2017 年 7 月 19 日，國(guó)內(nèi)網(wǎng)友在安適論壇上反饋，本身的辦事器中了勒索病毒，所有的文件均被加密，文件后綴名被修改為“skunk”。經(jīng)瑞星安適專家調(diào)查分析發(fā)現(xiàn)是感染了Ransom.Globelmoster勒索病毒。

瑞星安適人員體現(xiàn)，此病毒早在 7 月 10 日便已收錄進(jìn)瑞星病毒庫(kù)，，瑞星所有安適產(chǎn)品只要將版本升級(jí)到最新便可對(duì)其攔截。同時(shí)，作為全球首創(chuàng)的可以攔截已知和未知勒索病毒的“瑞星之劍”無需升級(jí)便可直接對(duì)其進(jìn)行攔截。

瑞星安適人員介紹，此次網(wǎng)友反饋的勒索病毒事件可能是用戶的辦事器存在漏洞或是弱口令，被黑客拿到了辦理員權(quán)限，然后植入該病毒。因此，廣大企業(yè)用戶應(yīng)謹(jǐn)慎對(duì)待，制止遭受勒索病毒攻擊?？稍谵k事器中安置瑞星之劍，既可以防御病毒攻擊，同時(shí)不會(huì)對(duì)辦事器造成任何影響。

“瑞星之劍”是瑞星全球首創(chuàng)針對(duì)已知與未知勒索病毒的防御軟件，既不影響正常工作又不影響系統(tǒng)性能，用戶無需進(jìn)行關(guān)閉系統(tǒng)正常辦事端口、打補(bǔ)丁、開啟防火墻等操作，便可實(shí)現(xiàn)全防御的效果，可供廣大政府、企業(yè)和有定制化業(yè)務(wù)系統(tǒng)的用戶直接使用。

    “Globelmoster”勒索病毒變種詳細(xì)分析

1、病毒運(yùn)行后從資源中解密出加密生成文件的后綴名，和提示文件名

2、將自身拷貝到%appdata%\Microsoft\SystemCertificates\My\Certificates\目錄中

3、釋放批處理文件并執(zhí)行

4、結(jié)束指定進(jìn)程

5、跳過指定路徑不加密

6、全盤加密文件

7、生成提示頁面

8、總結(jié)

論壇用戶反饋的病毒樣本就為一存粹加密器，沒有感染模塊。用戶辦事器中毒有可能是辦事器上面存在漏洞或者弱口令，被黑客種植該樣本勒索。

9、防御方法

自查辦事器，看辦事器上面提供的辦事是否存在漏洞，辦事器系統(tǒng)補(bǔ)丁連結(jié)更新，按期修改辦理員賬號(hào)密碼，安置瑞星之劍和防病毒軟件按期掃描病毒。