大家好，我是GlobeImposter勒索病毒，中文绰号“江湖骗子”，我是2017年5月第一次行走网络的，经过多番搏杀后退隐，如今我进化到2.0版卷土重来啦！我隐藏在恶意邮件的附件中，通过JavaScript脚本激活，进入电脑后通过动态技术来对抗安全软件，这是我与其他勒索软件最大的不同，另外跟其他勒索软件不一样，我在代码中取消比特币钱包汇款地址，而使用邮件告知受害者付款方式，如此一来就增加了隐蔽性。
　　具体来说，当我成功激活后会在内存中动态解密恶意文件，并将这些文件复制到系统目录下——如果是Windows XP系统，复制到C：＼Doc
　　uments and Settings＼Administrato
　　r＼Application Data目录下，如果是Windows 7系统，复制到C：＼Users＼用户名＼Appdata＼Roaming目录下。之后，在注册表中RunOnce下增加一个CertificatesCheck键，键值为恶意文件在系统的具体路径，如此就可以实现开机自启动。
　　接着，搜索敏感数据库文件、Office文件、邮件文件等，找到文件后我先调用CryptGenRandom随机生成一组128位的私钥，然后使用256位公钥加密刚刚随机生成的私钥得到一个ID，再将ID添加到加密文件名称的末尾，也就是说我使用了RSA2048与RSA1024两种算法进行加密，这么大的加密强度无人可以破解！最后，我会创建一个名为how_to_back_files.html的勒索信息文件，通过该文件要求受害者将一个加密的图片或文档发送到指定的邮箱，由于加密的文件末尾包含个人ID，如此我的主人可以识别不同的受害者并发送对应的私钥解锁，当然前提是要支付赎金。
　　其实，要對付我也很容易，对来历不明的邮件保持高度警惕，避免打开附件或点击邮件中的链接就好。另外及时备份重要文件，且文件备份与主机隔离也是一个不错的补救方法哟！