病毒分析

GlobeImposter3.0勒索軟件是GlobeImposter的一個新的變種，該病毒雖然對具體行業(yè)并沒有針對性，但發(fā)現(xiàn)遭受攻擊的是醫(yī)院用戶。該勒索軟件利用暴力破解植入，主要針對開啟Windows遠程桌面的服務器。勒索軟件運行后，會加密磁盤空間中除Windows目錄下和.****4444后綴外的所有可執(zhí)行文件、文本文件、圖片文件、文檔文件、數(shù)據(jù)庫文件、Windows快捷方式等，導致關鍵數(shù)據(jù)或程序無法訪問，從而導致業(yè)務系統(tǒng)癱瘓。

不良影響

該勒索軟件執(zhí)行后會對帶有如下類型文件進行加密，包含：音頻、視頻、數(shù)據(jù)庫、文本……加密后的文件名在原文件名稱上增加.****4444后綴，如Rat4444、Tiger4444、Snake4444、Monkey4444、Dog4444等，因此也被稱為“生肖”勒索軟件。

由于GlobeImposter使用RSA2048算法加密，當前尚無有效的方案還原加密后的數(shù)據(jù)。

解決方案

對于感染主機直接拔除網(wǎng)線，斷開網(wǎng)絡連接

由于采用非對稱的加密算法，用戶遭受攻擊后，一般情況下，很難恢復數(shù)據(jù)，但部分勒索軟件因軟件實現(xiàn)邏輯問題，有一定還原機率。為了對抗勒索軟件，眾多殺軟公司聯(lián)合推出的解密工具：https://www.nomoreransom.org/，可以破解部分勒索軟件病毒家族，用戶可以進行嘗試還原。

對于尚未遭受攻擊的用戶，請使用如下建議進行操作

勒索軟件采用弱口令爆破，利用3389端口遠程登錄，植入病毒。

建議關閉主機RDP協(xié)議（會影響遠程桌面功能）并在防火墻及交換機對445、3389、135、139等端口進行封堵，防止擴散。

不點擊來源不明的郵件以及附件,尤其是如下擴展名的附件: .js，.vbs，.exe，.scr，.bat等，附件中可能包含密碼抓取工具或病毒。

安全加固防護

更改默認Administrator管理帳戶密碼，禁用GUEST來賓帳戶；

更改為復雜密碼，由字母大小寫，數(shù)字及特殊符號組合的密碼，不低于10位字符；不要使用電話號碼，工號等純數(shù)字作為賬號密碼。

設置帳戶鎖定策略，在輸入5次密碼錯誤后禁止登錄；

及時更新Windows補丁 ，安裝殺毒軟件，設置退出或更改需要密碼，防止進入關閉殺毒軟件；

定期進行數(shù)據(jù)備份，如果是云服務器，一定要做好快照。

華為安全設備防護建議

對于已購買USG系列下一代防火墻、FireHunter6000系列沙箱、IPS的用戶，將檢測引擎和病毒庫更新至最新版本。部署華為USG防火墻及沙箱FireHunter6000組合可對勒索病毒進行有效防護：

部署防火墻，阻斷勒索病毒投遞前的偵測行為，如：爆破、漏洞利用；

部署支持“誘捕”特性的交換機和防火墻，誘導勒索病毒入侵仿真業(yè)務并捕獲其入侵行為，降低真實系統(tǒng)被攻擊的概率，最大限度減少損失；

部署沙箱設備，檢測郵件中的文件， 防火墻可將流量還原成文件，并將需要檢測的文件發(fā)送到沙箱進行檢測。

注：Globelmposter3.0是勒索病毒變種，處置方法與勒索病毒可通用。