一、前言描述

Globelmposter勒索病毒再次出現(xiàn)最新變種，密文件后綴以十二生肖 865qqz的方式出現(xiàn)。即到哥一客戶，2019年12月29日，公司被此病毒攻擊，公司的ERP，明源系統(tǒng)，文件服務(wù)器都中招了。

中招現(xiàn)象如下圖所示：

所有文件夾中，都有How to Back your Files，如何找回你的文件。所有文件后綴都被自動更改為.Tiger865qqz。

二、病毒分析

病毒名稱：Globelmposter“十二生肖”2.0版本

病毒性質(zhì)：勒索病毒

影響范圍：多省市多行業(yè)發(fā)現(xiàn)感染案例，醫(yī)療行業(yè)感染最嚴(yán)重，政企業(yè)。

危害等級：高危

傳播方式：通過社會工程、RDP暴力破解，弱密碼，共享文件端口等方式攻擊

病毒特點：1.病毒運行后會關(guān)閉保護(hù)和數(shù)據(jù)庫進(jìn)程。2.全盤加密指定類型文件。3.創(chuàng)建勒索信息文件。4.自刪除。

病毒描述：

Globelmposter“十二生肖”2.0版本的勒索信息如下，有兩個版本，以下是英文版勒索信息。

雙擊打開How to Back your Files，出現(xiàn)如下所示的勒索信息。

上面的提示意思是說：

1、YOUR FILES ARE ENCRYPED：您的文件被加密了。

2、TO DECRYPT,FOLLOW THE INSTRUCTIONS BELOW：請按照下面的說明進(jìn)行解密。

3、To recover data you need decrypt tool：恢復(fù)數(shù)據(jù)您需要解密程序。
4、To get the decrypt tools you should：獲得解密程序您需要。
5、Send1 crypted test image or text file or document to

China.Helper@aol.com

發(fā)送一個被加密的測試文件(圖片或者文檔)到郵箱China.Helper@aol.com。

6、In the letter include your personal ID(look at the beginning of thisdocument.)Send me this ID in your first email to me.
We will give you free text for decrypt few files(NOT VALUE) and assign theprice for decryption all files .After we send you instruction how to pay fordecrypt too; and after payment you will receive a decrypted tool andinstruction how to use it We can decrypt few files in quality the evidence thawe have the decoder.

郵件內(nèi)容需要包含您的個人ID(請看文檔開始的ID).

我們將會解密測試文件并給出解密全部文件的價格。
然后我們會告訴您如何購買解密程序，支付解密費用后您將受到解密程序和使用說明。我們解密一個文件是為了證明我們擁有解碼器。

7、MOSTIMPORTANT!!!
非常重要?。?！
8、Donot contace others services that promise to decrypt your files, this is fraudon their part! They will buy a decoder from us ,and you will paymore for his services .No one, except China.Helper@aol.com,will decrypt your files.
不要聯(lián)系其他保證能解密您文件的人，他們是在欺騙您！他們需要從我們這里購買解碼器，而且您需要為此支付更多的費用。

