高危！勒索病毒GlobeImposter恐全面爆發，防勒索病毒刻不容緩

近期，我國多地發生GlobeImposter勒索病毒事件，攻擊者在突破機構和企業的邊界防禦後，利用黑客工具進行內網滲透並選擇高價值目標伺服器人工投放勒索病毒，經評估威脅強度高於去年「永恆之藍」病毒。

Globelmposter家族首次出現在2017年5月，主要傳播方式是通過向特定的用戶發送垃圾郵件進行傳播。到了2018年， GlobeImposter家族已經成為感染用戶數量最多，破壞性最強的勒索病毒之一。2018年2月，GlobeImposter勒索病毒曾入侵國內兩家醫院，致使醫院系統癱瘓，患者無法正常接受治療。

技術原理及分析

預計此次爆發的GlobeImposter家族的變種，主要以國內公共機構伺服器為主要攻擊對象。攻擊者主要攻擊開啟遠程桌面服務的伺服器，利用密碼抓取工具獲取管理員密碼後對內網伺服器發起掃描並人工投放勒索病毒，導致文件被加密。病毒感染後的主要特徵包括windows伺服器文件被加密，且加密文件的文件名後綴為*.RESERVE。

防範措施

及時更新操作系統補丁；

對業務系統及數據進行及時備份，並驗證備份系統及備份數據的可用性；

檢查重要伺服器（WINDOWS操作系統）的相應埠（3389、445、139、135等）是否關閉，防火牆是否打開，檢查伺服器口令複雜度，務必採用高強度秘密；

安裝具有先進主動防禦功能的殺毒軟體、終端安全管理軟體並及時更新病毒庫；

利用殺毒軟體查殺本機病毒，開啟關鍵日誌收集功能。

處置建議

如發現系統已經感染病毒，請：

斷開網路，預防感染計算機其他文件；

結束病毒進程，安裝殺毒軟體，查殺病毒，預防二次中毒；

備份加密數據，預防意外造成加密數據損壞無法解密；

排查是否在區域網內有共享文件夾，建議取消共享。

敏捷科技防勒索病毒安全衛士

8月23日，國家計算機網路應急技術處理協調中心廣東分中心發布關於勒索病毒威脅重要行業單位的預警通報，建議各單位對近日發生的GlobeImposter勒索病毒事件予以高度重視，做好企業網路安全監測發現及排查工作，及時發現勒索病毒事件的發生。

此次發現的Globelmposter家族最新變種，預計與一季度爆發的一樣，採用RSA2048演算法加密，目前該勒索樣本加密的文件無解密工具。面對GlobeImposter勒索病毒肆虐，建議安裝敏捷科技防勒索病毒安全衛士。

不同於傳統的斷網、打補丁、開啟系統防火牆、內網滅活、封堵埠等勒索病毒解決方案，敏捷科技防勒索病毒安全衛士採用驅動層技術和授信進程智能識別技術，拒絕非授信進程對文件進行修改，從而使勒索病毒不能對用戶的重要文檔進行加密，有效地防範了勒索病毒對用戶信息資產構成的威脅，大大的減少了用戶的損失。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！