勒索病毒变种再次肆虐全国各医院,暂无解决方案

病毒分析

GlobeImposter3.0勒索软件是GlobeImposter的一个新的变种，该病毒虽然对具体行业并没有针对性，但发现遭受攻击的是医院用户。该勒索软件利用暴力破解植入，主要针对开启Windows远程桌面的服务器。勒索软件运行后，会加密磁盘空间中除Windows目录下和.****4444后缀外的所有可执行文件、文本文件、图片文件、文档文件、数据库文件、Windows快捷方式等，导致关键数据或程序无法访问，从而导致业务系统瘫痪。

不良影响

该勒索软件执行后会对带有如下类型文件进行加密，包含：音频、视频、数据库、文本……加密后的文件名在原文件名称上增加.****4444后缀，如Rat4444、Tiger4444、Snake4444、Monkey4444、Dog4444等，因此也被称为“生肖”勒索软件。

由于GlobeImposter使用RSA2048算法加密，当前尚无有效的方案还原加密后的数据。

解决方案

对于感染主机直接拔除网线，断开网络连接

由于采用非对称的加密算法，用户遭受攻击后，一般情况下，很难恢复数据，但部分勒索软件因软件实现逻辑问题，有一定还原机率。为了对抗勒索软件，众多杀软公司联合推出的解密工具：https://www.nomoreransom.org/，可以破解部分勒索软件病毒家族，用户可以进行尝试还原。

对于尚未遭受攻击的用户，请使用如下建议进行操作

勒索软件采用弱口令爆破，利用3389端口远程登录，植入病毒。

建议关闭主机RDP协议（会影响远程桌面功能）并在防火墙及交换机对445、3389、135、139等端口进行封堵，防止扩散。

不点击来源不明的邮件以及附件,尤其是如下扩展名的附件: .js，.vbs，.exe，.scr，.bat等，附件中可能包含密码抓取工具或病毒。

安全加固防护

更改默认Administrator管理帐户密码，禁用GUEST来宾帐户；

更改为复杂密码，由字母大小写，数字及特殊符号组合的密码，不低于10位字符；不要使用电话号码，工号等纯数字作为账号密码。

设置帐户锁定策略，在输入5次密码错误后禁止登录；

及时更新Windows补丁 ，安装杀毒软件，设置退出或更改需要密码，防止进入关闭杀毒软件；

定期进行数据备份，如果是云服务器，一定要做好快照。

华为安全设备防护建议

对于已购买USG系列下一代防火墙、FireHunter6000系列沙箱、IPS的用户，将检测引擎和病毒库更新至最新版本。部署华为USG防火墙及沙箱FireHunter6000组合可对勒索病毒进行有效防护：

部署防火墙，阻断勒索病毒投递前的侦测行为，如：爆破、漏洞利用；

部署支持“诱捕”特性的交换机和防火墙，诱导勒索病毒入侵仿真业务并捕获其入侵行为，降低真实系统被攻击的概率，最大限度减少损失；

部署沙箱设备，检测邮件中的文件， 防火墙可将流量还原成文件，并将需要检测的文件发送到沙箱进行检测。

注：Globelmposter3.0是勒索病毒变种，处置方法与勒索病毒可通用。