近日，深信服安全团队观察到Globelmposter勒索病毒再次出现最新变种，加密文件后缀以十二生肖+865qq的方式出现，截至目前国内多个省市均发现感染案例，覆盖多行业，其中医疗行业影响最严重，个别省份同一天出现10家以上医院受感染。结合早期Globelmposter勒索病毒特征，深信服安全团队将其命名为“十二生肖”2.0版本。

病毒描述

“十二生肖”2.0版本勒索信息如下，有两个版本，以下是英文版勒索信息，有对应的中文版勒索信息。

Globelmposter“十二生肖”2.0版本加密后缀分别有Pig865qq、Rooster865qq、Tiger865qq、Dragon865qq、Snake865qq、Rat865qq、Horse865qq、Dog865qq、Monkey865qq、Rabbit865qq、Goat855qq等，以十二生肖+865qq的方式出现。

早在18年8月份，深信服已经跟踪到了Globelmposter“十二生肖”1.0版本，也就说Globelmposter3.0，其加密后缀以*4444为主要特征，典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444（猪）、Tiger4444（虎）、Snake4444（蛇）、Rooster4444（鸡）、Rat4444（鼠）、Horse4444（马）、Dog4444（狗）、Monkey4444（猴）、Rabbit4444（兔）、Goat4444(羊)等。

Globelmposter“十二生肖”1.0版本具体信息详见：紧急预警：Globelmposter再爆3.0变种，大型医院已中招

今年7月，Globelmpostser勒索病毒开始出现“十二主神”版本,加密后缀以“希腊十二主神+666” 、 “希腊十二主神 + 865”等形式出现。

Globelmpostser“十二主神”版本具体信息详见：Globelmposter勒索病毒最新变种预警：从“十二生肖”到“十二主神”，为何国内医疗行业最受伤？

本次发现的Globelmposter“十二生肖”2.0版本，沿用了Globelmposter“十二生肖”1.0版本的命名，却继承了“十二主神”2.0的特点，没有采用“十二生肖”1.0版本的勒索信息，而是采用了“十二主神”的勒索信息。

一直以来，国内一直饱受Globelmposter勒索病毒的侵害，涉及不同行业，覆盖行业有医疗、政府、能源、贸易等行业。其中对医疗行业危害最大，医疗卫生行业具有很大的业务紧迫性，一旦被勒索，将导致业务中断，造成的损失不可估量，这又会导致这个行业的受害者为了快速恢复业务，而选择给黑客支付赎金的方式。此外，境外黑客势力并不会顾及行业的特殊性和公益性，较之以往更加变本加厉，给医疗卫生行业带来了巨大的挑战。

本次Globelmposter“十二生肖”2.0版本，主要瞄准目标为核心业务的服务器，攻击HIS、LIS、PACS等系统，导致门诊无法看病，数据库被加密，如下，可以看到被加密的文件被追加了Tiger865qq的后缀名。

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

病毒防御