國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)Globelmposter勒索病毒又出現(xiàn)最新變種��,該變種被命名為十二主神版本����。該惡意程序加密后綴有Ares666�����、Zeus666��、Aphrodite666����、Apollon666等����。該勒索病毒變種影響范圍涉及不同行業(yè)����,覆蓋行業(yè)有醫(yī)療��、政府�、能源、貿(mào)易等�,其中醫(yī)療行業(yè)受該病毒影響最大。
該勒索病毒變種通過(guò)社會(huì)工程���、RDP爆破����、惡意程序捆綁等方式進(jìn)行傳播����,加密受害主機(jī)文件,釋放勒索信息進(jìn)行勒索�����。首先,此勒索病毒為了保證正常運(yùn)行����,先關(guān)閉了 Windows defender。然后創(chuàng)建自啟動(dòng)項(xiàng)��,啟動(dòng)項(xiàng)命名為 WindowsUpdateCheck�����。通過(guò)執(zhí)行cmd命令刪除磁盤(pán)卷影��、停止數(shù)據(jù)庫(kù)服務(wù)���。同時(shí)����,對(duì)磁盤(pán)文件進(jìn)行遍歷�,排除對(duì)非加密文件及目錄后,對(duì)其余文件進(jìn)行加密操作����,加密后綴名為Ares666,生成勒索信息文件 HOW TO BACK YOUR FILES.txt��。在加密完成以后,刪除自啟動(dòng)項(xiàng)��,執(zhí)行cmd命令刪除磁盤(pán)卷影���、刪除遠(yuǎn)程桌面連接信息���、清除系統(tǒng)日志。最后����,病毒文件進(jìn)行自刪除處理���。
針對(duì)該惡意程序所造成的危害����,建議用戶及時(shí)給電腦打補(bǔ)丁����,修復(fù)漏洞,對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份�。同時(shí),不要點(diǎn)擊來(lái)源不明的郵件附件�����,不從不明網(wǎng)站下載軟件。盡量關(guān)閉不必要的文件共享權(quán)限�。并且要經(jīng)常更改賬戶密碼,設(shè)置強(qiáng)密碼���。如果業(yè)務(wù)上無(wú)需使用RDP的����,建議關(guān)閉RDP��,以免使電腦受到該惡意程序的危害����。