2019年11月2日，Globelmposter 3.0勒索病毒再度來襲！目前已經(jīng)有多家醫(yī)院被入侵，很多企業(yè)內(nèi)部資料被加密，且被加密的資料不可恢復(fù)，目前醫(yī)院業(yè)務(wù)癱瘓，正常營業(yè)困難。

什么是勒索病毒？

關(guān)于勒索病毒，最通俗易懂的理解就是，黑客通過攻擊你的系統(tǒng)，把你的重要文件用一把鎖鎖住，然后威脅你“一手交錢一手交貨”。由于這把鎖的鑰匙只有攻擊你的人才擁有，所以很多被攻擊的企業(yè)為了找回自己的數(shù)據(jù)資料不得不支付動(dòng)輒千萬的贖金。這種病毒很精明，一般很少入侵個(gè)人電腦，主要針對的是企業(yè)用戶，因?yàn)槠髽I(yè)有錢啊。

這次的病毒什么來頭？

從2017年5月勒索病毒全球大規(guī)模爆發(fā)以來，它不僅沒有完全消失，而且在不斷變異中，這次的突發(fā)性爆發(fā)是一種叫GlobeImposter的病毒變異，它是四大最活躍勒索病毒種類之一，短短一年時(shí)間已經(jīng)變異到了3.0版本。主要通過垃圾郵件、滲透掃描、遠(yuǎn)程桌面、惡意程序捆綁等方式植入。

GlobeImposter 3.0有什么不同？

從2017年以來，Globelmposter勒索病毒的安全威脅熱度一直居高不下。最新襲來的Globelmposter 3.0變種攻擊手法極其豐富，可以通過社會(huì)工程、RDP爆破、惡意程序捆綁等方式進(jìn)行傳播，被加密文件的后綴將以“*4444”結(jié)尾，比如：

Ox4444、China4444、Help4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444、Snake4444、Horse4444、Goat4444、Monkey4444、Rooster4444、Dog4444。

相關(guān)資料顯示，最新Globelmposter 3.0變種采用的是RSA+AES算法加密，目前暫無相應(yīng)的免費(fèi)解密工具可用。在被加密文件所在的目錄下，會(huì)生成一個(gè)名為“HOW_TO_BACK_FILES”的txt文件，用于顯示受害者的個(gè)人ID序列號以及攻擊者的聯(lián)系方式等。

中小企業(yè)成勒索重災(zāi)區(qū)

目前Globemposter 3.0變種勒索病毒仍在持續(xù)肆虐傳播，國內(nèi)已有多個(gè)區(qū)域、多個(gè)行業(yè)受該病毒影響，包括政府、醫(yī)療行業(yè)、教育行業(yè)以及企業(yè)單位等，呈現(xiàn)爆發(fā)趨勢。

許多企業(yè)由于在安全方面投入不足，缺乏專業(yè)的安全運(yùn)維理念，漏洞修補(bǔ)不及時(shí)，一直以來都是黑客攻擊的重災(zāi)區(qū)。而且由于文件被加密后嚴(yán)重影響到正常的服務(wù)或經(jīng)營，只能被迫支付贖金，這也進(jìn)一步助長了勒索病毒對Windows服務(wù)器和中小企業(yè)的攻擊，同時(shí)也開始出現(xiàn)一些針對特定目標(biāo)的精準(zhǔn)勒索。在這里要提醒各位企業(yè)用戶，一定要在內(nèi)網(wǎng)、服務(wù)器管理方面養(yǎng)成良好的安全習(xí)慣，提高風(fēng)險(xiǎn)防范意識，并正確使用安全軟件，避免被病毒攻擊帶來不可挽回的損失。

病毒防范建議

01、定期檢測系統(tǒng)漏洞并修復(fù)，及時(shí)更新Flash、Java、以及一系列Web服務(wù)程序，打齊安全補(bǔ)丁；

02、更改服務(wù)器口令：復(fù)雜度最好采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu)、口令位數(shù)足夠長（15位、兩種組合以上），并且定期更換登錄口令；

03、多臺機(jī)器不使用相同或相似的口令；

04、不要點(diǎn)擊陌生鏈接、來源不明的郵件附件，打開前使用安全掃描，確認(rèn)安全性，盡量從軟件管家或官網(wǎng)等可信渠道下載軟件；

05、對重要的數(shù)據(jù)、文件進(jìn)行實(shí)時(shí)或定期備份，而且是異地備份；

06、安全加固，對服務(wù)器和終端安裝專業(yè)的安全防護(hù)軟件；

07、共享文件夾設(shè)置訪問權(quán)限管理，盡量采用云協(xié)作或內(nèi)部搭建的wiki系統(tǒng)實(shí)現(xiàn)資料共享；

08、Globelmposter勒索病毒之前的變種會(huì)利用RDP(遠(yuǎn)程桌面協(xié)議），因此建議關(guān)閉相應(yīng)的RDP(遠(yuǎn)程桌面協(xié)議)3389端口；

09、盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的高危端口，如：445,135,139,3389等，禁用Office宏；

10、安裝專業(yè)的安全防護(hù)軟件，保持監(jiān)控開啟，并經(jīng)常更新病毒庫；

11、對于安全軟件報(bào)毒的程序，特別是輔助、破解類軟件不要主觀覺得是誤報(bào)，盡量上傳至VT等在線掃描引擎查下報(bào)毒情況；

12、對內(nèi)網(wǎng)安全域進(jìn)行合理劃分，各個(gè)安全域之間限制嚴(yán)格的 ACL，限制橫向移動(dòng)的范；

13、重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當(dāng)設(shè)置獨(dú)立的安全區(qū)域并做好區(qū)域邊界的安全防御，嚴(yán)格限制重要區(qū)域的訪問權(quán)限并關(guān)閉telnet、snmp等不必要、不安全的服務(wù)；

14、在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備，及時(shí)發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動(dòng)行為；

15、在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備，以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動(dòng)行為，并為追蹤溯源提供良好的基礎(chǔ)。