学正数据国内首先发现的Globemposter 3.0变种勒索病毒，

现仍在持续肆虐传播，国内已有多个区域、多个行业受该病

毒影响，包括政府、医疗行业、教育行业以及大型企业单位

等，呈现爆发趋势。受影响的系统，数据库文件被加密破坏，

并要求用户通过邮件沟通赎金跟解密密钥等。深信服紧急预

警，提醒广大用户做好安全防护，警惕Globelmposter勒索。

病毒名称：Globelmposter3.0 变种

病毒性质：勒索病毒

影响范围：政府、医疗、教育、企业等均受到病毒攻击，呈现爆发趋势

危害等级：高危

病毒分析

病毒描述

Globelmposter勒索病毒今年的安全威胁热度一直居高不下。早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒攻击，攻击手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名也不断变化，有：

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。这次爆发的样本为Globelmposter3.0家族的变种，采用RSA+AES算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上Ox4444、China4444

Help4444

Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444

Goat4444 、Monkey4444 、Rooster4444、Dog4444等后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。

样本分析

开机自启动

病毒本体为一个win32 exe程序，病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录，删除原文件并设置自启动项实现开机自启动，注册表项为

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。

加密勒索

加密对象：可移动磁盘，固定磁盘，网络磁盘三种类型的磁盘。

加密方式：

样本通过RSA算法进行加密，先通过CryptGenRandom随机生成一组128位密钥对，然后使用样本中的硬编码的256位公钥生成相应的私钥，最后生成受害用户的个人ID序列号。然后加密相应的文件夹目录和扩展名，并将生成的个人ID序列号写入到加密文件末尾，如下图所示：

隐藏行为

通过该病毒中的Bat脚本文件能够删除：1、磁盘卷影 2、远程桌面连接信息 3、日志信息，从而达到潜伏隐藏的目的，其中的删除日志功能，由于bat中存在语法错误，所以未能删除成功。

解决方案

近期已有大量用户中招Globelmposter病毒，包括2.0和3.0变种。针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。

360提醒广大用户尽快做好病毒检测与防御措施，防范此次勒索攻击。

病毒检测查杀

1、360为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。