紧急：Snake4444勒索病毒解密方法

近日，国瑞IT发现Globelmposter勒索病毒再次席卷全国各地医院及企业单位系统，被入侵的系统文件及数据库被加密，病毒将加密后的文件后缀改以Snake4444结尾，并要求用户通过邮件沟通赎金跟解***等。目前GlobeImposter 3.0 Snake4444已在多个省份形成规模爆发趋势，国瑞IT建议全国各医院做好安全防护，受影响单位可联系国瑞IT，快速获取病毒应急响应支撑。

Globelmposter 3.0勒索变种的安全威胁热度一直居高不下。早在2018年8月份，安全厂商就追踪到该变种并在国内发布预警。Globelmposter 3.0勒索病毒攻击，攻击手法极其丰富，可以通过社会工程，RDP**，恶意程序捆绑等方式进行传播，其加密的后缀名以*4444结尾，文件被加密后会被加上以下后缀：
Ox4444、
China4444、
Help4444、
Rat4444 、
Tiger4444 、
Rabbit4444 、
Dragon4444 、
Snake4444 、
Horse4444、
Goat4444 、
Monkey4444 、
Rooster4444、
Dog4444
…

由于Globelmposter 3.0采用RSA2048算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上*4444系列后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID***以及黑客的联系方式等。


解决方案
1、隔离感染主机
迅速隔离中毒主机，关闭所有网络连接，禁用网卡，可直接拔网线断网。
2、切断传播途径
a.Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散。
b.在卫计委专网级联边界位置通过防火墙等设备建立访问控制策略，封堵入站的3389、445等端口，防止其他单位的横向、纵向攻击。
3、安全加固
a.如果要使用SMB服务器尽量设置较为复杂的密码，建议密码设置为字符串+特殊字符+数字，并且不要对公网开放，建议使用v*n。
b.及时给电脑打补丁，修复漏洞。
4、数据备份
对重要的数据文件定期进行非本地备份。

国瑞IT联系热线（勒索病毒全国24小时内上门解决）
华北地区：184 0194 2172（北京、河北、内蒙、吉林、辽宁、黑龙江、甘肃）
华中地区：155 8888 9264（山东、河南、山西、陕西、湖南、湖北、江西、四川、重庆、贵州、云南）
华东地区：150 2166 2155 （上海、浙江、江苏、安徽、福建、广东、广西）
QQ：17304354/1196368487