緊急預警：Globelmposter3.0變種來襲
在國內首先發現的Globemposter 3.0變種勒索病毒，現仍在持續肆虐傳播，國內已有多個區域、多個行業受該病毒影響，包括政府、醫療行業、教育行業以及大型企業單位等，呈現爆發趨勢。受影響的系統，資料庫檔案被加密破壞，並要求使用者通過郵件溝通贖金跟解密金鑰等。深信服緊急預警，提醒廣大使用者做好安全防護，警惕Globelmposter勒索。
病毒名稱：Globelmposter3.0 變種
病毒性質：勒索病毒
影響範圍：政府、醫療、教育、企業等均受到病毒***，呈現爆發趨勢
危害等級：高危
Globelmposter勒索病毒今年的安全威脅熱度一直居高不下。這次爆發的樣本為Globelmposter3.0家族的變種，採用RSA+AES演算法加密，目前該勒索樣本加密的檔案暫無解密工具，檔案被加密後會被加上Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444等字尾。
在被加密的目錄下會生成一個名為”HOW_TO_BACK_FILES”的txt檔案，顯示受害者的個人ID序列號以及***的聯絡方式等。
很多企業IT管理人員在伺服器中毒後還不清楚是怎麼回事，造成了很多不必要的損失及資料的永久損壞。我們根據三年經驗及上千個案例分析，釋出如下發現伺服器中勒索病毒後的緊急處理方法。如中毒企業IT管理員看到，請第一時間按流程操作。
1、發現伺服器中毒後首先斷開網路（拔網線），因為病毒會加密共享資料夾裡的檔案，斷網後可以減少共享資料夾被加密的風險。
2、檢查工作管理員，通常病毒還會繼續在記憶體中執行。所以應先檢視相關不明程序並結束相關病毒程序。如不清楚病毒程序，可進入windows系統安全模式跳至第3步。
3、下載防毒軟體（360、卡巴斯基等）全盤防毒，防毒軟體依個人喜好下載。病毒很容易查殺，掃描後正常可以找到3-6個病毒程式。
4、查殺完成後，確定新建立的檔案不再被病毒加密，立即使用行動硬碟等備份重要資料。
5、如需要解密資料，檢查區域網計算機共享資料夾是否有檔案被加密，並把這些加密檔案全部集中到中毒伺服器上，否則將有可能不能恢復。
6、最後，聯絡正瑛科技進行資料安全、妥當的恢復操作。

根據正瑛科技三年來對上千個案例的分析發現，勒索病毒主要通過遠端桌面（RDP服務、3389埠）暴力破解使用者密碼，進入伺服器釋放病毒程式，進而加密所有檔案。因此我們總結經驗，建議如下防範措施：
1、伺服器儘量不要開放外網埠。
2、不使用系統自帶遠端協助服務，使用其它遠端管理軟體，例如：TeamViewer或者瑞友天翼。
3、更改預設administrator管理帳戶，禁用GUEST來賓帳戶。
4、更改複雜密碼，字母大小寫，數字及符號組合的密碼，不低於10位字元。
5、外網伺服器不要有訪問及修改內網計算機資料夾的許可權。
6、設定帳戶鎖定策略，在輸入5次密碼錯誤後禁止登入。
7、安裝防毒軟體，設定退出或更改需要密碼，防止***進入關閉防毒軟體。
8、定期的一個數據異地備份，如是雲伺服器，一定要做好快照。