近日，深信服安全團隊發現Globelmposter勒索病毒3.0變種再次席卷全國各地醫院，受影響的系統，數據庫文件被加密破壞，病毒將加密后的文件后綴改以*4444結尾，并要求用戶通過郵件溝通贖金跟解密密鑰等。目前GlobeImposter 3.0已在多個省份形成規模爆發趨勢，深信服再次發布緊急預警，建議全國各醫院做好安全防護，警惕Globelmposter 勒索，各醫院可聯系當地深信服技術人員或市場人員，快速獲取病毒應急響應支撐。

• 病毒名稱：Globelmposter3.0 變種
• 病毒性質：勒索病毒
• 影響范圍：多省份出現醫院大規模爆發，有全國爆發趨勢
• 危害等級：高危 

病毒說明

 

Globelmposter  3.0勒索變種的安全威脅熱度一直居高不下。早在2018年8月份，深信服已經追蹤到該變種并率先在國內發布預警。Globelmposter  3.0勒索病毒攻擊，攻擊手法極其豐富，可以通過社會工程，RDP爆破，惡意程序捆綁等方式進行傳播，其加密的后綴名以*4444結尾，文件被加密后會被加上以下后綴：

Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444。

由于Globelmposter 3.0采用RSA2048算法加密，目前該勒索樣本加密的文件暫無解密工具，文件被加密后會被加上*4444系列后綴。在被加密的目錄下會生成一個名為”HOW_TO_BACK_FILES”的txt文件，顯示受害者的個人ID序列號以及黑客的聯系方式等。

解決方案

 

1、隔離感染主機

迅速隔離中毒主機，關閉所有網絡連接，禁用網卡，可直接拔網線斷網。

2、切斷傳播途徑

a.Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議），如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火墻，或者終端檢測響應平臺（EDR）的微隔離功能對3389等端口進行封堵，防止擴散。

b.在衛計委專網級聯邊界位置通過防火墻等設備建立訪問控制策略，封堵入站的3389、445等端口，防止其他單位的橫向、縱向攻擊。

3、安全加固

a.如果要使用SMB服務器盡量設置較為復雜的密碼，建議密碼設置為字符串+特殊字符+數字，并且不要對公網開放，建議使用vpn。

b.及時給電腦打補丁，修復漏洞。

c.深信服防火墻、終端檢測響應平臺（EDR）均有防爆破功能，防火墻開啟此功能并啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防御。

 

4、病毒檢測查殺

a.深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺。對于中毒主機，建議重裝系統，防止后門殘留。

64位系統下載鏈接：https://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接：https://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

b.深信服EDR產品及防火墻、安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品用戶可進行病毒檢測。

 

5、數據備份

對重要的數據文件定期進行非本地備份。