2017年WannaCry、Petya、Bad Rabbit等勒索病毒的陰霾尚未完全消散，春節假期剛過，國內便再次發生多起勒索病毒攻擊事件。經騰訊企業安全分析發現，此次出現的勒索病毒正是GlobeImposter家族的變種，該勒索病毒將加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名，并通過郵件來告知受害者付款方式，使其獲利更加容易方便。

　　目前，騰訊企業安全已實時防御該勒索病毒，并建議各大企業用戶使用騰訊企業安全“御點”防御此類攻擊。同時，普通用戶開啟騰訊電腦管家“文檔守護者”功能備份重要文檔，可防御大部分勒索病毒攻擊。

　　此次爆發的GlobeImposter家族勒索病毒變種，主要以國內公共機構服務器作為攻擊對象。據騰訊企業安全技術專家指出，從捕獲的傳播樣本來看，其惡意代碼框架和流程是一致的，唯一不同的就是加密文件的后綴名和攻擊者的郵箱地址信息。惡意代碼樣本為了防止被輕易地分析，加密了大多數字符串和一部分API，而加密后的文件后綴將會重命名為.TRUE等。

　　(病毒程序將加密后的文件重命名為后綴名為.TRUE的文件)

　　勒索軟件在加密文件的同時，會創建勒索信息文件，引導受害者通過郵件與勒索者進行聯系，要求受害者將一個加密的圖片或文檔發送到指定的郵箱進行付費解密。

　　基于此次病毒樣本的分析及研究不難發現，如今勒索病毒的隱蔽性與傳播效率正逐步提升，用戶一旦中招更可能造成不可估量的嚴重后果。企業及個人用戶在防御勒索病毒時應更加側重事前預防，不給不法黑客可乘之機。

　　騰訊企業安全技術專家表示，企業及個人用戶日常應養成良好的電腦使用習慣，加強網絡安全防范意識：盡量關閉不必要的端口、不必要的文件共享，禁用對共享文件夾的匿名訪問;采用高強度的密碼，并且強制要求每個服務器使用不同密碼管理;對沒有互聯需求的服務器/工作站內部訪問設置相應控制，避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器;在終端/服務器部署騰訊云等具備專業安全防護能力的云服務，可有效防御病毒入侵。

　　對于企業用戶來說，在緊急情況下，應立即組織內網檢測，查找所有開放445等服務端口的終端和服務器，一旦發現電腦中毒，立即斷網;要求所有員工按照日常防范步驟，檢查和落實漏洞修復等安全措施;嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備，同時盡快備份電腦中的重要文件和數據資料。

　　如今，網絡安全已逐漸成為企業發展的重要基礎建設之一，企業有必要建立一套定制化的網絡防御方案，切實提升網絡安全防御能力。騰訊企業安全相關負責人表示，在對抗病毒、漏洞攻擊活動方面，騰訊“御點”依托騰訊19年的安全經驗積累，可有效防御企業內網終端的病毒木馬攻擊。此外，普通用戶也應及時安裝操作系統漏洞補丁，安全備份重要數據及文件，以免遭到勒索病毒破壞。