#原创分享#最新勒索病毒“十二生肖”2.0防御实战！

11月5日，也就是前天，某公司也发布了“Globelmposter也就是“十二生肖”2.0新变种来袭”的新闻

链接https://mp.weixin.qq.com/s?__biz=MjM5MTAzNjYyMA==&mid=2650522078&idx=1&sn=b0379dff29eba7f3038c2e268b0bf7cb&chksm=beb4c47d89c34d6bb967645ec634e3ee7a2bea7d88798ad56d14c595c254accd74053b449812&mpshare=1&scene=23&srcid=&sharer_sharetime=1573023536711&sharer_shareid=9c2eb6317a21bf3e878777b18a3c0847#rd

事情经过：

11月2日，周六，客户给我公司打电话说是中招了

开机后弹出

黑客勒索0.6个比特币！

通过上面的截图我们可以看到

#加密的时间是11月2日23点05分左右

#后缀名基本上以“十二生肖”英文结尾

#每一个文件夹都有一个开执行文件HOW TO BACK YOUR FILES.EXE 的文件，运行这个文件弹出勒索信息

试了几个主流的解密工具，均无效！

桌面新建几个文档都没有被加密，可能病毒源文件已经被黑客清除

系统日志也已经被黑客清空。。。

被黑原因：

运维人员为了方便运维，将自己的电脑开启RDP，并且用华为防火墙直接映射在了公网，为Globelmposter的入侵做好了准备，这就是一盘菜啊。

事后防御：

1、全网部署亚信officescan杀毒软件，开启实时监控和行为监控，病毒库实时更新；

      当然EDR也可以防御，而且edr能够实现微隔离，阻止病毒的扩散：微隔离配置指导

2、出口部署某公司NGAF，配置参考：#原创分享#实战-防御勒索病毒！

https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=81902#/

加上防火墙后：

3、爱数备份系统做好重要系统备份工作，虚拟机化系统做好虚拟机的备份和快照

4、关闭端口映射，采用某公司sslvpn的方式发布内网业务，包括RDP服务

5、系统全部采取强密码策略！杜绝弱口令；

这个强！
社区也有关于这个病毒的相关介绍！

http://bbs.sangfor.com.cn/forum. ... ead&tid=87637#/

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

只能重装了？

事前防御很重要，做好备份更重要，不然都没办法恢复。

这大场面，目前没有看到过

这样的大场面不要发生在我这里

这样的大场面,希望不要出现在我身边

有预算就配个堡垒机~

多谢分享，已经学习