GlobeImposter 勒索病毒应急预案

   病毒概述 

甘肃省多家医院于 2019 年 3 月 10 日遭受勒索病毒 GlobeImposter 攻击，经过天融信 EDR 安 全专家取证分析发现，该勒索病毒通过 RDP 远程桌面登录服务器定向爆破投递，然后将加 密文件成*.snake4444 后缀，释放勒索文本信息，要求交付赎金解密，同时在内网利用其它 扫描工具进行横向扩散。 

     传播方式 

1）黑客使用暴力破解攻击通过 RDP 暴力破解，远程登录 windows 桌面投递。 

2）内网通过扫描工具横向暴力破解 windows 远程桌面投递。 

     病毒影响 

1）加密用户文件，要求支付赎金解密文件。 

      应急措施 

1）通过外网防火墙关闭不必要的访问端口，如 3389、445、139、135 等端口。 

2）修改系统密码，提高系统密码复杂度，包括字母、数字、下划线等。 

3）已经感染单位，全网安装终端防病毒软件进行全网查杀，查找到感染病毒的机器进行隔 离处理。 

4）未感染单位，提前安装终端防病毒软件进行防护，及时打补丁、对系统进行加固、关闭 不必要的端口和服务。 

5）在终端防病毒软件上开启访问控制规则，严格控制 PC 之间的访问。