关于Globelmposter30变种病毒的预警通报

2019年3月12日，我工作站接贵州省网络与信息安全信息通报中心通报黔网安通报【2019】第4期“关于Globelmposter3.0变种病毒的预警通报”。

一、漏洞情况

近日，Globelmposter勒索病毒3.0变种再次席卷全国各地医院，个别省份的医疗卫生信息系统遭到攻击并导致瘫痪。经分析研判，此次勒索病毒主要利用自带密码本***服务器远程桌面服务口令（3389端口），***后病毒程序对本地文档实施加密，加密后的文件后缀改以*4444结尾，并要求用户通过邮件交付赎金，同时病毒以该主机为跳板感染内网其他服务器。

二、篡改情况

被该病毒加密的后缀名以*4444结尾，文件被加密后会被加上以下后缀：Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444。同时在被加密的目录下会生成一个为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及***的联系方式等。

三、解决方法

1、隔离感染主机：

迅速隔离中毒主机，关闭所有网络连接，禁用网卡，可直接拔网线断网。

2、切断传播途径：

（1）勒索软件会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用“互联网暴露资产测绘公有云平台”（cii.gov110.cn）对3389等端口进行封堵，防止扩散。

（2）在卫计委专网级联边界位置通过防火墙等设备建立访问控制策略，封堵入站的3389、445等端口，防止病毒向其他单位进行横向、纵向攻击。

3、安全加固：

（1）SMB服务器尽量设置较为复杂的密码，建议密码设置为字符串+特殊字符+数字，并且不要对公网开放。

（2）及时给电脑打补丁，修复漏洞。

4、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

5、数据备份：对重要的数据文件定期进行非本地备份。

当前正值全国“两会”召开时期，请各重要行业部门及时进行风险预警，开展网络安全风险隐患排查，完善事件应急处置预案，加强安全监测和值班值守，发现网站系统遭攻击后及时处置并报告。

毕节市网络与信息安全信息通报中心驻纳雍工作站

2019年3月12日