紧急预警:Globelmposter3.0变种来袭
在国内首先发现的Globemposter 3.0变种勒索病毒,现仍在持续肆虐传播,国内已有多个区域、多个行业受该病毒影响,包括*、医疗行业、教育行业以及大型企业单位等,呈现爆发趋势。受影响的系统,数据库文件被加密破坏,并要求用户通过邮件沟通赎金跟解密密钥等。深信服紧急预警,提醒广大用户做好安全防护,警惕Globelmposter勒索。
病毒名称:Globelmposter3.0 变种
病毒性质:勒索病毒
影响范围:*、医疗、教育、企业等均受到病毒攻击,呈现爆发趋势
危害等级:高危
Globelmposter勒索病毒今年的安全威胁热度一直居高不下。这次爆发的样本为Globelmposter3.0家族的变种,采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444等后缀。
在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。
很多企业IT管理人员在服务器中毒后还不清楚是怎么回事,造成了很多不必要的损失及数据的永久损坏。我们根据三年经验及上千个案例分析,发布如下发现服务器中勒索病毒后的紧急处理方法。如中毒企业IT管理员看到,请第一时间按流程操作。
1、发现服务器中毒后首先断开网络(拔网线),因为病毒会加密共享文件夹里的文件,断网后可以减少共享文件夹被加密的风险。
2、检查任务管理器,通常病毒还会继续在内存中运行。所以应先查看相关不明进程并结束相关病毒进程。如不清楚病毒进程,可进入windows系统安全模式跳至第3步。
3、下载杀毒软件(360、卡巴斯基等)全盘杀毒,杀毒软件依个人喜好下载。病毒很容易查杀,扫描后正常可以找到3-6个病毒程序。
4、查杀完成后,确定新建立的文件不再被病毒加密,立即使用移动硬盘等备份重要数据。
5、如需要解密数据,检查局域网计算机共享文件夹是否有文件被加密,并把这些加密文件全部集中到中毒服务器上,否则将有可能不能恢复。