尊敬的用戶，你好：

近日，勒索病毒GlobeImposter家族最新變種正在國內傳播，受影響的系統，數據庫文件被加密破壞，病毒將加密后的文件重命名為.TRUE擴展名，并通過郵件來告知受害者付款方式。由于Globelmposter采用RSA2048算法加密，目前該勒索樣本加密的文件無解密工具。

病毒分析

Globelmposter家族首次出現在2017年5月，主要傳播方式是通過向特定的用戶發送垃圾郵件進行傳播。此次發現的Globelmposter家族最新變種，通過RSA算法進行加密，先通過CryptGenRandom隨機生成一組密鑰對，然后使用樣本中的硬編碼生成相應的私鑰，最后生成受害用戶的個人ID序列號，加密相應的文件夾目錄和擴展名，并將生成的個人ID序列號寫入到加密文件末尾，相應的加密文件夾目錄，如下圖所示：

同時樣本還會進行自我拷貝操作，將自身拷貝到%APPDATA%目錄下：

病毒影響

用戶感染相應的Globelmposter變種之后，樣本會加密相應的文件夾下的文件，并生成how_to_back_file.html的超文本文件，如圖所示：

解決方案

病毒檢測

用戶可免費下載深信服EDR對該變種病毒進行檢測與隔離。下載地址為：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

病毒防御

1、不要點擊來源不明的郵件以及附件；

2、及時給電腦打補丁，修復漏洞；

3、對重要的數據文件定期進行非本地備份；

4、安裝專業的終端/服務器安全防護軟件；

5、Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議），因此建議用戶關閉相應的RDP(遠程桌面協議）；

6、盡量關閉不必要的文件共享權限以及關閉不必要的端口，如：445,135,139,3389等；