病毒预警：GlobeImposter

多地发生GlobeImposter勒索病毒事件，攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。

病毒特征

文件后缀：

GOTHAM；*.YAYA；*.CHAK；*.GRANNY；*.SKUNK；*.TRUE；*.SEXY;*.MAKGR；*.BIG1；*.LIN；*.BIIT;*.reserve；*.BUNNY；*.FREEMAN；

勒索通知信息文件为：how_to_back_files.html 

攻击方式

此病毒主要针对企业，通过RDP远程桌面爆破入侵施放病毒，病毒会加密本地磁盘与共享文件夹的所有文件, 并在内网对其他主机进行口令暴破,扩散病毒。

影响设备

1.存在弱口令且rdp服务暴露在外网上的设备；

2.内网设备使用相同或者少数几组口令；

3.设备未部署或未及时更新杀毒软件。

应急响应

1、断开网络，预防感染其它内网计算机文件；

2、结束病毒进程，安装杀毒软件，查杀病毒，预防二次中毒加。（查杀病毒不会损坏加密的文件）；

3、备份加密数据。预防意外造成加密数据损坏无法解密；

4、排查服务器的局域网是否有共享文件夹文件被加密，进行备份。

预防措施

1.  Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），因此建议用户关闭相应的RDP(远程桌面协议）；

2.  不要点击来源不明的邮件以及附件，可能包含密码抓取工具或其他木马病毒；

3.  更改默认administrator管理帐户，禁用GUEST来宾帐户；

4.  更改复杂密码，字母大小写，数字及符号组合的密码，不低于10位字符；

5.  设置帐户锁定策略，在输入5次密码错误后禁止登录；

6.  安装杀毒软件，设置退出或更改需要密码，防止进入关闭杀毒软件；

7.  定期的一个数据异地备份，如是云服务器，一定要做好快照；

8.  服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139等；

9.  禁止系统自带远程协助服务，使用其它远程管理软件，例如：TeamViewer,并妥善保管好密码。