嘱,犹豫了——规定上写的是「系统医嘱」,不是「手写医嘱」。
这个病人等了4个小时才拿到药。
下午2:00,医院管理层召开了紧急会议。参会的有院长、副院长、信息科主任、法务顾问、以及一位从市里赶来的网络安全专家。
专家给出了两个选项:
选项一:尝试自行恢复数据。医院有备份,但备份服务器也被加密了——因为备份服务器和主服务器在同一网络内。这意味着恢复数据的希望非常渺茫。即使能恢复,时间可能是数周甚至数月。
选项二:支付赎金。50个比特币,按当时汇率约合200万美元。支付后,攻击者会提供解密密钥。
「如果我们付钱,他们真的会给我们解密吗?」院长问。
「大概率会,」专家说,「勒索软件团伙有『信用体系』。如果他们收了钱不给解密,以后就没人付赎金了。他们的商业模式建立在『付钱就能恢复』的信任上。」
「那我们付了钱,他们会不会把已经偷走的数据卖掉?」
「那是另一个问题。他们可能已经做了。」
为什么医院是勒索软件最「喜欢」的目标
2026年,医疗行业已经超过金融行业,成为全球勒索软件攻击的头号目标。根据CISA(美国网络安全与基础设施安全局)的数据,2025年针对医疗机构的勒索攻击同比增长了78%。
为什么是医院?
第一,医院「不能等」。一家银行被攻击,可以停业两天。一家工厂被攻击,可以停产一周。但一家医院被攻击,每停摆一分钟,就可能有人因此丧命。这意味着医院是最有可能支付赎金的受害者。
第二,医院的IT安全水平普遍偏低。医院的IT预算大都花在了「医疗设备」和「信息化建设」上,而不是「网络安全」上。很多医院的HIS系统还运行在Windows Server 2008上,因为「升级系统会导致医疗软件不兼容」。而Windows Server 2008早在2020年就停止安全更新了。
第三,医院的「攻击面」巨大。一家三甲医院可能有几百台联网的医疗设备——CT机、MRI、监护仪、输液泵——这些设备的安全防护几乎是零。很多医疗设备运行的是定制的嵌入式系统,安全补丁需要设备厂商提供,而厂商通常不提供。攻击者可以通过任何一个联网的医疗设备进入医院内网。
第四,医疗数据在黑市上极其值钱。一份完整的医疗记录,在黑市上可以卖到100-250美元,是信用卡信息价格的10倍。因为医疗数据可以用来做医疗欺诈、骗保、开处方药——这些犯罪比信用卡欺诈更难被发现和追溯。
结局:赎金付了,但问题没解决
72小时的最后期限到来之前,医院管理层做出了决定:支付赎金。
200万美元,通过一家专业的勒索软件谈判公司(是的,这个行业已经存在了)支付给了攻击者。谈判公司成功将赎金从50比特币砍到了30比特币(约120万美元),并获得了攻击者的「承诺」:解密密钥会在24小时内交付,被盗数据会被删除。
解密密钥确实在24小时内到了。数据恢复用了3天。医院在攻击发生一周后基本恢复了正常运营。
但「被盗数据会被删除」的承诺,没有人能验证。那些患者的病历、检验报告、手术记录,可能已经在暗网上被转卖了好几次。
李主任在事后写了一封邮件给院领导,标题是「关于我院网络安全建设的紧急建议」。邮件中列出了12项整改措施,包括:网络隔离、备份系统升级、医疗设备安全评估、员工安全意识培训。总预算:约800万元。
院领导批复了。但不是因为「领导重视网络安全」,而是因为「120万美元的赎金比800万的整改预算更贵」。
你的命可能取决于一个IT部门的预算
这不是危言耸听。
2026年,当你在医院里躺在病床上,身上连着监护仪,手上挂着输液泵——你的生命安全,不再只取决于医生和护士的专业水平,还取决于医院信息科的技术能力。
如果你的医院HIS系统还在用Windows Server 2008,如果你的医院备份服务器和主服务器在同一个网络里,如果你的医院从来没有做过渗透测试——那么你就是下一个可能因为IT系统瘫痪而等不到药的病人。
这不是一个「技术问题」,这是一个「安全投入」问题。而大多数医院的管理层,还没有把网络安全当作「医疗安全」的一部分。
最后说一句
下次你去医院看病,排队等叫号的时候,看看挂号窗口的电脑屏幕。如果上面的系统界面看起来像是20年前的产物——你所在的这家医院,可能刚刚好是勒索软件攻击者眼中的「完美目标」。
而你的病历,可能比你的银行存款更值钱。