Com Pokemon e Mr. Robot baseado ransomware lançado este mês, integrando a cultura pop ransomware é um tema dominante neste mês. O novo Globe Ransomware não é excepção com os desenvolvedores de malware baseando sua ransomware os filmes populares de purga. Com uma purga com base com base em papel de parede e adicionando a extensão de Slytherin a arquivos criptografados, o desenvolvedor de malware foi claramente inspirado por filmes.
Download ferramenta de remoçãoremover Globe Ransomware
Descoberto por Emsisoft segurança pesquisador xXToffeeXx, a Globe Ransomware age como outro ransomware. Ele irá criptografar arquivos da vítima e exibir uma nota de resgate. Ao contrário da maioria dos outro ransomware, porém, globo usa o algoritmo de criptografia Blowfish prefiro a criptografia AES comumente usado. Além disso, em vez de um bilhete de resgate de texto e html, o Globe Ransomware usa um arquivo HTA ou aplicativo HTML, exibir o bilhete de resgate. Infelizmente, a análise preliminar mostra que este ransomware é criptograficamente seguro. Isto significa que atualmente não é possível descriptografar arquivos da vítima de graça. Mais pesquisa está sendo feita e se uma fraqueza se encontrado, teremos certeza para que todos saibam. Para aqueles que desejam aprender mais sobre este ransomware, você pode ler abaixo. Você também pode fazer perguntas ou discutir este ransomware no Globe Ransomware ajuda e apoio tópico.
Como o Globe Ransomware criptografa o computador da vítima
Neste momento não se sabe como o Globe Ransomware é distribuído. Uma vez que é instalado, ele irá verificar para ver se o computador está executando dentro de uma caixa de areia ou máquina virtual como Anubis, VirtualBox, VMware ou Virtual PC, e se for, o processo será encerrado. Se não há nenhum presente da caixa de areia, o ransomware começará criptografar o perfil de usuário da vítima, unidades locais, pastas de rede compartilhadas e em seguida a pasta desktop da vítima. Quando encontra um arquivo com um do extensions1 alvo 995, irá criptografá-los usando criptografia Blowfish e acrescentar a Slytherin extensão para o arquivo criptografado. Por exemplo, usar o arquivo seria renomeado test.jpg.purge quando está encriptado. Quando ele criptografa um arquivo, ele irá criar uma nota de resgate HTA chamada como restaurar files.hta na mesma pasta que os arquivos criptografados. Ele também irá criar um autorun chamado como restaurar arquivos que automaticamente abre o bilhete de resgate HTA localizado no % UserProfile % da vítima quando eles login para Windows.
Durante o processo de criptografia, o ransomware também excluir cópias de sombra de Volume e desative o reparo de inicialização do Windows usando estes comandos:
vssadmin.exe apagar sombras atural /Quiet
- BCDEdit.exe /set {default} recoveryenabled n
- BCDEdit.exe /set {default} bootstatuspolicy ignoreallfailures
Finalmente, quando o ransomware é feito abrir o como restaurar o files.hta e o exibe para a vítima. Essa mensagem contém um ID exclusivo associado com as vítima e informações de contato para o desenvolvedor. As informações de contato atuais para o desenvolvedor são o e-mail powerbase@tutanota.com e o endereço de bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5. Deste modo foi criado para ajudar o desenvolvedor a depurar seu aplicativo. Ao mesmo tempo, permite que os pesquisadores de segurança facilmente analisar as várias fases deste ransomware.
Arquivos associados com o Globe Ransomware:
Como restaurar files.hta
- %USERPROFILE%AppDataLocalmsiscan.exe
- %USERPROFILE%How para descriptografar seu files.jpg
Entradas do registro associadas a Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe “ocioso”
- HKCUSoftwareGlobe “depurar”
- HKCUControl PanelDesktop “Wallpaper”, “%UserProfile%How para descriptografar seu files.jpg”
- HKEY_CURRENT_USER “Como restaurar arquivos” = “mshta.exe”%UserProfile%How para restaurar files.hta””
Download ferramenta de remoçãoremover Globe Ransomware
* scanner de SpyHunter, publicado neste site destina-se a ser usado apenas como uma ferramenta de detecção. mais informação sobre SpyHunter. Para usar a funcionalidade de remoção, você precisará adquirir a versão completa do SpyHunter. Se você deseja desinstalar o SpyHunter, clique aqui.
