近日，勒索病毒GlobeImposter家族最新變種正在國內傳播，受影響的系統，數據庫文件被加密破壞，病毒將加密後的文件重命名為.TRUE擴展名，並通過郵件來告知受害者付款方式。由於Globelmposter采用RSA2048算法加密，目前該勒索樣本加密的文件無解密工具。

此次爆發的GlobeImposter家族的變種，主要以國內公共機構服務器為主要***對象，目前已有醫療機構因該病毒出現系統癱瘓，對業務連續性造成嚴重影響。

”

病毒分析

Globelmposter家族首次出現在2017年5月，主要傳播方式是通過向特定的用戶發送垃圾郵件進行傳播。此次發現的Globelmposter家族最新變種，通過RSA算法進行加密，先通過CryptGenRandom隨機生成一組密鑰對，然後使用樣本中的硬編碼生成相應的私鑰，最後生成受害用戶的個人ID序列號，加密相應的文件夾目錄和擴展名，並將生成的個人ID序列號寫入到加密文件末尾，相應的加密文件夾目錄

同時樣本還會進行自我拷貝操作，將自身拷貝到%APPDATA%

病毒影響

用戶感染相應的Globelmposter變種之後，樣本會加密相應的文件夾下的文件，並生成how_to_back_file.html的超文本文件，如圖所示：

生成的超文件文件，顯示了個人的ID序列號，以及惡意軟件作者的聯系方式:

值得註意的是，用戶一旦出現Globelmposter變種感染，***會以工具輔助手工的方式，對內網其他機器進行***，在內網擴散。

解決方案**復旦解密是國內專業的針對勒索病毒的解密公司，如果有朋友中招可以聯系qq 347 74 565 79

病毒防禦

1、不要點擊來源不明的郵件以及附件；

2、及時給電腦打補丁，修復漏洞；

3、對重要的數據文件定期進行非本地備份；

4、安裝專業的終端/服務器安全防護軟件；

5、Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議），因此建議用戶關閉相應的RDP(遠程桌面協議）；

6、盡量關閉不必要的文件共享權限以及關閉不必要的端口，如：445,135,139,3389等；

把客戶的需求當做自己義不容辭的責任，是復旦解密公司一直的追求！

GlobeImposter5.0新型勒索病毒來襲，想了解的看這裏！