一、基本情况

近日，监测到Globelmposter勒索病毒又出现最新变种，加密文件后缀为十二生肖+865qq。目前国内多个省市发现感染案例，覆盖多行业，其中医疗行业影响最为严重。

      二、攻击原理

本次发现的Globelmposter“十二生肖”2.0版本，沿用了Globelmposter“十二生肖”1.0版本的命名。 “十二生肖”2.0版本勒索信息如下，有两个版本，以下是英文版勒索信息，有对应的中文版勒索信息。

Globelmposter“十二生肖”2.0版本加密后缀分别有Pig865qq、Rooster865qq、Tiger865qq、Dragon865qq、Snake865qq、Rat865qq、Horse865qq、Dog865qq、Monkey865qq、Rabbit865qq、Goat855qq等，以十二生肖+865qq的方式出现。

本次Globelmposter“十二生肖”2.0版本，主要瞄准目标为核心业务的服务器，造成数据库被加密及核心业务中断。如下，可以看到被加密的文件被追加了Tiger865qq的后缀名。

      三、影响范围

Globelmposter勒索病毒危害巨大，涉及不同行业，目前，覆盖行业有医疗、政府、能源、贸易等。

      四、处置建议

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。提醒广大用户做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

1) 病毒检测查杀：

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2) 病毒防御：

及时给电脑打补丁，修复漏洞。

对重要的数据文件定期进行非本地备份。

不要点击来源不明的邮件附件，不从不明网站下载软件。

尽量关闭不必要的文件共享权限。

更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，对3389等端口进行封堵，防止扩散！

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。

      五、参考链接

1) https://xz.aliyun.com/t/2711