多家企业的安全中心监控相继报道，自8月21日起，多地发生GlobeImposter勒索病毒事件，已有多家企业和组织机构中招。GlobeImposter家族首次出现是在2017年5月，在2017年11月也有过一次疫情爆发。Globelmposter主要采用RDP弱口令暴力破解服务器密码人工投毒的方式进行勒索。

360安全监测与响应中心经过定性分析，攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。所以如果存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构，以及采用Windows服务器并且终端未部署或未及时更新安全加固和杀毒软件的企业或单位将极易受到攻击。

如何应对？

已感染病毒：

尽快将被感染服务器下线隔离。

未感染病毒：

1.   对内网安全域进行合理划分，限制横向移动的范围。   

2、及时给电脑打补丁，修复漏洞

3、使用杀毒软件尽快做好病毒检测与查杀工作

4、服务器开启关键日志收集功能，为安全事件的追踪溯源提供基础

5、重新设置账户密码，不要使用统一密码

6、备份、备份、还是备份！

• 作为数据安全的最后一道防线，需要对业务系统及数据进行及时备份。

• 备份之后同样需要保证数据的可恢复，因此需要尽快验证建立安全灾备预案，确保备份系统及备份数据的可恢复，以及恢复之后的可用性，保证业务连续运行。

• 为了防止备份数据受到波及，最好对备份系统与主系统的进行安全隔离。

安全工作任重而道远，只有尽快建立有效的数据及网络安全防护机制，才能在黑天鹅事件来临时有备无患。