GlobeImposter勒索病毒再度来袭？莫慌，浪潮SSR为你保驾护航

近期，国家计算机网络应急技术处理协调中心广东分中心发布GlobeImposter勒索病毒家族传播预警，预警报告中指出GlobeImposter正在利用RDP（远程桌面协议）远程爆破等方式突破企业边界防御，再进一步进行内网渗透感染高价值服务器并加密文件。目前，多数据中心遭受到此病毒攻击受到影响。

浪潮SSR安全技术团队在第一时间针对GlobeImposter传播和感染的原理，在SSR5.0版本中进行了防护效果验证。目前，SSR5.0版本的主动防御功能和应用程序管控功能均有较好的防护效果。

新病毒采用更强加密算法，无秘钥文件无法恢复

本次爆发的GlobeImposter勒索病毒，采用RSA和AES两种加密算法的结合，加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.RESERVE等。现已确认，在没有病毒作者私钥的情况下无法恢复被加密的文件。最终该病毒将引导受害者通过邮件与勒索者进行联系，要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。

勒索软件在加密文件的同时创建了勒索信息文件how_to_back_files.html，要求受害者将一个加密的图片或文档发送到指定的邮箱，由于加密的文件末尾包含个人ID，攻击者可以通过个人ID及其手中的RSA私钥解出用以解密文件的私钥，这样就可以识别不同的受害者。攻击者会给出解密后的文件及解密所有文件的价格，在受害者付款后，攻击者会发送解密程序。

浪潮SSR可有效防护GlobeImposter勒索病毒

浪潮安全团队采用SSR5.0版本对GlobeImposter样本进行防护对比验证。验证环境中部署了三台Win7操作系统的服务器，其中服务器A不安装SSR，服务器B安装SSR并开启主动防护功能，服务器C安装SSR并开启应用程序管控功能。三台设备配置信息如下表所示：

验证设备配置信息

1、服务器A中执行GlobeImposter样本

因服务器A中未部署SSR客户端，在执行GlobeImposter样本后，原文本文件test1.txt被加密，并将后缀名修改为.doc。此外，因文本文件text2.txt为空，根据GlobeImposter文件加密过滤规则，将不对空文件进行加密，即下图所示text2.txt并未被加密。

在被加密文件的目录（此处截图为桌面）生成勒索文件信息Read_ME.html，用于用户支付赎金接口。

未部署SSR的服务器A遭受GlobeImposter攻击

2、服务器B中执行GlobeImposter样本

服务器B部署SSR客户端，并开启了主动防御功能，其他功能暂不开启，主要验证主动防御功能是否可阻止GlobeImposter发作。

在服务器B中执行GlobeImposter样本，暂时未发现异常。查看任务管理器，发现GlobeImposter.exe已经执行，但桌面上的text.txt被未被加密，也未产生生成勒索文件信息Read_ME.html。

GlobeImposter.exe样本在服务器B中执行情况

SSR集中管理平台中主动防御功能监控界面的拦截日志显示，SSR主动防御功能拦截了GlobeImposter.exe在temp目录中创建system.dll文件（勒索软件的变种不同，释放的dll可能不同）。这主要是因为主动防御功能内置了相应的安全策略——禁止在系统目录C盘中创新任何dll动态库，该策略可阻止勒索软件启动时在系统目录释放可执行文件和动态库，防止其后续的加密操作。

SSR主动防御功能拦截system.dll创建日志

此外，SSR主动防御功能还内置多种安全策略，可阻止非授权在系统目录中创建如exe、dll、com、sys等后缀的可执行文件，保证系统不被恶意代码攻击。如果客户服务器除了C盘还有其他盘，建议配合应用程序管控一起使用，这将有更好的防护效果。

3、服务器C中执行GlobeImposter样本

服务器C部署SSR客户端，并开启了应用程序管控功能（软件白名单），其他功能暂不开启，主要验证应用程序管控功能是否可阻止GlobeImposter发作。

在执行GlobeImposter前，已经对服务器C进行白名单采集。在服务器C中执行GlobeImposter样本后，系统直接弹出该程序无法执行的提示。

GlobeImposter.exe样本在服务器C中执行情况

打开SSR集中管理平台中应用程序管控功能监控界面，从程序运行状态中可以发现GlobeImposter.exe的信任级别为未知，在正常运行模式下，如果应用程序管控功能识别到程序为未知或黑名单，SSR将直接阻止程序的执行，如果识别为白名单或灰名单，程序将可以执行。从程序管控事件中可以看出出，SSR应用程序管控功能阻止了GlobeImposter.exe样本的执行。

SSR应用程序管控拦截GlobeImposter.exe启动操作

从GlobeImposter传播和感染的原理，以及实际验证的情况来看，SSR5.0版本主动防御功能和应用程序管控功能均有较好的防护效果。针对GlobeImposter发作的各个阶段，SSR提供了多维度的防护功能。

SSR相应功能防护说明

防护勒索病毒，浪潮安全专家支招

对于近期泛滥的GlobeImposter勒索病毒家族，浪潮安全专家给出了有效防护的建议：

避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式，并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。多台机器不要使用相同或类似的登录口令，以免出现“一台沦陷，全网瘫痪”的惨状。重要资料一定要定期隔离备份。此处尤其注意隔离，在以往的反馈案例中从来不乏确有备份，但由于在同一网络内，导致备份服务器一同被加密的情况。及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。关闭非必要的服务和端口如135、139、445、3389等高危端口。严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件。