【预警类型】高危预警

【预警内容】七月勒索病毒变种再攻击（古希腊十二神）

一、背景

近日，中心通过日常监控发现，专门针对传统行业、教育机构、企事业单位、医院及政府部门的Globelmposter勒索软件再出新变种，此次变种一改过去使用十二生肖的英文名+数字的风格(如：Rabbit6666、Dragon6666)，而采用了部分古希腊十二神的英文名+数字作为加密文件后缀(如：Aphrodite666、Ares666)。

就在刚刚到来的7月初，Globelmposter变种攻击活动针对国内医院发起了强势攻击，且医院大多位于一线城市，此外还有食品等传统行业公司波及此次攻击活动。

二、提醒

虽目前已经对攻击活动进行应急响应处理，但由于Globelmposter勒索软件使用了RSA2048算法进行文件加密，目前暂无解密工具，而市面上公开宣传可以解密的大多为“黑中介”，谨防上当受骗。

三、处置建议

1.提高安全意识，保持良好的上网习惯，做好重要数据的离线备份。

2.不要打开来历不明的邮件附件。

3.在Windows中禁用U盘的“自动运行”功能。

4.打齐操作系统安全补丁，及时升级Web、数据库等服务程序，防止病毒利用漏洞传播。

5.尽量关闭不必要的端口，如445、135，139等，对3389、5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

6.避免使用弱口令，采用复杂密码，设置登录失败次数限制，防止暴力破解攻击。

7.安装奇安信天擎新一代终端安全管理系统，定期扫描电脑，及时升级更新病毒库保持杀毒软件的良好运行。

四、总结

由于Globelmposter攻击手法十分丰富，可通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，因此建议您严格参照处置建议进行操作，尤其针对RDP爆破一条，务必使用带标点符号和大小写字母的强密码，且不要打开任何未知来源的电子邮件或者QQ等社交媒体传播的文件。

附件：

下图为本次Globelmposter变种后缀名所涉及的古希腊十二神的命名