來(lái)源：深信服官網

原文(wén)鏈接：http://www.sangfor.com.cn/about/ש↓®source-news-company-new∏φ✔↕s/1089.html

近(jìn)日(rì)，深信服安全團隊發現(xiàn)Globelmp₽÷oster勒索病毒已經更新到(dào)3.0變種，受影(yǐng)響的δ₽(de)系統，數(shù)據庫文(wén)件(jiàn)被加密破" 壞，病毒将加密後的(de)文(wén)件(jiàn)σσ重命名為(wèi).Ox4444擴展名，并要(yào)求用(yòn±φ​←g)戶通(tōng)過郵件(jiàn)溝通(tΩ↑ōng)贖金(jīn)跟解密密鑰等。目前國(guó)內(nèi)多(duō)¥ 家(jiā)大(dà)型醫(yī)院中招★λ&，呈現(xiàn)爆發趨勢。深信服緊急預警，提醒廣大(dà)用(yòng)戶¥>←做(zuò)好(hǎo)安全防護，警惕Glo×₹belmposter 勒索。

病毒名稱：Globelmposter3.0 變種

病毒性質：勒索病毒

影(yǐng)響範圍：已有(yǒu)多(duō)家(jiā)醫(y✔↓ī)院中招，呈現(xiàn)爆發趨勢

危害等級：高(gāo)危

病毒分(fēn)析

病毒描述

Globelmposter 勒索病毒今年(niá‍≤ n)的(de)安全威脅熱(rè)度一(yī)直居高(gāo)不(bù)下($εxià)。早在今年(nián)2月(yuè)全國(guó)各大(dà)醫 ¶σ♦(yī)院已經爆發過Globelmposter2.0勒索病毒攻擊，攻擊手法∏ 極其豐富，可(kě)以通(tōng)過社會(huì)☆‍工(gōng)程，RDP爆破，惡意程序捆σ'綁等方式進行(xíng)傳播，其加密的(de)後綴✘≠→♥名也(yě)不(bù)斷變化(huà)，有(yǒu)：.TECHNO、.DOC∏↕、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC™✘03、.RESERVE等。最新Globelmposter3.0變種≠¶±後綴為(wèi).Ox4444。

這(zhè)次爆發的(de)樣本為(wèi)Globe♦≥‍δlmposter3.0家(jiā)族的(de)變種• ，其加密文(wén)件(jiàn)使用(yòng)Oxσ✔←4444擴展名，由于Globelmposter采用(yòng)RSA+AE© ¶S算(suàn)法加密，目前該勒索樣本加密的(de)文(wén)件 •≈(jiàn)暫無解密工(gōng)具，文(w÷∑λén)件(jiàn)被加密後會(huì)被加上(shàng)Ox4444後π"✘♦綴。在被加密的(de)目錄下(xià)會(huì)生(shēng)成一(y€ βπī)個(gè)名為(wèi)”HOW_TO_∏↔$BACK_FILES”的(d÷§e)txt文(wén)件(jiàn)，顯示Ω€受害者的(de)個(gè)人(rén)ID序列号以及黑(hēi)客的(de)聯σ>•系方式等。

樣本分(fēn)析

開(kāi)機(jī)自(zì)啓動

病毒本體(tǐ)為(wèi)一(yī)個(gè)win32 exe程序，病毒運♦₩ε行(xíng)後會(huì)将病毒本體(✘♦δtǐ)複制(zhì)到(dào)%LOCALAPPDATA%或π₽£®%APPDATA%目錄，删除原文(wén)件(jiàn)并設置自≈♣γ✘(zì)啓動項實現(xiàn)開(kāi)機(jī)自(z☆§ì)啓動，注冊表項為(wèi)

HKEY_CURRENT_USER\\Software\\Microsoft<®\\Windows\\CurrentVersion\\RunOnce\\Br∞&owserUpdateCheck。

加密勒索

加密對(duì)象：可(kě)移動磁盤，固定磁盤，網絡磁ε 盤三種類型的(de)磁盤。

加密方式：

樣本通(tōng)過RSA算(suàn)法進行(xíng)加密，®§先通(tōng)過CryptGenRandom随機(jī)生(shēng)成→®≥一(yī)組128位密鑰對(duì)，然後使用(yòng)樣本中的(de)↓↕ε 硬編碼的(de)256位公鑰生(shēng)成相(xià↑★≥$ng)應的(de)私鑰，最後生(shēng)成受害用(yòn✔↕g)戶的(de)個(gè)人(rén)ID序列号。然後加密相(xiàng)ε♦≠₩應的(de)文(wén)件(jiàn)夾目錄和(hα₽≥é)擴展名，并将生(shēng)成的(de)個(gè)人(rén)ID序列号∑‍↕寫入到(dào)加密文(wén)件(jià∏>™≥n)末尾，如(rú)下(xià)圖所示：

