GlobeImposter勒索病毒再换新装，新变种更换加密文件后缀！

近期360安全大脑收到多例用户反馈——系统中大量文件被加密，后缀被修改成.auchentoshan。经过360安全大脑分析，该勒索病毒为GlobeImposter的一个变种，于2月底开始在国内传播，近期传播范围有扩大趋势。该变种仅更新勒索提示信息以及后缀，其功能代码与之前版本相比相似度在99%以上。

如图所示，感染该勒索病毒后，电脑中的大量文件将会被加密，并被添加后缀.auchentoshan。

加密完成后，病毒会生成勒索提示信息，并留下勒索邮箱：

auchentoshan#protonmail.com

远程桌面爆破入侵

GlobeImposter勒索家族瞄准服务器



GlobeImposter勒索病毒家族，是目前较为流行的勒索病毒，它主要通过远程桌面爆破入侵用户计算机，之后进行手动投毒。由于很多管理员为了方便，开启了服务器上的远程桌面，并设置了弱口令导致黑客有机可乘。



另外，从目前360安全大脑检测到的被攻破帐户名称中，出现频率最高的前四名依次是Administrator，Admin，kingdee和Guest，而使用常用的账户名称或弱口令登录，将面临被远程桌面爆破入侵的风险。



360安全专家介绍，服务器入侵成为了勒索病毒的重要传播方式，相比于个人电脑，服务器数据的珍贵程度和不可恢复性更强，因此向勒索者支付赎金的意愿也相对更强。就在今年年初，GlobeImposter勒索病毒就对国内多家医院发起攻击，致使医院系统瘫痪。

360安全大脑降妖有绝招  

有效拦截GlobeImposter家族全系列



针对服务器的勒索攻击依然是当下勒索病毒的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此我们给各位管理员一些建议：



1.    前往weishi.360.cn，下载并安装360安全卫士，能有效拦截GlobeImposter家族等各类勒索病毒的攻击。

2.    多台机器，不要使用相同的账号和口令，且登录口令要有足够的长度和复杂性，并定期更换。开启360安全卫士的“服务器安全防护”功能，可有效拦截这类口令爆破攻击。

3.    重要资料的共享文件夹应设置访问权限控制，并进行定期备份。

4.    定期检测系统和软件中的安全漏洞，及时打上补丁。

5.    定期到服务器检查是否存在异常。查看范围包括：

a)     是否有新增账户

b)     Guest是否被启用

c)      Windows系统日志是否存在异常


d)     杀毒软件是否存在异常拦截情况


来源 360安全卫士