前言 GlobeImposter是2016年首次出现的勒索病毒类软件，主要通过远程桌面协议（RDP）暴力破解、SQL Server爆破攻击及PsExec工具进行传播。其采用RSA+AES混合加密技术加密文件并修改后缀名，攻击目标以企业、医疗机构和政府服务器为主。该病毒家族持续更新变种，衍生出十二主神系列等版本，并曾导致多起医院系统瘫痪事件。截至2024年，其传播方式新增漏洞利用和僵尸网络渠道。

特征 远程桌面入侵：通过暴力破解RDP弱口令获取服务器权限，人工投放病毒。 内网渗透：利用PsExec工具横向扩散，攻击局域网内其他主机。 漏洞利用：自2024年起新增漏洞攻击方式，结合SQL注入等渠道传。

工具使用说明

重要！确保先从系统中删除恶意软件。否则，它将反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以为您做到这一点。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议您更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能添加了其他帐户。

解密器需要访问由一个加密文件和加密文件的原始未加密版本组成的文件对，以重建解密其余数据所需的加密密钥。

请不要更改原始文件和加密文件的文件名，因为解密器可能会执行文件名比较以确定用于系统上加密文件的正确文件扩展名。

如何解密您的文件

1.从提供此“作方法”文档的同一站点下载解密器。

2.下载后，选择您的文件对，然后用鼠标将其拖放到解密器可执行文件：

3.一旦释放鼠标键，解密器将开始重建所需的加密参数。根据勒索软件的不同，此过程可能需要大量时间。

4.恢复过程完成后，解密器将显示重建的加密详细信息。显示纯粹是信息性的，用于确认已找到所需的加密详细信息：

5.接下来将显示许可条款，您必须通过单击“是”按钮同意：

6.接受许可条款后，主解密器用户界面将打开：

7.默认情况下，解密器将使用当前连接的驱动器和网络驱动器预先填充要解密的位置。可以使用 “Add” 按钮添加其他地点。此外，对象列表接受通过拖放添加的文件和位置。

8.解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于 Options 选项卡中，可以在其中启用或禁用。您可以在下面找到可用选项的详细列表。

9.将要解密的所有位置添加到列表中后，单击“解密”以启动解密过程。屏将切换到状态视图，通知您文件的当前进程和解密状态：

10.解密过程完成后，解密器会通知您：