隐藏行(xíng)為(wèi)

通(tōng)過該病毒中的(de)Bat腳本文(wén)件(jiàn)能(né©β ÷ng)夠删除：1、磁盤卷影(yǐng) 2Ω™>×、遠(yuǎn)程桌面連接信息 3、日(rì)志(zhì)信息，從♥¥(cóng)而達到(dào)潛伏隐藏的(de)目的(de)，其中的(≥'↑de)删除日(rì)志(zhì)功能(néng)，由于bat中存在語法錯↔α(cuò)誤，所以未能(néng)删除成功。

解決方案

近(jìn)期已有(yǒu)大(dà)量用(yòng)←σ$戶中招Globelmposter病毒，包括2.0和(hé)3.0變種。 ✔≈≤φ針對(duì)已經出現(xiàn)勒索現(xiàn)象的(de)用(yòng)™£'∑戶，由于暫時(shí)沒有(yǒu)解密工(&&☆gōng)具，建議(yì)盡快(kuài)對(d↓±uì)感染主機(jī)進行(xíng)斷☆γ≈網隔離(lí)。

深信服提醒廣大(dà)用(yòng)戶盡快(kuài)做(zuò)好(hǎo)病毒檢測與防禦措<✘施，防範此次勒索攻擊。

病毒檢測查殺

1、深信服為(wèi)廣大(dà)用(yòng)戶∏÷≠γ免費(fèi)提供查殺工(gōng)具，可(k÷★ě)下(xià)載如(rú)下(xià)工(gōng)具，≠•進行(xíng)檢測查殺。

 http://edr.sangfor.com.cn/too♣δl/SfabAntiBot.zip

2、深信服EDR産品及防火(huǒ)牆、安全感知(z"™→₽hī)平台等安全産品均具備病毒檢測能(né €¥ng)力，部署相(xiàng)關産品用(y£←òng)戶可(kě)進行(xíng)病毒檢測。

病毒防禦

1、及時(shí)給電(diàn)腦(nǎo)∏♦打補丁，修複漏洞。

2、對(duì)重要(yào)的(de)數(≥βshù)據文(wén)件(jiàn)定期進行(xíng)非本地(dì)備₽♥份。

3、更改賬戶密碼，設置強密碼，避免使用(yòng)統€©→​一(yī)的(de)密碼，因為(wèi)統一(yī)的(de)§£密碼會(huì)導緻一(yī)台被攻破，多(duō)台遭殃。

4、Globelmposter勒索軟件(jiàn)之前≤δ↔的(de)變種會(huì)利用(yòng)RDP(遠(yuǎn≤≠)程桌面協議(yì)），如(rú)果業(yè×☆÷)務上(shàng)無需使用(yòng)RDP的(de)，建議(y≤♥αì)關閉RDP。當出現(xiàn)此類事(shì)件(☆←∑jiàn)時(shí)，推薦使用(yòng)深信服防火(huǒ)牆±★，或者終端檢測響應平台（EDR）的(de)微(wēi)隔離(líΩ→¶)功能(néng)對(duì)3389等端口進行(xíng)封堵，防止擴散• "×！

5、深信服防火(huǒ)牆、終端檢測響應平台（EDR）均有(y  ǒu)防爆破功能(néng)，防火(huǒ)牆開(kāi)啓此功能(nén¶←g)并啓用(yòng)11080051、11080027、11080016規則¶↓₽，EDR開(kāi)啓防爆破功能(néng)可(kě)進行(xíng)γ♣'防禦。

最後，建議(yì)企業(yè)對(duì)全網進&‍<‌行(xíng)一(yī)次安全檢查和(hé≈₽÷≥)殺毒掃描，加強防護工(gōng)作(zuò)。推薦使用(yòng)深信★✘₩服安全感知(zhī)+防火(huǒ)牆+EDR，對(d©​‌↔uì)內(nèi)網進行(xíng)感知(zhī)、查殺和(hé)防護。