إزالة Globe Ransomware

مع البوكيمون والسيد روبوت رانسومواري أساس صدر هذا الشهر، إدماج ثقافة البوب في رانسومواري موضوعا مهيمناً في هذا الشهر. Globe Ransomware الجديدة ليست استثناء مع مطوري البرمجيات الخبيثة مستندة على رانسومواري أفلام تطهير شعبية. مع تطهير القائمة على أساس خلفية وإضافة ملحق.purge للملفات المشفرة، مطور البرامج الضارة وضوح مستوحاة من الأفلام-

تنزيل أداة إزالةلإزالة Globe Ransomware

اكتشف emsisoft الأمن الباحث إكسكستوفيكسكس، Globe Ransomware الأعمال تماما مثل رانسومواري الأخرى. وسيتم تشفير الملفات للضحية وثم عرض ملاحظة فدية. خلافا لمعظم رانسومواري الأخرى، على الرغم من أنحاء العالم يستخدم خوارزمية التشفير السمكة المنتفخة بدلاً من تشفير AES استخداماً. وعلاوة على ذلك، بدلاً من ملاحظة فدية النص و html، يستخدم Globe Ransomware ملف HTA، أو تطبيق إتش تي أم ال، لعرض مذكرة فدية. ويبين التحليل الأولى للأسف، أن هذا رانسومواري تأمين التشفير. وهذا يعني أن من الممكن حاليا لا لفك تشفير ملفات الضحية مجاناً. ويجري المزيد من البحوث، وإذا كانت نقطة ضعف إذا وجدت، سوف نكون متأكدين أن أود أن يعرف الجميع. لأولئك الذين يرغبون في معرفة المزيد عن هذه رانسومواري، يمكنك قراءة أدناه. يمكنك أيضا طرح أسئلة أو مناقشة هذه رانسومواري في الدعم والمساعدة Globe Ransomware الموضوع.

كيف Globe Ransomware تشفير الكمبيوتر الضحية

وفي هذا الوقت لا يعرف كيف توزع Globe Ransomware. بمجرد تثبيته، سوف تحقق لمعرفة ما إذا كان الكمبيوتر الذي يتم تشغيل داخل رمل أو الجهاز الظاهري مثل أنوبيس VirtualBox، أم وير أو Virtual PC، وإذا كان، سيتم إنهاء العملية. إذا لم يكن هناك لا رمل الحالي، سوف تبدأ رانسومواري لتشفير التشكيل الجانبي للمستخدم للضحية، ومحركات الأقراص المحلية، والمجلدات المشتركة على الشبكة ومن ثم مجلد سطح المكتب للضحية. عندما يواجه ملف مع واحد من extensions1 المستهدفة 995، سيتم تشفيرها باستخدام التشفير السمكة المنتفخة وإلحاق الملحق.purge إلى الملف المشفر. على سبيل المثال، سيكون test.jpg الملف المعاد تسميته test.jpg.purge عند فإنه يتم تشفير. عندما كان يقوم بتشفير ملف أنه سيتم إنشاء ملاحظة فدية HTA يسمى كيفية استعادة files.hta في نفس المجلد مثل الملفات المشفرة. فإنه سيتم أيضا إنشاء autorun يسمى كيفية استعادة الملفات الذي يفتح تلقائياً ملاحظة فدية HTA الموجود في % UserProfile % الضحية عندما كانت تسجيل الدخول إلى Windows.

أثناء عملية التشفير، كما رانسومواري حذف “وحدة تخزين ملفات الظل الاحتياطية” وتعطيل “إصلاح بدء التشغيل Windows” استخدام هذه الأوامر:
vssadmin.exe حذف الظلال/All/Quiet

• ريكوفيرينابليد {الافتراضي} bcdedit.exe لا
• bcdedit.exe طقم {الافتراضي} بوتستاتوسبوليسي إيجنوريلفيلوريس

أخيرا عندما يتم رانسومواري فتحه كيفية استعادة files.hta ويعرضها للضحية. تتضمن هذه المذكرة فدية معرف فريد المقترنة الضحية ومعلومات الاتصال للمطور. معلومات الاتصال الحالية الخاصة بالمطور هو البريد الإلكتروني powerbase@tutanota.com وعنوان بيتميساجي بي أم-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5. تم إنشاء هذا الوضع لمساعدة المطور تصحيح التطبيق. في الوقت نفسه، فإنه يسمح الأمن الباحثين لسهولة تحليل المراحل المختلفة لهذه رانسومواري.

الملفات المقترنة في Globe Ransomware:

كيفية استعادة files.hta

• %UserProfile%AppDataLocalmsiscan.exe
• %UserProfile%How لفك التشفير الخاص بك files.jpg

إدخالات التسجيل المقترنة Globe Ransomware:

• HKCUSoftwareGlobe
• HKCUSoftwareGlobe “خامل”
• HKCUSoftwareGlobe “التصحيح”
• HKCUControl PanelDesktop “خلفية” “%UserProfile%How لفك التشفير الخاص بك files.jpg”
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “كيفية استعادة الملفات” = “mshta.exe” %UserProfile%How لاستعادة files.hta “”

تنزيل أداة إزالةلإزالة Globe Ransomware

* SpyHunter scanner, published on this site, is intended to be used only as a detection tool. More info on SpyHunter. To use the removal functionality, you will need to purchase the full version of SpyHunter. If you wish to uninstall SpyHunter, click here.