據相關部門通報，近日國內多家單位遭受GlobeImposter3.0勒索病毒攻擊，導致相關業務文件被加密，對業務的連續性造成嚴重影響。通過對本次勒索攻擊事件的分析，發現病毒程序通過破解服務器遠程桌面端口服務口令后進行滲透，并釋放勒索惡意代碼，具有極強的破壞性及針對性。

　　Globelmposter3.0勒索病毒程序用自帶的密碼本破解服務器遠程桌面3389端口服務的口令，破解后實現自動登錄并把病毒體拷貝到服務器上運行，將本地文檔加密勒索。目前該勒索樣本加密的文件暫無解密工具，文件被加密后會被加上*4444系列后綴，在被加密的目錄下會生成一個示受害者的個人ID序列號以及黑客的聯系方式的文件。該勒索病毒會把本機作為跳板，掃描內網開放的3389服務，繼續感染內網的服務器。

　　目前該勒索病毒的主要應對措施如下：

　　（一）隔離感染主機

　　迅速隔離中毒主機，關閉所有網絡連接并禁用網卡，緊急情況下可直接拔網線斷網。

　　（二）切斷傳播途徑

　　Globelmposter勒索病毒之前的變種會利用遠程桌面協議，如果業務上無需使用遠程桌面協議，建議將其關閉。當出現此類事件時，使用防火墻等安全保護技術措施對3389等端口進行封堵，防止病毒擴散。

　　（三）開展安全加固

　　1.服務器、終端防護，所有服務器、終端應強行實施復雜密碼策略，杜絕弱口令；禁用通用密碼管理所有設備；安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫；及時安裝漏洞補丁；服務器開啟關鍵日志收集功能，為安全事件的追蹤溯源提供基礎。

　　2.對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控；對業務系統及數據及時進行備份，并驗證備份系統及備份數據的可用性；建立安全災備預案，一但核心系統遭受攻擊，需要確保備份業務系統可以立即啟用。同時，做好備份系統與主系統的安全隔離工作，避免主系統和備份系統同時被攻擊，影響業務連續性。