加密碼的ID就是上面的這串?dāng)?shù)字。

Mw QY dC Cj TW yD P6 i9 LC Yk pY hE K0 gK dp lb

B3 p/ Rd 9O Xi eZ U2 SW k8 Y3 5t /F si ZI Hf w1

x5 ey br 4h /h Jl 7w Jk iN 6S it Hw o7 Qe dM RI

m4 4N Ne AJ Hq hY Oy tS CK hX od dn e/ Yh uC hI

Vd QR Oi OM Oj o/ 0/ q2 fL o4 a6 dl vU li in lL

s bo El dv Rh dA 6F Gh dv na /J Am Bo 9o q9 GJ

5e 8F HT 5C 42 xy lA 1O yh 4x ST i/ cN wA a7 7

dg jy 68 Jg hs oa 80 By yp 3j El j5 gJ 9M P9 GI

Uc gv vE BC cs 4D S6 Gz /J dZ 9f tL gm DB fL mG

gX XJ mY W4 L0 wK Nm b3 Dg ht DE OP k3 zk tb nQ

iR ED o7 lm XO 3H c8 pj ue RY TE rx bY I1 uW uH

rA LD Xr rc lB hU y7 jX wJ Dv PF 9V 0M y3 h4 j0

tQ mt /r 4T Vb cp Ig 9z XJ Sc XZ jq rH QL ll Fb

Q5 ur T4 aK wu Qb OP FQ 5x FK 3N w5 o 9T Ly Ri

yI bl WQ bJ LZ Ar hh E8 af B7 WS 0l Se cK oe xM

s6 gk gr CG Fh cv lr zH go Nr IZ 8M DR pj 4i /B

Ya I 7P q5 57 yh lr 5e Nd DY l8 NP zx M7 p8 nm

UE 9o I9 iK E4 OE rI dY AB IY yG ba Cg kb F5 jl

1l PX sZ tN c/ GO 0h MI j3 NE V By Bl NL m7 cS

mz zZ Rb VX ig JE Aq ah 8 ZH WV gm t0 5l Ui Z1

l/ 4q XV tS UT rU U1 BI F Vo e9 ok aw oQ cy 7J

dC Dq AM e2 fF s=

GlobelmposterV2病毒，截止目前，任何機(jī)構(gòu)是無法解密的。

三、Globelmposter“十二生肖”發(fā)展

GlobelmposterV2，十二生肖 2.0版本。

Globelmposter“十二生肖”2.0版本加密后綴以十二生肖 865qq的方式出現(xiàn)，分別有：

Pig865qq、Rooster865qq、Tiger865qq、

Dragon865qq、Snake865qq、Rat865qq、

Horse865qq、Dog865qq、Monkey865qq、

Rabbit865qq、Goat855qq等

早在18年8月份，Globelmposter“十二生肖”1.0版本，也就是Globelmposter3.0，其加密后綴以*4444為主要特征，典型后綴包括：

Dragon4444(龍)、Pig4444（豬）、

Tiger4444（虎）、Snake4444（蛇）、

Rooster4444（雞）、Rat4444（鼠）、

Horse4444（馬）、Dog4444（狗）、

Monkey4444（猴）Rabbit4444（兔）、

Goat4444(羊）等

四、解決辦法

一旦被勒索，將導(dǎo)致業(yè)務(wù)中斷，造成的損失不可估量，這又會導(dǎo)致這個行業(yè)的受害者為了快速恢復(fù)業(yè)務(wù)，而選擇給黑客支付贖金的方式。

所以現(xiàn)階段勒索病毒都會使用RSA等非對稱加密，用戶要定期對重要文件離線備份。一旦被加密，如果很重要文件，只能通過支付贖金來恢復(fù)。但就算支付贖金，也不定會給你秘鑰解密。

預(yù)防策略：

1、公司服務(wù)器電腦不要使用相同的賬號和口令，避免使用統(tǒng)一的密碼，因為統(tǒng)一的密碼會導(dǎo)致一臺被攻破，多臺遭殃。

2、設(shè)置強(qiáng)密碼登錄口令要有足夠的長度和復(fù)雜性，并定期更換登錄口令，避免黑客利用弱口令暴力破解。

3、重要資料的共享文件夾應(yīng)設(shè)置訪問權(quán)限控制，并進(jìn)行定期備份移動硬盤，對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

4、定期檢測系統(tǒng)和軟件中的安全漏洞，對不熟悉的軟件，如果已經(jīng)被殺毒軟件攔截查殺，不要添加信任繼續(xù)運行，軟件及時打上補(bǔ)丁，修復(fù)漏洞。

5、定期到服務(wù)器檢查是否存在異常。

6、如果已經(jīng)感染病毒，建議盡快對感染主機(jī)進(jìn)行斷網(wǎng)隔離。

7、不要點擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。

8、盡量關(guān)閉不必要的文件共享權(quán)限，業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP，盡量關(guān)閉445，135，139，3389等不必要的端口。

9、使用安全產(chǎn)品，接入安全云腦，使用云查服務(wù)可以即時檢測防御新威脅。

10、電腦服務(wù)器安裝殺毒軟件，及時更新病毒庫版本。

11、加強(qiáng)內(nèi)部人員網(wǎng)絡(luò)安全意識培訓(xùn)，降低安全風(fēng)險。