2017 年 7 月 19 日，國內網友在安適論壇上反饋，本身的辦事器中了勒索病毒，所有的文件均被加密，文件后綴名被修改為“skunk”。經瑞星安適專家調查分析發現是感染了Ransom.Globelmoster勒索病毒。

瑞星安適人員體現，此病毒早在 7 月 10 日便已收錄進瑞星病毒庫，，瑞星所有安適產品只要將版本升級到最新便可對其攔截。同時，作為全球首創的可以攔截已知和未知勒索病毒的“瑞星之劍”無需升級便可直接對其進行攔截。

瑞星安適人員介紹，此次網友反饋的勒索病毒事件可能是用戶的辦事器存在漏洞或是弱口令，被黑客拿到了辦理員權限，然后植入該病毒。因此，廣大企業用戶應謹慎對待，制止遭受勒索病毒攻擊。可在辦事器中安置瑞星之劍，既可以防御病毒攻擊，同時不會對辦事器造成任何影響。

“瑞星之劍”是瑞星全球首創針對已知與未知勒索病毒的防御軟件，既不影響正常工作又不影響系統性能，用戶無需進行關閉系統正常辦事端口、打補丁、開啟防火墻等操作，便可實現全防御的效果，可供廣大政府、企業和有定制化業務系統的用戶直接使用。

    “Globelmoster”勒索病毒變種詳細分析

1、病毒運行后從資源中解密出加密生成文件的后綴名，和提示文件名

2、將自身拷貝到%appdata%\Microsoft\SystemCertificates\My\Certificates\目錄中

3、釋放批處理文件并執行

4、結束指定進程

5、跳過指定路徑不加密

6、全盤加密文件

7、生成提示頁面

8、總結

論壇用戶反饋的病毒樣本就為一存粹加密器，沒有感染模塊。用戶辦事器中毒有可能是辦事器上面存在漏洞或者弱口令，被黑客種植該樣本勒索。

9、防御方法

自查辦事器，看辦事器上面提供的辦事是否存在漏洞，辦事器系統補丁連結更新，按期修改辦理員賬號密碼，安置瑞星之劍和防病毒軟件按期掃描病毒。