网络与信息安全情况通报

第 5 期

四川省网络与信息安全信息通报中心          2018年4月18日

关于防范Globelmposter勒索病毒的

情况通报

一、Globelmposter勒索病毒概述

GlobeImposter勒索病毒于2017年5月首次被发现，最新变种正在国内快速传播。病毒感染主机除44个系统文件夹（及170种特定后缀文件名）等保障操作系统正常运行的文件外，其余用户数据文件会采用RSA2048+AES算法加密，并重命名为*.GOTHAM、*.YAYA、*.CHAK、*.GRANNY、*.SKUNK、*.TRUE、*.MAKGR等多种后缀文件，目前暂无有效恢复工具。

二、传播方式

此次变种病毒主要通过伪装成各种可执行文件(*.exe，*.vbs等)，利用社会工程学方法欺骗和诱导用户点击下载或运行互联网网页或邮件附件、链接等方式传播感染内网主机。其后，病毒会扫描同网段中开放445、135、139、3389端口主机，尝试利用“永恒之蓝”漏洞和弱口令爆破等方法，进行内网主机的感染传播。

三、工作建议

（一）日常防范。

1、不点击来源不明的邮件附件，特别是邮件内容具有诱导性和欺骗性，附件以*.exe、*.vbs和*.rar等后缀结尾的邮件。

2、及时安装补丁（MS17-010，“永恒之蓝”漏洞），修复系统或第三方软件中存在的安全漏洞。

3、关闭不必要的端口，如：445、135，139等，对3389端口配置白名单ip连接登陆。

4、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

5、服务器使用高强度且无规律密码，每个服务器使用不同密码管理，避免弱口令，定期更换密码。

6、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

7、重要文件和数据（数据库等）进行定期非本地备份

（二）应急措施。

1、发现病毒感染主机，立即断网。

2、组织开展内网检测，查找所有开放445 等服务端口的终端和服务器，检查补丁更新，关闭非必要端口，备份重要文件和数据。

３、恢复各项业务，持续开展内网病毒清理、监测和控制。