GlobeImposter3.0勒索软件是GlobeImposter的一个新的变种,该病毒虽然对具体行业并没有针对性,但发现遭受攻击的是医院用户。该勒索软件利用暴力破解植入,主要针对开启Windows远程桌面的服务器。勒索软件运行后,会加密磁盘空间中除Windows目录下和.****4444后缀外的所有可执行文件、文本文件、图片文件、文档文件、数据库文件、Windows快捷方式等,导致关键数据或程序无法访问,从而导致业务系统瘫痪。

全国各医院再次被GlobeImposter3.0变种勒索病毒袭击

不良影响
该勒索软件执行后会对带有如下类型文件进行加密,包含:音频、视频、数据库、文本……加密后的文件名在原文件名称上增加.****4444后缀,如Rat4444、Tiger4444、Snake4444、Monkey4444、Dog4444等,因此也被称为“生肖”勒索软件。由于GlobeImposter使用RSA2048算法加密,当前尚无有效的方案还原加密后的数据。

解决方案
对于感染主机直接拔除网线,断开网络连接

由于采用非对称的加密算法,用户遭受攻击后,一般情况下,很难恢复数据,但部分勒索软件因软件实现逻辑问题,有一定还原机率。为了对抗勒索软件,众多杀软公司联合推出的解密工具:https://www.nomoreransom.org/,可以破解部分勒索软件病毒家族,用户可以进行尝试还原。

对于尚未遭受攻击的用户,请使用如下建议进行操作
勒索软件采用弱口令爆破,利用3389端口远程登录,植入病毒。
1、建议关闭主机RDP协议(会影响远程桌面功能)并在防火墙及交换机对445、3389、135、139等端口进行封堵,防止扩散。
2、不点击来源不明的邮件以及附件,尤其是如下扩展名的附件: .js,.vbs,.exe,.scr,.bat等,附件中可能包含密码抓取工具或病毒。

安全加固防护
1、更改默认Administrator管理帐户密码,禁用GUEST来宾帐户;
2、更改为复杂密码,由字母大小写,数字及特殊符号组合的密码,不低于10位字符;不要使用电话号码,工号等纯数字作为账号密码。
3、设置帐户锁定策略,在输入5次密码错误后禁止登录;
4、及时更新Windows补丁 ,安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;
5、定期进行数据备份,如果是云服务器,一定要做好快照。