緊急預警：Globelmposter再爆3.0變種，大型醫院已中招

近日，深信服安全團隊發現Globelmposter勒索病毒已經更新到3.0變種，受影響的系統，數據庫文件被加密破壞，病毒將加密后的文件重命名為.Ox4444擴展名，并要求用戶通過郵件溝通贖金跟解密密鑰等。目前國內多家大型醫院中招，呈現爆發趨勢。深信服緊急預警，提醒廣大用戶做好安全防護，警惕Globelmposter 勒索。

病毒名稱：Globelmposter3.0 變種 病毒性質：勒索病毒 影響范圍：已有多家醫院中招，呈現爆發趨勢

危害等級：高危

病毒分析 病毒描述 Globelmposter 勒索病毒今年的安全威脅熱度一直居高不下。早在今年2月全國各大醫院已經爆發過Globelmposter2.0勒索病毒攻擊，攻擊手法極其豐富，可以通過社會工程，RDP爆破，惡意程序捆綁等方式進行傳播，其加密的后綴名也不斷變化，有： .TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0變種后綴為.Ox4444。 這次爆發的樣本為Globelmposter3.0家族的變種，其加密文件使用Ox4444擴展名，由于Globelmposter采用RSA+AES算法加密，目前該勒索樣本加密的文件暫無解密工具，文件被加密后會被加上Ox4444后綴。在被加密的目錄下會生成一個名為”HOW_TO_BACK_FILES”的txt文件，顯示受害者的個人ID序列號以及黑客的聯系方式等。

樣本分析 開機自啟動 病毒本體為一個win32 exe程序，病毒運行后會將病毒本體復制到%LOCALAPPDATA%或%APPDATA%目錄，刪除原文件并設置自啟動項實現開機自啟動，注冊表項為 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。

加密勒索 加密對象：可移動磁盤，固定磁盤，網絡磁盤三種類型的磁盤。

加密方式： 樣本通過RSA算法進行加密，先通過CryptGenRandom隨機生成一組128位密鑰對，然后使用樣本中的硬編碼的256位公鑰生成相應的私鑰，最后生成受害用戶的個人ID序列號。然后加密相應的文件夾目錄和擴展名，并將生成的個人ID序列號寫入到加密文件末尾，如下圖所示：

隱藏行為 通過該病毒中的Bat腳本文件能夠刪除：1、磁盤卷影 2、遠程桌面連接信息 3、日志信息，從而達到潛伏隱藏的目的，其中的刪除日志功能，由于bat中存在語法錯誤，所以未能刪除成功。

解決方案 近期已有大量用戶中招Globelmposter病毒，包括2.0和3.0變種。 針對已經出現勒索現象的用戶，由于暫時沒有解密工具，建議盡快對感染主機進行斷網隔離。 深信服提醒廣大用戶盡快做好病毒檢測與防御措施，防范此次勒索攻擊。 病毒檢測查殺 1、深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺。 http://edr.sangfor.com.cn/tool/SfabAntiBot.zip 2、深信服EDR產品及防火墻、安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品用戶可進行病毒檢測。 病毒防御 1、及時給電腦打補丁，修復漏洞。 2、對重要的數據文件定期進行非本地備份。 3、更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。 4、Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議)，如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火墻，或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵，防止擴散! 5、深信服防火墻、終端檢測響應平臺(EDR)均有防爆破功能，防火墻開啟此功能并啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防御。 最后，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。推薦使用深信服安全感知+防火墻+EDR，對內網進行感知、查殺和防護。