宁夏网络安全信息通报中心技术支撑单位深信服安全团队监测发现：近日，Globelmposter勒索病毒3.0变种再次席卷全国各地医院，已在多个省份形成规模爆发趋势。此次事件安全风险级别为“高危”。现将事件详情通报如下：

一、事件情况

Globelmposter 3.0勒索变种的安全威胁热度一直居高不下。2018年8月，全国多家医院及企事业单位遭受攻击。Globelmposter 3.0勒索病毒攻击手法丰富，可通过社会工程、RDP爆破、恶意程序捆绑等多种方式传播，加密文件后缀名以*4444结尾，文件被加密后被加入Ox4444、China4444、Help4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444 、Snake4444、Horse4444、Goat4444、Monkey4444、Rooster4444、Dog4444等后缀。Globelmposter3.0勒索病毒程序使用自带密码本破解服务器远程桌面3389端口服务口令，破解后自动登录并将病毒体拷贝至服务器运行。运行后首先加密勒索本地文档，然后将本机作为跳板，扫描内网开放的3389服务层层感染内网服务器。

由于Globelmposter 3.0采用RSA2048算法加密，目前勒索样本加密文件暂无解密工具，文件被加密后将被加上*4444系列后缀。被加密目录下自动生成名为”HOW_TO_BACK_FILES”的txt文件，显示受害者个人ID序列号及黑客联系方式等。

二、影响范围

主要为医疗行业，不排除其他行业系统受到影响。

三、处置建议

（一）隔离感染主机

迅速隔离中毒主机，关闭所有网络连接，禁用网卡，可直接拔网线断网。

（二）切断传播途径

1.Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议）。若业务上无需使用RDP，建议关闭RDP。

2.卫健委专网级联边界位置通过防火墙等设备建立访问控制策略，封堵入站3389、445等端口，防止其他单位的横向、纵向攻击。

（三）安全加固

1.若要使用SMB服务器尽量设置较为复杂的密码，建议密码设置为字符串+特殊字符+数字，且禁止对公网开放，建议使用vpn。

2.及时升级电脑，修复漏洞。

（四）数据备份

重要数据文件定期进行非本地备份。

（五）加入“互联网暴露资产测绘公有云平台”

为有效应对处置此次事件，国家网络与信息中心协调技术支撑单位开放“互联网暴露资产测绘公有云平台”（cii.gov110.cn）注册服务，各单位可以登录该平台，使用统一注册邀请码“37b853ace4”进行自主注册，注册后输入各单位网段、域名或网站名称认领本单位暴露在互联网上的ip、端口、操作系统、设备型号类型等网络空间资产，对于暴露远程桌面3389端口的，使用弱密码扫描工具进行检测。

附件：病毒查杀工具链接

1.64位系统下载链接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

2.32位系统下载链接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z