近日，某企业威胁情报中心团队发现，观察到 Globelmposter 勒索病毒又出现最新变种，目前在国内医疗行业已发现有感染案例，且多发生在一线城市，另外还有一些传统行业也被此次病毒波及影响。

病毒名称：Globelmposter“十二主神”版本

病毒性质：勒索病毒

影响范围：多家一线城市医疗机构感染

危害等级：高危

传播方式：通过社会工程、RDP暴力破解入侵等
病毒说明

Globelmposter 勒索变种的安全威胁热度一直居高不下。Globelmposter “十二主神”勒索病毒攻击，攻击手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播。

由于Globelmposter 勒索病毒采用RSA2048算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上*6666系列后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件。

此次Globelmposter 勒索变种，一改使用过往的十二生肖+数字的作为加密文件后缀），而是采用部分古希腊十二神的英文名+数字其加密的后缀名以英文+数字，（如Ares666、Zeus666、Aphrodite666、Apollon666 。）

黑客之所以倾向于侵害医疗行业的原因是在于，医疗行业的业务量大，时间紧凑，一旦感染就有可能导致整个系统的瘫痪，大量数据泄露，造成不可挽回的损失。而受害者为了尽快恢复到正常运转的状态态，大多只能妥协选择向黑客支付高昂的赎金。

那么在企业运营的过程中，我们怎么可以规避一些容易感染的病毒，维护正常的运行工作状态呢？

防护措施

1、隔离感染主机

一旦发现有某台办公设备感染病毒，迅速隔离中毒主机，关闭所有网络连接，禁用网卡，可直接拔网线断网。

2、切断传播途径

a.Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用蔚壹的安全扫描评估工具扫描网络中的核心服务器及重要的网络设备，对识别出的可能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。

b.在卫计委专网级联边界位置通过防火墙等设备建立访问控制策略，封堵入站的3389、445等端口，防止其他单位的横向、纵向攻击。

3、安全加固

a.如果要使用SMB服务器尽量设置较为复杂的密码，建议密码设置为字符串+特殊字符+数字，并且不要对公网开放，建议使用vpn。

b.及时给电脑打补丁，修复漏洞。

4、应急响应

紧急安全事件应急响应，是当安全威胁事件发生后迅速采取的措施和行动，此服务主要是为客户在安全服务期间提供安全事件应急响应服务，并依托大数据分析技术提供互联网层面攻击溯源服务，保障系统平稳运行，维护业务系统的安全。

5、数据备份

对重要的数据文件定期或实时进行非本地备份。

以上是一些日常防护勒索病毒的基本措施。新的防护设备不断升级，新的安全系统不断更新，在搭建完成信息安全建设阶段之后，如何在运行阶段让自己搭建的系统运行稳定，数据不被窃取、并应对实时变化的网络安全风险，成为了很多企业单位目前规避不了的问题。