近日，某企業威脅情報中心團隊發現，觀察到 Globelmposter 勒索病毒又出現最新變種，目前在國內醫療行業已發現有感染案例，且多發生在一線城市，另外還有一些傳統行業也被此次病毒波及影響。

病毒名稱：Globelmposter“十二主神”版本

病毒性質：勒索病毒

影響范圍：多家一線城市醫療機構感染

危害等級：高危

傳播方式：通過社會工程、RDP暴力破解入侵等
病毒說明

Globelmposter 勒索變種的安全威脅熱度一直居高不下。Globelmposter “十二主神”勒索病毒攻擊，攻擊手法極其豐富，可以通過社會工程，RDP爆破，惡意程序捆綁等方式進行傳播。

由于Globelmposter 勒索病毒采用RSA2048算法加密，目前該勒索樣本加密的文件暫無解密工具，文件被加密后會被加上*6666系列后綴。在被加密的目錄下會生成一個名為”HOW_TO_BACK_FILES”的txt文件。

此次Globelmposter 勒索變種，一改使用過往的十二生肖+數字的作為加密文件后綴），而是采用部分古希臘十二神的英文名+數字其加密的后綴名以英文+數字，（如Ares666、Zeus666、Aphrodite666、Apollon666 。）

黑客之所以傾向于侵害醫療行業的原因是在于，醫療行業的業務量大，時間緊湊，一旦感染就有可能導致整個系統的癱瘓，大量數據泄露，造成不可挽回的損失。而受害者為了盡快恢復到正常運轉的狀態態，大多只能妥協選擇向黑客支付高昂的贖金。

那么在企業運營的過程中，我們怎么可以規避一些容易感染的病毒，維護正常的運行工作狀態呢？

防護措施

1、隔離感染主機

一旦發現有某臺辦公設備感染病毒，迅速隔離中毒主機，關閉所有網絡連接，禁用網卡，可直接拔網線斷網。

2、切斷傳播途徑

a.Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議），如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用蔚壹的安全掃描評估工具掃描網絡中的核心服務器及重要的網絡設備，對識別出的可能被入侵者用來非法進入網絡或者非法獲取信息資產的漏洞，提醒安全管理員，及時完善安全策略，降低安全風險。

b.在衛計委專網級聯邊界位置通過防火墻等設備建立訪問控制策略，封堵入站的3389、445等端口，防止其他單位的橫向、縱向攻擊。

3、安全加固

a.如果要使用SMB服務器盡量設置較為復雜的密碼，建議密碼設置為字符串+特殊字符+數字，并且不要對公網開放，建議使用vpn。

b.及時給電腦打補丁，修復漏洞。

4、應急響應

緊急安全事件應急響應，是當安全威脅事件發生后迅速采取的措施和行動，此服務主要是為客戶在安全服務期間提供安全事件應急響應服務，并依托大數據分析技術提供互聯網層面攻擊溯源服務，保障系統平穩運行，維護業務系統的安全。

5、數據備份

對重要的數據文件定期或實時進行非本地備份。

以上是一些日常防護勒索病毒的基本措施。新的防護設備不斷升級，新的安全系統不斷更新，在搭建完成信息安全建設階段之后，如何在運行階段讓自己搭建的系統運行穩定，數據不被竊取、并應對實時變化的網絡安全風險，成為了很多企業單位目前規避不了的問題。