近日，有部分单位内部网络受到勒索病毒攻击，经确认此次勒索病毒为“GlobeImposter”勒索病毒的最新变种，此次勒索病毒变种繁多，因此被加密后的文件扩展名也各不相同，其包括.ALCO、ALC02、ALC03和RESERVE等。此次GlobeImposter勒索病毒变种主要攻击开启远程桌面服务的服务器，通过RDP弱口令暴力破解方式进行传播。

1.1 描述

本次爆发的勒索病毒，它会使用高强度加密方式加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。现已确认，在没有病毒作者私钥的情况下无法恢复被加密的文件。最终该病毒将引导受害者通过邮件与勒索者进行联系，要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。

1.1.1 符合以下特征的单位将更容易遭到攻击者的侵害：

　　1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

　　2. 内网Windows终端、服务器使用相同或者少数几组口令。

　　3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。

1.2 解决方案

1.2.1 紧急处置方案

　　1、对于已中招服务器

　　下线隔离。

　　2、对于未中招服务器

　　1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。

　　2)开启Windows防火墙，尽量关闭3389、445、139、135等不用的高危端口。

　　3)每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长(15位、两种组合以上)。

1.2.2 后续跟进方案

　　1)对于已下线隔离中招服务器，可以联系安全技术团队进行日志及样本分析。

　　2）服务器、终端防护

　　1. 所有服务器、终端应强行实施复杂密码策略，杜绝弱口令

　　2. 杜绝使用通用密码管理所有机器

　　3. 安装杀毒软件、终端安全管理软件并及时更新病毒库

　　4. 及时安装漏洞补丁

　　5. 服务器开启关键日志收集功能，为安全事件的追踪溯源提供基础