2018年8月21日起多地发生GlobeImposter 2.0勒索病毒事件，经过定性分析，攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器，利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒，即使服务器上安装了相关安全软件，也会被黑客手动退出，导致文件被加密。病毒感染后的主要特征包括Windows服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事件特征分析，除已受到攻击的单位外其它类型单位也面临风险，需积极应对。

一、技术分析

这次爆发的样本为Globelmposter 2.0家族的变种，其加密文件使用RESERVE扩展名，由于Globelmposter采用RSA2048算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上RESERVE后缀。在被加密的目录下会生成一个名为“how_to_back_files”的html文件，显示受害者的个人ID序列号以及黑客的联系方式等。

病毒本体为一个win32exe程序，其编译时间为2018/4/3。病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录，删除原文件并设置自启动项实现开机自启动，注册表项为

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck

加密对象：可移动磁盘，固定磁盘，网络磁盘三种类型的磁盘。

加密方式：

样本通过RSA算法进行加密，先通过CryptGenRandom随机生成一组128位密钥对，然后使用样本中的硬编码的256位公钥生成相应的私钥，最后生成受害用户的个人ID序列号。病毒会遍历全盘，在排除样本中不加密文件夹列表后，使用随机生成的公钥加密其他所有文件，并将生成的个人ID序列号写入到加密文件末尾，如下图所示：

隐藏行为：

通过该病毒中的Bat脚本文件能够删除：1、磁盘卷影2、远程桌面连接信息3、日志信息，从而达到潜伏隐藏的目的，其中的删除日志功能，由于bat中存在语法错误，所以未能删除成功。

二、影响范围

（一）存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的组织；

（二）且内网Windows终端、服务器使用相同或者少数几组口令；

（三）Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。

三、紧急处置方案

（一）对于已受侵害的服务器须下线并隔离；

（二）对于暂未受侵害的服务器；

1.在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放；

2.开启Windows防火墙，尽量关闭3389、445、139、135等不用的高危端口；

3.每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号的组合，口令位数足够长。

四、持续改进方案

对于已下线且隔离的服务器，联系专业技术服务机构进行日志及样本分析。

（一）服务器、终端防护

1.所有服务器、终端应强行实施复杂密码策略，杜绝弱口令；

2.杜绝使用通用密码管理所有计算机；

3.安装杀毒软件、终端安全管理软件并及时更新；

4.及时安装漏洞补丁；

5.服务器开启关键日志收集功能。

（二）网络防护与安全监测

1.对内网安全域进行合理划分。各个安全域之间限制严格的ACL，限制横向移动的范围。

2.重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御，严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

3.在网络内架设IDS/IPS设备，及时发现、阻断内网的横向移动行为。

4.在网络内架设全流量记录设备，以及发现内网的横向移动行为，并为追踪溯源提供良好的基础。

（三）应用系统防护及数据备份

1.应用系统层面，需要对应用系统进行安全渗透测试与加固，保障应用系统自身安全可控；

2.对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性；

3.建立安全灾备预案，一旦核心系统遭受攻击，需要确保备份业务系统可以立即启用；同时，需要做好备份系统与主系统的安全隔离工作，避免主系统和备份系统同时被攻击，影响业务连续性。

天津市网信办提示医院、法院等相关重点单位采取有效措施进行防控：及时分析预警信息，开展漏洞检查修复工作，对可能演变为严重事件的情况，及时采取应对措施，避免出现网络安全事故。