近日,多个行业发现内部服务器感染新型勒索病毒的情况,经分析为Globelmposter3.0、Globelmposter3.0勒索病毒变种或相关变种,病毒将加密后的文件重命名为.Ox4444扩展名,并要求用户通过邮件沟通赎金跟解密密钥等。目前Globelmposter3.0呈现爆发趋势。
病毒基本信息:Globelmposter2.0勒索病毒加密后缀名为:FREEMAN、ALC0、ALC02、ALC03、RESERVE等;最新Globelmposter3.0变种加密后缀为.Ox4444。
病毒分析:本次爆发的Globelmposter3.0变种,其加密文件使用Ox4444扩展名,由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。
应急措施:目前该勒索病毒加密后的文件暂无解密方法,请使用以下手段进行应急防范。
1)不点击来源不明的邮件以及附件,尤其是如下扩展名的附件:.js, .vbs, .exe, .scr, or .bat
2)不要点击来源不明的邮件以及附件,可能包含密码抓取工具或其他木马病毒;
3)更改默认administrator管理帐户,禁用GUEST来宾帐户;
4)更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;不要使用电话号码,工号等纯数字作为账号密码。
5)设置帐户锁定策略,在输入5次密码错误后禁止登录;,
6)安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;
7)定期的一个数据备份,如是云服务器,一定要做好快照;
8)服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,3389,135,139等;
9)禁止系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer,并妥善保管好密码。
10)及时更新windows补丁;
如果机器未打补丁和设置复杂密码建议关闭机器的远程协助功能。请各部门网管员检查自己部门系统是否更新补丁,备份重要数据,加强口令复杂度。