关于近期Globelmposter勒索病毒最新变种的预警

近期，据统计调查，勒索病毒GlobeImposter再次变种后在网上传播，感染安装有Windows系统的电脑主机后，会加密Windows系统中的磁盘文件，且更改被加密文件的后缀名。Globelmposter3.0变种，采用RSA+AES算法加密，目前尚未发现有效的破解方法和破解工具，一旦感染该勒索病毒，网络系统的数据库文件将被病毒加密，并须支付勒索资金才能恢复文件。

2.1勒索病毒分类

勒索病毒中主要分为：GlobeImposter家族、WannaCry家族 、Petya家族、 Bad Rabbit家族 、GandCrab家族等。最为著名的就是GlobeImposter勒索病毒家族，Globelmposter 勒索病毒安全威胁热度一直居高不下，攻击手法极其丰富，可通过社会工程学，RDP 爆破，恶意程序捆绑等方式进行传播，其加密的后缀名也不断变化，Globelmposter2.0 后缀：TECHNO、DOC、CHAK、FREEMAN、TRUE，ALC0、ALC02、ALC03、RESERVE 等。Globelmposter3.0 变种后缀为以*4444 结尾，Globelmposter3.0 家族的变种，文件被加密后会被加上 Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、 Dragon4444 、 Snake4444 、 Horse4444 、 Goat4444 、Monkey4444 、Rooster4444、Dog4444 等后缀。在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的 txt 文件，显示受害者的个人 ID 序列号以及黑客的联系方式等，目前该勒索样本加密的文件暂无解密工具。病毒会加密本地磁盘与共享文件夹的所有文件，导致系统、数据库文件被加密破坏，几乎无法解密。

解密后缀名和勒索文件名：

2.2勒索病毒原理与危害

1. 勒索病毒通过漏洞、邮件、程序木马、网页挂马、存储设备带入、office组件的病毒感染、人工投毒等方式进入内网；

2. 内网扩散，最为著名就是永恒之蓝等；

3. 勒索病毒开始运行，通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、收集计算机信息、进程遍历文件、调用加密算法运行加密进程等方式，这种情况不易察觉，危害严重。

2.3勒索病毒发展

1.Windows服务器持续成为重灾区，医疗体系和中小企业受灾严重；

2.通过RDP弱口令暴力破解服务器密码，然后人工投毒成为重要传播方式；

3.新家族不断增多，变种更新频繁；

4.受害者支付赎金的方式多样化，诱骗行为较多；

5.病毒制作和传播门槛不断降低。

2.4勒索病毒应急处理

1. 隔离病毒源与未感染主机，防止病毒进一步扩散。基本措施是双向封堵445等端口；

2. 检查远程桌面服务（RDP）是否对公网开放，应关闭对公网开放的远程桌面服务，如因业务需要，需要通过公网访问企业内部 Windows 设备，建议通过堡垒机、VPN 等方式登录；

3. 修改远程桌面默认端口号，设置为非默认端口（即非 3389 端口）；

4. 修改 Windows 操作系统默认管理员账户名 administrator，禁用系统guest 账户；

5. 主机逐一进行病毒查杀，清除系统中存在的病毒。阻断病毒的自我复制行为，遏制病毒在系统内的扩散趋势。重要文件拷出备份；

6. 定期备份重要数据，备份数据应非本地存储，禁止仅备份在本机上；

7. 应通过官方渠道下载文件或软件，禁止从第三方网站下载、使用来历不明的软件或文件；

8. 从事件发生开始需要运维人员保持应急响应的状态，监控病毒查杀情况，必要时手动清除。

传统杀毒软件在面对勒索时经常出现许多困境，往往无法起到安全防护的作用；例如以下几点：

1. 传统软件的单机部署无法解决勒索的分布式扩散，勒索病毒在局域网内大量扩散，对主机上安装的杀毒软件无法及时全部配置检测任务。效率太低以及防护范围局限；

2. 传统的杀毒软件无法处理未知的勒索病毒变种，都是根据已有的规则库。不在规则库里面的病毒无法识别，不具备自主学习，智能判断的能力，只能任其运行，造成严重危害。

4.1总体防护方案

系统架构：

1. 空间集群层面：御甲防护系统是一款客户端端与控制中心协同控制，支持一个中心多个客户端的形式，有效处理病毒的扩散，控制中心与云端的协同，实时更新安全策略，恶意ip过滤、恶意文件阻断等。

2. 防护时间层面：御甲防护系统提供完善时间防护链路，事前具有方便的自动化评估工具以及巡检工具；事中提供主动防御，对于单个资产上识别到的威胁事件，自动触发全网的安全策略更新；事后通过数据归集、聚合、大数据分析追溯入侵点和传播路径，进行数据溯源。

御甲防护系统首先通过微隔离功能进行内网东西向流量隔离，阻止病毒的扩散；若是已知的勒索病毒，御甲防护系统通过主动进程防御，阻止勒索程序启动；如果是未知勒索病毒，御甲防护系统通过诱饵引擎阻断病毒的加密行为；通过大量进程防护日志，可以判断攻击源所在，清除攻击源，清除隔离区所有病毒；御甲防护系统的漏洞扫描功能，可发现导致感染勒索病毒的漏洞，御甲防护系统向中心推送补丁信息，修复漏洞。

诱饵引擎文件：

4.2防范多样化

1. 具备智能自动评估，实时防御功能

2. 日志实时记录

4.3自动化配置

1. 能自定义周期对目标资产进行安全巡检（病毒、漏洞、后门等），信息及时上报中心处理。

2. 批量配置

默认开启勒索防护引擎，支持快速自定义模板，一键应用。

4.4 应用价值

在勒索病毒彻底爆发前，通过及时部署御甲防护系统进行防御、隔离、查杀，在不影响客户正常业务的情况下，清除所有病毒，完成勒索应急。通过御甲防护系统提高了整个业务系统的主机安全性，尤其是对勒索病毒的防御能力。

公安部第三研究所信息网络安全技术研发中心（简称“网安中心”）根据公安网络安全保卫与信息安全保障工作的重大科技需求和学科专业发展方向，成立了信息安全审思团队。团队共有成员7名，其中硕士学历以上占比超50%。

团队主要研究领域包括信息安全防护、云计算、网络流量分析等新技术与新应用安全技术。研发成果有御甲网络安全综合防护设备、网络安全威胁感知与防护系统等产品；为各行业制定行业网络安全标准，提供网络安全评估服务，服务对象覆盖上海文广局、上海市教委、公安部十一局等重点政府部门，以及国家能源集团，上海市第一财经等各大重要企事业单位。

图文编辑：公安部第三研究所 梁思雨