我們派出了距離該公司最近的杭州辦事處的工程師前往分析問題。

復旦解密現場勘查報告：
中毒臺數14臺，兩臺備份機器 丟棄 只處理12臺
其中文件服務器2臺，數據量20T
應用數據庫6臺，數據1.4T 數據庫有orcle和sql
應用服務器6臺，數據426G
財務服務器2臺金蝶erp1臺
處理時間 6個小時成功率99%付款方式對公 簽訂合同

復旦解密描述病毒特征：
復旦解密成功破解最近一段時間,.COMBO和Dragon4444勒索病毒橫行霸道, 每天被加密勒索的企業太多了。

.COMBO 跟以前的.BIP .JAVA 等加密方法類似 都是加密數據庫0-32個塊(每塊按8192字節計算) 對於這種加密 一般

恢復數據庫數據大部分可以無損；

至於最近出來的 .XX4444加密 跟前面的ALCO加密一個方式 都是從0塊開始加密 每隔8192字節加密下一個塊，一般加密到319塊 共加密160個塊。

另外尾部是向前同樣方案加密160個塊。 這種可以參考同樣的結構庫 或者好的備份 來恢復數據， 會有損 但總體效果可以.

還有 最近遇到 .NOBAD 擴展名加密,是個狠角色，有的數據庫文件被加密前4096個塊，。有的被加密前面2048個塊。 如果沒有好的結構庫或者老備份 那麽恢復會比較難辦.

難辦歸難辦 如果不想聯系×××，我們還是可以恢復需要的數據.

oralce mssql mysql mongodb postgresql 等等數據庫文件或者備份都可以通過恢復手段恢復數據,無需聯系×××

近日，復旦解密發現Globelmposter勒索病毒已經更新到3.0變種，受影響的系統，數據庫文件被加密破壞，病毒將加密後的文件重命名為.Ox4444擴展名，並要求用戶通過郵件溝通贖金跟解密密鑰等。目前國內多家大型醫院中招，呈現爆發趨勢。深信服緊急預警，提醒廣大用戶做好安全防護，警惕Globelmposter 勒索。

病毒名稱：Globelmposter3.0 變種

病毒性質：勒索病毒

影響範圍：已有多家醫院中招，呈現爆發趨勢

危害等級：高危

病毒分析

病毒描述

Globelmposter 勒索病毒今年的安全威脅熱度一直居高不下。早在今年2月全國各大醫院已經爆發過Globelmposter2.0勒索病毒×××，×××手法極其豐富，可以通過社會工程，RDP爆破，惡意程序捆綁等方式進行傳播，其加密的後綴名也不斷變化，有：.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0變種後綴為.Ox4444。

這次爆發的樣本為Globelmposter3.0家族的變種，其加密文件使用Ox4444擴展名，由於Globelmposter采用RSA+AES算法加密，目前該勒索樣本加密的文件暫無解密工具，文件被加密後會被加上Ox4444後綴。在被加密的目錄下會生成一個名為”HOW_TO_BACK_FILES”的txt文件，顯示受害者的個人ID序列號以及×××的聯系方式等。

復旦解密提示病毒本體為一個win32 exe程序，病毒運行後會將病毒本體復制到%LOCALAPPDATA%或%APPDATA%目錄，刪除原文件並設置自啟動項實現開機自啟動，註冊表項為
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。
加密勒索

加密對象：可移動磁盤，固定磁盤，網絡磁盤三種類型的磁盤。

病毒防禦

勒索病毒解密領軍企業 復旦解密提示大家
1、及時給電腦打補丁，修復漏洞。

2、對重要的數據文件定期進行非本地備份。

3、更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

4、Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議），如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火墻，或者終端檢測響應平臺（EDR）的微隔離功能對3389等端口進行封堵，防止擴散！

5、復旦服防火墻、終端檢測響應平臺（EDR）均有防爆破功能，防火墻開啟此功能並啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防禦。

最後，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。推薦使用深信服安全感知+防火墻+EDR，對內網進行感知、查殺和防護
咨詢與服務

您可以通過以下方式聯系我們，獲取關於Globelmposter的免費咨詢及支持服務：

1）撥打電話151-691-21444（已開通勒索軟件專線）

all4444/Dragon4444勒索病毒解密成功北京/上海杭州南京廣州/深圳/西安勒索病毒解密