分析研判，此次勒索病毒主要利用 3389 端口对 Windows 服务器实施网络攻击。该病毒利用自带密码本破解服务器远程桌面服务（3389 端口）口令，破解后病毒程序对本地文档实施加密开展勒索活动，并以该主机为跳板感染内网其他服务器。

1、漏洞情况分析

Globelmposter勒索病毒首次出现发生在2017年5月，第二次出现在2017年11月。GlobeImposter2.0勒索病毒在今年2月份被发现，随后8月再次爆发。由于Globelmposter3.0采用RSA+AES算法加密，文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。

(1)该病毒在被感染系统中生成如下自身拷贝文件:%AppDataLocal%\{Malware Name}.exe

(2)在系统目录中生成如下文件:

%SystemRoot\Users\Public\B26A340109A0081ADF57D63647533B8681DC0B8E159BE 052385ED4024E9CFFBC

(3)为达到自启动目的，该病毒添加如下注册表键值:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe

(4)被加密后的文件扩展名为:ALCO

(5)其会在加密文件路径下，生成如下勒索提示信息文件:how_to_back_files.html

(6)生成的勒索提示文件，主要包括受害者个人的ID序列号和勒索者的联系方式

2、漏洞影响范围

Windows 服务器

3、漏洞处置建议

由于Globelmposter3.0采用RSA+AES算法加密，目前该勒索病毒加密的文件暂无解密工具，请使用以下手段进行应急防范。

1. 不点击来源不明的邮件以及附件,尤其是如下扩展名的附件:.js, .vbs, .exe, .scr, or .bat；

2. 不要点击来源不明的邮件以及附件，可能包含密码抓取工具或其他木马病毒；

3. 更改默认administrator管理帐户，禁用GUEST来宾帐户；

4. 更改复杂密码，字母大小写，数字及符号组合的密码，不低于10位字符；不要使用电话号码，学号等纯数字作为账号密码；

5. 设置帐户锁定策略，在输入5次密码错误后禁止登录；

6. 安装杀毒软件，设置退出或更改需要密码，防止杀毒软件被恶意关闭；

7. 定期进行数据备份，如是云服务器，一定要做好快照；

8. 服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,3389，135,139等；

9. 禁止系统自带远程协助服务，使用其它远程管理软件，例如：TeamViewer,并妥善保管好密码。

10. 及时更新windows补丁。

对中招勒索病毒的用户，包括Globelmposter2.0和3.0变种，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

上半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）HTTP协议违背：共拦截12855次；

2）HTTP访问控制事件，共拦截12618次。

3）Cookie篡改，共拦截7534次； 

4）资源盗链：共拦截3378次；

5）WEB构件漏洞攻击，共拦截2013次；

3、防火墙黑名单

   根据WAF、防火墙的防护情况，针对频繁次数攻击威胁的公网IP进行拉黑处理，03月份上半月共拉黑地址20个。

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月境内感染网络病毒的主机数量约为46.3万个。

上半月 CNCERT 监测发现境内被篡改网站数量为1300个； 境内被植入后门的网站数量为1074个；针对境内网站的仿冒页面数量为3218个。

四、建议防范措施

根据我校03月份上半月整体网络与信息安全情况及外部网络威胁情况，针对本次Globelmposter勒索病毒，用户应尽可能加强计算机远程桌面的安全防护，通过修改远程桌面默认3389端口规避病毒入侵。同时提升系统登录密码的复杂度。