GlobeImposter3.0勒索軟件是GlobeImposter的一個(gè)新的變種，該病毒雖然對(duì)具體行業(yè)并沒有針對(duì)性，但發(fā)現(xiàn)遭受攻擊的是醫(yī)院用戶。該勒索軟件利用暴力破解植入，主要針對(duì)開啟Windows遠(yuǎn)程桌面的服務(wù)器。勒索軟件運(yùn)行后，會(huì)加密磁盤空間中除Windows目錄下和.****4444后綴外的所有可執(zhí)行文件、文本文件、圖片文件、文檔文件、數(shù)據(jù)庫文件、Windows快捷方式等，導(dǎo)致關(guān)鍵數(shù)據(jù)或程序無法訪問，從而導(dǎo)致業(yè)務(wù)系統(tǒng)癱瘓。

不良影響
該勒索軟件執(zhí)行后會(huì)對(duì)帶有如下類型文件進(jìn)行加密，包含：音頻、視頻、數(shù)據(jù)庫、文本……加密后的文件名在原文件名稱上增加.****4444后綴，如Rat4444、Tiger4444、Snake4444、Monkey4444、Dog4444等，因此也被稱為“生肖”勒索軟件。由于GlobeImposter使用RSA2048算法加密，當(dāng)前尚無有效的方案還原加密后的數(shù)據(jù)。

解決方案
對(duì)于感染主機(jī)直接拔除網(wǎng)線，斷開網(wǎng)絡(luò)連接

由于采用非對(duì)稱的加密算法，用戶遭受攻擊后，一般情況下，很難恢復(fù)數(shù)據(jù)，但部分勒索軟件因軟件實(shí)現(xiàn)邏輯問題，有一定還原機(jī)率。為了對(duì)抗勒索軟件，眾多殺軟公司聯(lián)合推出的解密工具：https://www.nomoreransom.org/，可以破解部分勒索軟件病毒家族，用戶可以進(jìn)行嘗試還原。

對(duì)于尚未遭受攻擊的用戶，請(qǐng)使用如下建議進(jìn)行操作
勒索軟件采用弱口令爆破，利用3389端口遠(yuǎn)程登錄，植入病毒。
1、建議關(guān)閉主機(jī)RDP協(xié)議（會(huì)影響遠(yuǎn)程桌面功能）并在防火墻及交換機(jī)對(duì)445、3389、135、139等端口進(jìn)行封堵，防止擴(kuò)散。
2、不點(diǎn)擊來源不明的郵件以及附件,尤其是如下擴(kuò)展名的附件: .js，.vbs，.exe，.scr，.bat等，附件中可能包含密碼抓取工具或病毒。

安全加固防護(hù)
1、更改默認(rèn)Administrator管理帳戶密碼，禁用GUEST來賓帳戶；
2、更改為復(fù)雜密碼，由字母大小寫，數(shù)字及特殊符號(hào)組合的密碼，不低于10位字符；不要使用電話號(hào)碼，工號(hào)等純數(shù)字作為賬號(hào)密碼。
3、設(shè)置帳戶鎖定策略，在輸入5次密碼錯(cuò)誤后禁止登錄；
4、及時(shí)更新Windows補(bǔ)丁 ，安裝殺毒軟件，設(shè)置退出或更改需要密碼，防止進(jìn)入關(guān)閉殺毒軟件；
5、定期進(jìn)行數(shù)據(jù)備份，如果是云服務(wù)器，一定要做好快照。

ice

收藏 海報(bào)分享