1、基本情况

　　Globelmposter勒索病毒3.0变种再次席卷全国各地，有全国爆发趋势，该病毒会使数据库文件被加密破坏，将加密后的文件后缀改以*4444结尾，并要求用户通过邮件沟通赎金跟解密密钥等。

　　2、攻击原理

　　Globelmposter 3.0勒索病毒攻击，攻击手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名以*4444结尾，文件被加密后会被加上以下后缀：

　　Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444。

　　由于Globelmposter 3.0采用RSA2048算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上*4444系列后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。

　　3、影响范围

　　多省份出现大规模爆发，有全国爆发趋势。

　　4、处置建议

　　1)隔离感染主机

　　迅速隔离中毒主机，关闭所有网络连接，禁用网卡，可直接拔网线断网。

　　2)切断传播途径

　　a) Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。

　　b) 通过防火墙等设备建立访问控制策略，封堵入站的3389、445等端口。

　　3)安全加固

　　a) 如果要使用SMB服务器尽量设置较为复杂的密码，建议密码设置为字符串+特殊字符+数字，并且不要对公网开放，建议使用vpn。

　　b) 及时给电脑打补丁，修复漏洞。

　　4)病毒检测查杀

　　a) 下载查杀工具，进行检测查杀。对于中毒主机，建议重装系统，防止后门残留。

　　b) 下载GlobeImposter勒索病毒事件安全检测工具，下载地址：

　　http://dl.b.360.cn/tools/FocusTool.exe

　　5)数据备份

　　对重要的数据文件定期进行非本地备份。

　　5、 参考链接

　　1) https://www.freebuf.com/articles/terminal/193895.html