近期活跃的GlobeImposter勒索病毒

　　GlobeImposter勒索病毒是一种比较活跃的勒索病毒，新变种被加密的文件会追加上“.snake4444”后缀名。此病毒主要通过rdp远程桌面弱口令进行攻击，近期国内多家企业、医院等机构中招。

　　GlobeImposter 勒索病毒是一种比较活跃的勒索病毒，运行后加密受害者文件索要赎金，被加密文件会被追加上特殊后缀名，新变种被加密的文件会追加上“.snake4444”后缀名。

　　近期国内多家企业、医院等机构中招，此病毒主要通过rdp远程桌面弱口令进行攻击，一旦密码过于简单，被攻击者暴力破解后，攻击者就会将勒索病毒植入，加密机器上的文件。此外攻击者入侵一台机器后，还会使用工具抓取本机密码，用本机密码攻击局域网中的其它机器，进行人工投毒。不少机构就是因为，一台连接互联网的机器被攻击者远程控制，攻击者扫描内网中的其它机器进行攻击，造成内网多台机器中毒。

　　此病毒使用了对称加密和非对称加密算法，加密文件时为了提高加密速度，使用了对称加密算法AES算法加密文件，使用本地生成的RSA公钥，将AES算法的密钥加密，使用病毒作者的RSA公钥将本地生成的RSA私钥加密，因此想要解密文件需要作者的RSA私钥。如果没有病毒作者的RSA私钥，无法解密本地RSA私钥，也就无法解密AES密钥，从而无法解密受害者的文件，而RSA私钥只有病毒作者才有。网上宣称可以解密的，一种是用户付款后就再也联系不上了的骗子，另一种是充当病毒作者和受害者沟通的中介，通过和病毒作者讨价还价购买解密工具，再替受害者解密。第一种情况骗子显然是不会给解密的，即使第二种情况，也有可能联系不上病毒作者无法解密。

　　判断是否在%appdata%目录，如果不在则复制自身到%appdata%目录

　　添加启动项， 伪装为浏览器更新，此处不是为了持久驻留，而是为了防止病毒没有运行，病毒运行之后会删除自身文件

　　文件名是作者RSA公钥的哈希，每台计算机运行都相同。文件内容中的本地RSA公钥 和 用户ID ，每次运行不同。

　　本机生成的RSA公钥 会加密 随机生成的AES密钥 （AES密钥用来加密具体文件的数据）

　　之后为每个磁盘创建一个线程 线程回调函数的参数中 传入要加密的磁盘盘符、用户ID、本地生成的RSA公钥 ，开始加密磁盘中的文件

　　首先遍历全盘的文件，排除指定的文件夹，排除指定的后缀，确定某个文件需要加密后，开始执行加密文件的函数。加密后在同目录释放勒索网页 HOW_TO_BACK_FILES.txt

　　之后将加密后的AES key写入到文件，每个文件都不同，然后使用AES算法加密文件

　　最后再将UserID 写入到文件 然后释放资源，将内存中的AES密钥清空

　　最后病毒会删除系统自带的还原、删除日志、删除病毒自身程序，使受害者不知道怎么中的毒，也找不到病毒样本，增加调查取证的难度。

　　解密字符串，释放运行bat 批处理脚本，脚本的功能是，删除系统自带的系统还原，删除RDP登录的日志，防止留下日志被追踪

　　病毒删除自身，将此线程设置为低优先级，从而使加密文件的线程结束后，再执行删除病毒自身的功能。但是由于系统环境线程竞争，有一定概率删除失败，从而留下病毒样本。一般情况下如果病毒若只在%appdata%目录中有一份，运行之后就会自删除，计算机被加密后，再使用杀毒软件查杀已经没有病毒了，因为此病毒的目的不是持久驻留，而是为了加密文件勒索，而留存病毒样本反而会使分析人员增加对此病毒的了解，因此病毒自删除是常规套路。

　　此病毒一般是通过弱口令攻击，因此局域网的机器不要使用相同密码和过于简单的密码。尽量使用复杂的密码。

　　如果攻击者使用RDP远程桌面的弱口令攻击，关闭了远程桌面的功能和端口，任何人都无法远程登录，也就不会被攻击。

　　对于此类病毒，如果是纯内网，攻击者是无法入侵的，受害者的网络必然存在缺口。导致攻击者入侵了一台连接互联网的机器，而这台机器又同时连接了内网，因此攻击者横向移动，将病毒植入到内网的机器中。

　　此病毒是通过RDP弱口令传播，但是不排除以后的攻击者使用其它漏洞攻击，因此及时更新系统补丁和各种web服务的补丁，提高系统安全，才能最大限度降低被攻击的风险。

　　中毒机器 如果能事先保持监控开启，及时更新病毒库，就避免遭受勒索了。瑞星杀毒软件可以查杀此病毒及其变种，因此有两种情况导致被攻击，一种是由于弱口令，攻击者远程控制了受害者机器，手动关闭了杀毒软件。另一种是病毒库长期没有更新。

　　瑞星之剑是一款针对未知与已知勒索病毒的防御工具，可进一步阻止勒索病毒破坏文件。瑞星之剑利用了“智能诱饵”、“基于机器学习的文件格式判定规则”和“智能勒索代码行为监测”等技术，有效阻止病毒对文件进行修改加密。