Pokémon a pan Robot na ransomware vydána tento měsíc, integrace pop kultury do ransomware je dominantní téma tento měsíc. Nový Globe Ransomware není žádnou výjimkou s malware vývojáři založenou jejich ransomware na populární filmy Purge. S čistka, založené na základě tapety a přidáním rozšíření .purge k zašifrovaným souborům, vývojář malware byl nepochybně inspirován filmy.
Stáhnout nástroj pro odstraněníChcete-li odebrat Globe Ransomware
Objeven Emsisoft bezpečnostní výzkumník xXToffeeXx, Globe Ransomware se chová stejně jako ostatní ransomware. To bude šifrovat soubory oběti a poté zobrazit o výkupné. Na rozdíl od většiny jiných ransomware, Globe používá šifrovací algoritmus Blowfish spíše běžně používané šifrování AES. Navíc místo o text a html výkupné Globe Ransomware používá soubor HTA nebo aplikace HTML, zobrazíte výkupné. Bohužel Předběžná analýza ukazuje, že tento ransomware je kryptograficky zabezpečené. To znamená, že v současné době není možné dešifrovat soubory oběti zdarma. Další výzkum se provádí a pokud slabinu pokud nalezen, budeme mít jistotu nechat všichni vědí. Pro ty, kteří se chtějí dozvědět více o tohoto ransomware si můžete přečíst níže. Můžete také klást otázky a diskutovat tento ransomware v Globe Ransomware pomoc a podporu téma.
Jak Globe Ransomware šifruje počítače oběti
V současné době není známo, jak je distribuován Globe Ransomware. Jakmile je nainstalován, bude kontrolovat zda je v počítači je spuštěna v izolovaném prostoru nebo VM Anubis, VirtualBox, VMware, Virtual PC, a pokud ano, proces bude ukončen. Pokud není přítomen žádný pískoviště, ransomware začne šifrování profilu uživatele oběti, místní jednotky, sdílené síťové složky a pak složku plocha oběti. Když nalezne soubor s jedním z 995 cílené extensions1, bude šifrování pomocí šifrovacího algoritmu Blowfish a přidat příponu .purge k zašifrovanému souboru. Například soubor test.jpg by byl přejmenován test.jpg.purge když je zašifrován. Když to zašifruje soubor vytvoří HTA výkupné názvem obnovení files.hta ve stejné složce jako šifrované soubory. To bude také vytvořit automobil s názvem jak obnovit soubory, které se automaticky otevře HTA výkupné nachází v oběti % UserProfile % při přihlášení k systému Windows.
Během procesu šifrování ransomware také odstranit stínové kopie svazku a zakázat Windows Oprava spouštění systému pomocí těchto příkazů:
vssadmin.exe odstranit stíny/All/quiet /
- bcdedit.exe/set {výchozí} recoveryenabled ne
- bcdedit.exe/set {výchozí} bootstatuspolicy ignoreallfailures
Konečně když ransomware je otevřít jak obnovit files.hta a zobrazí na oběti. Toto výkupné obsahuje jedinečné ID spojené s obětí a kontaktní informace pro vývojáře. Aktuální kontaktní informace pro vývojáře je powerbase@tutanota.com e-mailu a adresu bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5. Tento režim byl vytvořen s cílem pomoci vývojář ladit jejich aplikaci. Na druhou stranu to umožňuje bezpečnostní výzkumníci snadno analyzovat různé fáze tohoto ransomware.
Soubory přidružené Globe Ransomware:
Jak obnovit files.hta
- %USERPROFILE%AppDataLocalmsiscan.exe
- %USERPROFILE%How dešifrovat vaše files.jpg
Položky registru spojené s Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe „nečinnosti“
- HKCUSoftwareGlobe „ladění“
- S PanelDesktop „Tapety“ „%UserProfile%How dešifrovat vaše files.jpg“
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun „Jak obnovit soubory“ = „mshta.exe“%UserProfile%How obnovit files.hta““
Stáhnout nástroj pro odstraněníChcete-li odebrat Globe Ransomware
* SpyHunter skeneru, zveřejněné na této stránce, je určena k použití pouze jako nástroj pro rozpoznávání. Další informace o SpyHunter. Chcete-li použít funkci odstranění, budete muset zakoupit plnou verzi SpyHunter. Pokud budete chtít odinstalovat SpyHunter, klikněte zde.
