近日，深信服安全團(tuán)隊(duì)發(fā)現(xiàn)Globelmposter勒索病毒已經(jīng)更新到3.0變種，受影響的系統(tǒng)，數(shù)據(jù)庫文件被加密破壞，病毒將加密后的文件重命名為.Ox4444擴(kuò)展名，并要求用戶通過郵件溝通贖金跟解密密鑰等。目前國內(nèi)多家大型醫(yī)院中招，呈現(xiàn)爆發(fā)趨勢。深信服緊急預(yù)警，提醒廣大用戶做好安全防護(hù)，警惕Globelmposter 勒索。

病毒名稱：Globelmposter3.0 變種

病毒性質(zhì)：勒索病毒

影響范圍：已有多家醫(yī)院中招，呈現(xiàn)爆發(fā)趨勢

危害等級：高危

病毒分析

病毒描述

Globelmposter 勒索病毒今年的安全威脅熱度一直居高不下。早在今年2月全國各大醫(yī)院已經(jīng)爆發(fā)過Globelmposter2.0勒索病毒攻擊，攻擊手法極其豐富，可以通過社會工程，RDP爆破，惡意程序捆綁等方式進(jìn)行傳播，其加密的后綴名也不斷變化，有：

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0變種后綴為.Ox4444。

這次爆發(fā)的樣本為Globelmposter3.0家族的變種，其加密文件使用Ox4444擴(kuò)展名，由于Globelmposter采用RSA+AES算法加密，目前該勒索樣本加密的文件暫無解密工具，文件被加密后會被加上Ox4444后綴。在被加密的目錄下會生成一個(gè)名為”HOW_TO_BACK_FILES”的txt文件，顯示受害者的個(gè)人ID序列號以及黑客的聯(lián)系方式等。

樣本分析

開機(jī)自啟動

病毒本體為一個(gè)win32 exe程序，病毒運(yùn)行后會將病毒本體復(fù)制到%LOCALAPPDATA%或%APPDATA%目錄，刪除原文件并設(shè)置自啟動項(xiàng)實(shí)現(xiàn)開機(jī)自啟動，注冊表項(xiàng)為

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。

加密勒索

加密對象：可移動磁盤，固定磁盤，網(wǎng)絡(luò)磁盤三種類型的磁盤。

加密方式：

樣本通過RSA算法進(jìn)行加密，先通過CryptGenRandom隨機(jī)生成一組128位密鑰對，然后使用樣本中的硬編碼的256位公鑰生成相應(yīng)的私鑰，最后生成受害用戶的個(gè)人ID序列號。然后加密相應(yīng)的文件夾目錄和擴(kuò)展名，并將生成的個(gè)人ID序列號寫入到加密文件末尾，如下圖所示：

隱藏行為

通過該病毒中的Bat腳本文件能夠刪除：1、磁盤卷影 2、遠(yuǎn)程桌面連接信息 3、日志信息，從而達(dá)到潛伏隱藏的目的，其中的刪除日志功能，由于bat中存在語法錯(cuò)誤，所以未能刪除成功。

解決方案

近期已有大量用戶中招Globelmposter病毒，包括2.0和3.0變種。 針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時(shí)沒有解密工具，建議盡快對感染主機(jī)進(jìn)行斷網(wǎng)隔離。

深信服提醒廣大用戶盡快做好病毒檢測與防御措施，防范此次勒索攻擊。

病毒檢測查殺

1、深信服為廣大用戶免費(fèi)提供查殺工具，可下載如下工具，進(jìn)行檢測查殺。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、深信服EDR產(chǎn)品及防火墻、安全感知平臺等安全產(chǎn)品均具備病毒檢測能力，部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒檢測。

病毒防御

1、及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞。

2、對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會導(dǎo)致一臺被攻破，多臺遭殃。

4、Globelmposter勒索軟件之前的變種會利用RDP(遠(yuǎn)程桌面協(xié)議)，如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時(shí)，推薦使用深信服防火墻，或者終端檢測響應(yīng)平臺(EDR)的微隔離功能對3389等端口進(jìn)行封堵，防止擴(kuò)散!

5、深信服防火墻、終端檢測響應(yīng)平臺(EDR)均有防爆破功能，防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則，EDR開啟防爆破功能可進(jìn)行防御。

最后，建議企業(yè)對全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描，加強(qiáng)防護(hù)工作。推薦使用深信服安全感知+防火墻+EDR，對內(nèi)網(wǎng)進(jìn)行感知、查殺和防護(hù)。