接湖南省网络与信息安全信息通报中心预警, Globelmposter勒索病毒3.0变种再次席卷全国各地医院，受影响的系统，数据库文件被加密破坏，病毒将加密后的文件后缀改以*4444结尾，并要求用户通过邮件沟通赎金跟解密密钥等。相关安全团队再次发布紧急预警，为避免造成2018年全国勒索病毒爆发时的严重危害，请全校各重要信息系统使用单位部门及个人保存有重要数据办公电脑使用者引起高度重视, 立即部署开展自查补缺。

一、高危病毒说明

Globelmposter 3.0勒索变种的安全威胁热度一直居高不下。早在2018年8月份，相关安全团队已经追踪到该变种并率先在国内发布预警。Globelmposter 3.0勒索病毒攻击，攻击手法极其丰富，可以通过社会工程，R DP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名以*4444结尾，文件被加密后会被加上以下后缀：

Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444。

由于Globelmposter 3.0采用RSA2048算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上*4444系列后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。

二、采取的应急措施为：

1、隔离感染主机

迅速隔离中毒主机，关闭所有网络连接，禁用网卡，可直接拔网线断网。

2、切断传播途径

Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散。

在卫计委专网级联边界位置通过防火墙等设备建立访问控制策略，封堵入站的3389、445等端口，防止其 他单位的横向、纵向攻击。

3、安全加固

如果要使用SMB服务器尽量设置较为复杂的密码，建议密码设置为字符串+特殊字符+数字，并且不要对公网开放，建议使用vpn。及时给电脑打补丁，修复漏洞。

防火墙、终端检测响应平台（EDR）均有防爆破功能，防火墙开启此功能并启用11080051、11080027、1 1080016规则，EDR开启防爆破功能可进行防御。

4、病毒检测查杀

相关安全团队为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。对于中毒主机，建议重装 系统，防止后门残留。

64 位 系 统 下 载 链 接 ： http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z 32 位 系 统 下 载 链 接 ： http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

EDR产品及防火墙、安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测。

5、数据备份

对重要的数据文件定期进行非本地备份。

三、日常安全管理方面

在日常安全管理上，严格执行“三不三要”原则，切实提高单位网络安全防护能力,杜绝发生网络安全案事件。

1、“三不”的内容为：

一不上钩：标题吸引人的未知邮件不要点开。

二不打开：不随意打开电子邮件。

三不点击：不随意点击邮件中附带网址。

2、“三要”的内容为：

一要备份：重要资料要备份。

二要确认：开启电子邮件前确认发件人可信。

三要更新：系统补丁或安全软件病毒库保持实时更新。同时建议对数据库的管理访问节点地址进行严格限制，只允许特定管理主机IP进行远程登录数据库。

                                                              网络信息中心

                                                      2019.3.13