Globelmposter3.0又出新的变种了？

朋友微信咨询我中了哪款勒索病毒家族，非常着急，如下所示：

通过勒索信息，我判断大概是Globelmposter勒索病毒，然而不能太确定，因为这个后缀我没见过，只能通过勒索信息大致判断，需要拿到样本才能分析确认，后面朋友发来了样本，如下所示：

勒索的提示信息，如下所示：

经过分析通过确认此勒索病毒为Globelmposter3.0家族的最新变种，最近可能会比较流行，大家需要密切关注，跟踪！

Globelmposter勒索病毒首次出现是在2017年5月份，主要通过钓鱼邮件进行传播，2018年2月国内各大医院爆发Globelmposter变种样本，通过溯源分析发现此勒索病毒可能是通过RDP爆破、社会工程等方式进行传播，此勒索病毒采用RSA2048加密算法，Globelmposter2.0使用的加密后缀列表为：

TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03

RESERVE等

2018年8月份此勒索病毒出现Globelmposter3.0变种样本，再次大范围攻击国内多个政企事业单位，Globelmposter3.0使用了十二生肖英文名+4444的加密后缀，如下所示：

Ox4444、Snake4444、Rat4444、

Tiger4444、Rabbit4444、Dragon4444、

Horse4444、Goat4444 、Monkey4444 、

Rooster4444 、Dog4444 、Pig4444

所以Globelmposter3.0勒索病毒俗称"十二生肖勒索病毒"

十二生肖变种之后，Globelmposter又爆发出几个不同版本的变种，我详细分析过此勒索病毒五六个不同变种版本，Globelmposter是现在国内最流行的勒索病毒家族之一，主要攻击国内的各个政企事业单位......

为啥我称它为Globelmposter3.0勒索病毒最新变种呢？因为前段时间我已经捕获到了一例Globelmposter3.0的变种，此勒索病毒加密的后缀仍然为4444，如下所示：

加密后的文件后缀名Tiger4444，然而捕获到的此例Globelmposter3.0的代码结构与之前Globelmposter3.0的代码结构基本不同了，如下所示：

通过对比两款Globelmposter3.0的样本代码相似度只有0.059，然而加密的后缀却同样都是Tiger4444，我们暂且将它定义为Globelmposter3.0最新的变种

朋友发给我这款勒索病毒样本，我发现它的加密后缀变为了Zeus666，如下所示：

同时我发现这款勒索病毒，与我之前捕获的Globelmpsoter3.0的最新的那款4444变种很相似，加密行为类似，于是我拿这款样本与之前我捕获到的Globelmposter3.0最新变种进行对比，如下所示：

代码相似度竟然达到了0.99，所以这款勒索应该就是Globelmposter3.0的最新的变种样本，然而这次的变种后缀名又变为了Zeus666，后面会不会出现更多以666结尾的Globelmposter3.0变种样本呢？希望各企业做好相应的安全防护

通过对这款勒索病毒大量的溯源分析，发现的此勒索病毒主要通过RDP爆破的方式攻击相关主机，然后在被攻击的主机内网中使用相关的黑客工具对内网中的其它机器进行传播感染，此勒索病毒不具备主动传播感染的能力，但是遗憾的事，此勒索病毒目前暂无法解密......

相关的传播手法，可以参考之前我在微信公众号发布的一篇

《揭密黑产“暴力勒索、毁尸灭迹”运作一条龙》

最近几年勒索病毒爆发，尤其是针对企业的勒索病毒攻击越来越多，关于勒索病毒的防护，给大家分享几个简单的方法，通过这些方法可以有效的防御部分勒索病毒：

1、及时给电脑打补丁，修复漏洞

2、谨慎打开来历不明的邮件，点击其中链接或下载附件，防止网络挂马和邮件附件攻击

3、尽量不要点击office宏运行提示，避免来自office组件的病毒感染

4、需要的软件从正规（官网）途径下载，不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件

5、升级防病毒软件到最新的防病毒库，阻止已知病毒样本的攻击

6、开启Windows Update自动更新设置，定期对系统进行升级

7、养成良好的备份习惯，对重要的数据文件定期进行非本地备份，及时使用网盘或移动硬盘备份个人重要文件

8、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃，黑客会通过相同的弱密码攻击其它主机

9、如果业务上无需使用RDP的，建议关闭RDP，以防被黑客RDP爆破攻击