紧急预警：Globelmposter再爆3.0变种，大型医院已中招

克日，笃佩服安详团队发明Globelmposter打单病毒已经更新到3.0变种，受影响的体系，数据库文件被加密粉碎，病毒将加密后的文件重定名为.Ox4444扩展名，并要求用户通过邮件雷同赎金跟解密密钥等。今朝海内多家大型医院中招，泛起发作趋势。笃佩服紧张预警，提示宽大用户做好安详防护，鉴戒Globelmposter 打单。

病毒名称：Globelmposter3.0 变种

病毒性子：打单病毒

影响范畴：已有多家医院中招，泛起发作趋势

危害品级：高危

病毒说明

病毒描写

Globelmposter 打单病毒本年的安详威胁热度一向居高不下。早在本年2月世界各大医院已经发作过Globelmposter2.0打单病毒进攻，进攻伎俩极其富厚，可以通过社会工程，RDP爆破，恶意措施绑缚等方法举办撒播，其加密的后缀名也不绝变革，有：

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。

这次发作的样本为Globelmposter3.0家属的变种，其加密文件行使Ox4444扩展名，因为Globelmposter回收RSA+AES算法加密，今朝该打单样本加密的文件暂无解密器材，文件被加密后会被加上Ox4444后缀。在被加密的目次下会天生一个名为”HOW_TO_BACK_FILES”的txt文件，表现受害者的小我私人ID序列号以及黑客的接洽方法等。

样天职析

开机自启动

病毒本体为一个win32 exe措施，病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目次，删除原文件并配置自启动项实现开机自启动，注册表项为

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceBrowserUpdateCheck。

加密打单

加密工具：可移动磁盘，牢靠磁盘，收集磁盘三种范例的磁盘。

加密方法：

样本通过RSA算法举办加密，先通过CryptGenRandom随机天生一组128位密钥对，然后行使样本中的硬编码的256位公钥天生响应的私钥，最后天生受害用户的小我私人ID序列号。然后加密响应的文件夹目次和扩展名，并将天生的小我私人ID序列号写入到加密文件末端，如下图所示：

潜匿举动

通过该病毒中的Bat剧本文件可以或许删除：1、磁盘卷影 2、长途桌面毗连信息 3、日记信息，从而到达暗藏潜匿的目标，个中的删除日记成果，因为bat中存在语法错误，以是未能删除乐成。

办理方案

近期已有大量用户中招Globelmposter病毒，包罗2.0和3.0变种。 针对已经呈现打单征象的用户，因为暂且没有解密器材，提议尽快对传染主机举办断网断绝。

笃佩服提示宽大用户尽快做好病毒检测与防止法子，防御此次打单进攻。

病毒检测查杀

1、笃佩服为宽大用户免费提供查杀器材，可下载如下器材，举办检测查杀。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、笃佩服EDR产物及防火墙、安详感知平台等安详产物均具备病毒检测手段，陈设相干产物用户可举办病毒检测。

病毒防止

1、实时给电脑打补丁，修复裂痕。

2、对重要的数据文件按期举办非当地备份。

3、变动账户暗码，配置强暗码，停止行使同一的暗码，由于同一的暗码会导致一台被攻破，多台遭殃。

4、Globelmposter打单软件之前的变种会操作RDP(长途桌面协议)，假如营业上无需行使RDP的，提议封锁RDP。当呈现此类变乱时，保举行使笃佩服防火墙，可能终端检测相应平台(EDR)的微断绝成果对3389等端口举办封堵，防备扩散!

5、笃佩服防火墙、终端检测相应平台(EDR)均有防爆破成果，防火墙开启此成果并启用11080051、11080027、11080016法则，EDR开启防爆破成果可举办防止。

最后，提议企业对全网举办一次安详搜查和杀毒扫描，增强防护事变。保举行使笃佩服安详感知+防火墙+EDR，对内网举办感知、查杀和防护。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!