Globelmposter勒索病毒3.0变种再次席卷全国各地医院，受影响的系统，数据库文件被加密破坏，病毒将加密后的文件后缀改以*4444结尾，并要求用户通过邮件沟通赎金跟解密密钥等。目前GlobeImposter 3.0已在多个省份形成规模爆发趋势，建议各医院做好安全防护，警惕Globelmposter 勒索，各医院可联系当地技术人员或市场人员，快速获取病毒应急响应支撑。

1. 勒索软件的特点

在已知的已发现勒索软件中，勒索软件具有一些关键的特点，使他们与其他恶意软件区分开来。当然随着新的勒索软件家族和新的勒索软件变种的不断出现，勒索软件的新功能也会不断增加。具体情况如下：

  （1）有难以破解的加密；

  （2）有能力加密各种文件，从文档到图片、视频、音频文件和电脑上的其他东西；

  （3）可以干扰您的文件名，所以很难知道哪些数据受到影响，这是用来混淆和强迫受害者支付赎金的社会工程技巧之一；

  （4）感染文件后，会在文件添加不同的扩展名，有时表示特定类型的勒索软件；

  （5）感染后，会显示一个图像或一个消息，以通知计算机用户其数据已被加密，必须支付一定金额才能进行解密；

  （6）要求用比特币支付，因为这种加密货币网络安全研究人员或执法机构很难跟踪；

  （7）通常，支付赎金有时间限制，超过最后期限意味着赎金将增加，也可能会伴随着数据被销毁和永远丢失；

  （8）使用一组复杂的逃避技术，躲避传统的杀毒软件的检测；

  （9）经常将受感染的PC加入到僵尸网络中，因此网络犯罪分子可以扩展其基础设施并为未来的攻击提供燃料；

  （10）可以传播到本地网络中连接的其他主机，造成进一步的损坏；

  （11）经常会导致数据泄露，勒索软件可以从受影响的计算机中提取数据，并将其发送到网络罪犯控制的服务器；

  （12）有时包括地理位置定位，意味着赎金注释被翻译成受害者的语言，以增加支付赎金的机会。

2. 勒索软件传播方式

勒索软件可以通过任何可用的手段进行传播。网络犯罪分子通常只寻最简单的传播方法。以下是网络犯罪分子用来传播勒索软件最常用的方法：

  （1）包含恶意链接或附件的垃圾邮件；

  （2）易受攻击软件中的安全漏洞；

  （3）互联网流量重定向到恶意网站；

  （4）在其网页中注入恶意代码的合法网站；

  （5）驱动下载；

  （6）恶意广告活动；

  （7）短信（适用于针对移动设备的勒索软件）；

  （8）僵尸网络；

  （9）自我传播（从一台感染的计算机传播到另一台）；

  （10）勒索软件即服务的联盟计划（通过帮助进一步传播勒索软件获得一部分利润）

  3. 勒索病毒的预防

   （1）规范上网行为，不打开陌生邮件、不下载陌生文件、不浏览来历不明的网站；下载需要的软件、文档、电影等时通过正规网站进行下载。

   （2）在所有电脑及服务器等上面安装防病毒软件，关闭网内的文件共享功能，尽量减少共享打印机的使用，并开启系统防火墙功能，用系统防火墙关闭TCP及UDP135、UDP137、UDP138、TCP139、TCP及UDP445端口，降低病毒大范围传播的风险；对内网服务器及电脑，由于物理隔离关系，病毒基本都是通过如U盘、光盘、移动硬盘等移动外设进入内网传播的，应提高内网安全等级，安装终端管控系统，限制光盘、U盘、移动硬盘等外设的接入，仅允许受信外设通过专用的前置机，进行安全扫描及过滤后实现数据的导入，保护内网的绝对安全。

   （3）建议对重要文件及数据库等进行定期备份，防止因独有问题导致数据无法恢复，有条件的可将操作系统一起备份，方便问题时恢复系统。

   （4）建议用户每隔一段时间修补终端电脑及服务器上的漏洞，将操作系统及应用程序版本更新至最新，并保证杀毒软件及网内安全设备的特征库时刻最新，以增强终端机服务器的安全性，降低被勒索病毒攻击的风险。

   （5）结合最近遇到的几个GandCrab的感染案例，我们发现，被感染服务器大多为中间件服务器，且有目标性。所以请大家在关注给操作系统打补丁的同时，也要注意应用程序尤其是中间件的补丁也一定要打上。

  （6）建议用户在网内部署专业防火墙设备，对TCP及UDP135、UDP137、UDP138、TCP139、TCP及UDP445端口等容易被攻击利用的端口进行封锁，加强安全策略，禁止非必要的访问通过。

  （7）建议用户在网内部署防病毒网关及入侵防御设备，通过防病毒网关对互联网病毒的传播进行拦截，通过入侵防御设备对包括永恒之蓝在内的漏洞攻击及常见的应用层攻击等进行防护，增强网络的安全性。

4.如何知道我已感染病毒

    在介绍勒索病毒的时候，都会提到一个重要的特征，就是桌面会被替换为勒索图片，比如：

    并不是所有的勒索病毒感染后都会有桌面的变化，要判断是不是被勒索，其实有几个典型的特征：

  （1）文件被加密，文件后缀被改变。目前我只遇到一个过被加密后文件名不变的例子，绝大多数的勒索病毒被加密后文件名后缀会改变。

  （2）在被加密的文件夹中，会有一个没有被加密的文件，一般是TXT文件，有时候是HTML文件。打开这个文件，就可以看到勒索病毒的信息。如果文件名格式是：XXXXXXX-DECRYPT.txt（XXXXXXX表示一个6-9位的随机字符），那么这个勒索病毒就是GANDCRAB5.0.4。 

  （3）Globelmposter  3.0勒索病毒攻击手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名以*4444结尾，文件被加密后会被加上以下后缀：

Ox4444、China4444、Help4444、Rat4444 

Tiger4444 、Rabbit4444 、Dragon4444 

Snake4444 、Horse4444、Goat4444 

Monkey4444 、Rooster4444、Dog4444

    由于Globelmposter 3.0采用RSA2048算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上*4444系列后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。

 

5.已感染病毒终端或服务器的处理

  （1）隔离感染主机

   迅速隔离中毒主机，关闭所有网络连接，禁用网卡，可直接拔网线断网。

  （2）切断传播途径

   a.Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散。

   b.在卫计委专网级联边界位置通过防火墙等设备建立访问控制策略，封堵入站的3389、445等端口，防止其他单位的横向、纵向攻击。

  （3）安全加固

   a.如果要使用SMB服务器尽量设置较为复杂的密码，建议密码设置为字符串+特殊字符+数字，并且不要对公网开放，建议使用vpn。

   b.及时给电脑打补丁，修复漏洞。

  （4）病毒检测查杀

   64位系统下载链接： 

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

   32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

————  e n d ————