小弟今天手上拿到一臺中了勒索軟體的Win7電腦
所有檔案副檔名後全部被加上.[gustafkeach@johnpino.com].ad
並且每個資料夾都留有Read_to_Restore_File.html的文件(如附圖)
點我看圖
查看了一下檔案被更動的時間是凌晨4:50分左右
網路上搜尋了一下資料，有資料顯示這個病毒是GlobeImposter的變種
也有人歸類在GlobeImposter 2.0裡，但試過GlobeImposter的解碼器無法解鎖
網站No more Ransom也無法判別
有趣的事情是關於這個病毒的所有解法兼自家防毒軟體廣告文章發布時間都是在這兩天內
不知道是否有前輩對於這方面有所研究，如果有需要，小弟能提供被加密的檔案供檢測

----後續更新----
檢視了事件檢視器的紀錄，有一些小發現，但不確定是不是跟這次攻擊有所關係。

1. 被攻擊電腦的隔壁電腦，長期會以Type3的形式，平均一分鐘不到就進行登入登出的活動，每次登入的port都不一樣，有port號遞增的情形，登入處理程序是NtLmSsp，驗證封裝為NTLM，名稱是NTLM V1
2. 有一個登入的紀錄在被攻擊的前一天中午，當時有一個type10的登入從52.174.144.150，從56823port登入。另外有一個紀錄一樣是type10，從185.81.128.79的33076port登入，兩筆記錄都在約半分鐘後登出，查一下ip位址，52.x的那個不知道是荷蘭還是美國的ip，185.x的那個來自拉脫維亞。185.x的那個ip在文件被更動的時間點前9分鐘又登入了一次，登入時間一樣是維持半分鐘。
3. 另外有幾筆顯示Windows防火牆驅動程式已成功啟動及防火牆服務已成功啟動的紀錄，但防火牆服務理論上沒關閉過。這個紀錄從5月底跟6月就有出現過
4. 以及攻擊的前兩天及被攻擊後有出現金鑰檔案的操作紀錄，識別碼是NETWORK SERVICE，提供者是Microsoft Software Key Storage Provider，演算法名稱無法使用，金鑰名稱TSSeckeySet1，他的路徑在C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys裡面，但跟攻擊有沒有關係有待商榷

----108.9.2 再更新----
剛剛查詢了一下開發出GlobeImposter解碼器的emsisoft網站，他們新增了這支病毒分類，https://id-ransomware.malwarehunterteam.com/index.php
我上傳了被勒索的檔案後他們判定為GlobeImposter 2.0，我已經訂閱，等待有大神解出他的破綻了QQ
另外也發現有其他中毒出現的加密副檔名一樣是一個email+不知名的檔案類型，在這個網站上可見端倪https://www.pcissuessolution.com/?s=remove+virus
目前只歸納出這個攻擊手法是從RDP的漏洞進行攻擊，並未有實際的解法。