据北京网思科平科技有限公司(OneScorpion)威胁情报态势分析人员的研究报告显示，近期国内已有多家医疗机构、政企部门和重要行业单位的内部网络遭受到勒索病毒GlobeImposter3.0及其变种的大面积攻击，其感染范围呈上升趋势。

经分析，该类勒索病毒通常以垃圾邮件、扫描渗透和远程桌面服务密码暴破方式进行传播，病毒运行后会将受害主机上的文件进行加密，并在桌面上生成名为“how_to_back_files.html”的网页文件，一旦该网页文件被打开，就会显示受害人ID序号和黑客联系方式，开始进行勒索。

鉴于该病毒加密后的文件尚无法解密，网思科平安全分析专家指出全网有可能再次爆发类似Wannacry的网络攻击灾害。为避免病毒大规模爆发造成严重危害，网思科平的安全分析专家建议各单位及部门全面落实网络安全等级保护制度，切实做好勒索病毒安全防护工作，保障关键信息基础设施运行安全和数据安全，并立即采取以下紧急预防措施：

• 重要数据及时备份，并明确备份管理机制
• 安装恶意程序防护软件，开启主机防火墙，关闭非必要的服务和端口，如135、139、445、3389等高危端口
• 强化各系统密码口令，多台机器不得使用类似口令
• 升级服务器操作系统，及时更新漏洞补丁
• 在系统重要结点中部署网蝎终端威胁侦测与响应系统（EDR）
• 对已感染的主机及时进行隔离处置
• 已遭受攻击的单位，及时向当地公安机关报案

目前，终端威胁侦测与响应系统的轻、灵、高效已经成为全球公认的针对勒索事件和其他高级威胁的最佳安全解决方案。北京网思科平科技有限公司早在今年6月15日就率先利用网蝎终端威胁侦测与响应系统（EDR）在国内自动拦截处置针对某大型能源集团的GlobeImposter家族攻击勒索事件。

与基于传统的特征识别方式的防护系统不同，网蝎终端威胁侦测与响应系统可以更加高效有效的拦截不断变化的勒索活动，包括人为参与的渗透辅助活动。除了甄别勒索事件并干预外，网蝎终端威胁侦测与响应系统还能完整地记录攻击事件的全过程，更好的定位系统的脆弱点和清除潜藏的勒索帮凶。在上述安全攻击事件的应对过程中，网蝎终端威胁侦测与响应系统详细记录了今年6月14日晚22:00开始的黑客有组织攻击、入侵成功、植入其他攻击程序，进而攻击其他内网计算机等手工入侵行为，并且在6月15日凌晨1:51勒索程序激活时对其成功进行了自动拦截，该全过程可跟踪和回溯。

此外，网思科平的安全分析专家还指出，近期还侦测到国内多个政企内网被WannaMiner挖矿蠕虫感染。由于该蠕虫的攻击手法和漏洞利用方式与Globelmposter勒索病毒相同，并且该类蠕虫病毒具有通讯功能，可随时根据攻击者意愿从自己的C&C服务器下载或更新攻击载荷，从而演变成为勒索病毒，造成更严重的网络灾害。为了预防此类事件再次发生，更需要引起足够重视并注意防范。