Med både Pokemon og Mr. Robot er baseret ransomware udgivet i denne måned, integrere ransomware pop kultur et dominerende tema i denne måned. Den nye Globe Ransomware er ingen undtagelse med malware udviklere baserer deres ransomware på de populære Purge film. Med en udrensning baseret baseret tapet og tilføjer filtypenavnet .purge til krypterede filer, malware forfatter var tydeligt inspireret af film.
Download værktøj til fjernelse affjerne Globe Ransomware
Opdaget af Emsisoft sikkerhed forsker xXToffeeXx, fungerer Globe Ransomware ligesom andre ransomware. Det vil kryptere et offer filer og derefter vise en løsesum notat. I modsætning til de fleste andre ransomware, men bruger kloden Blowfish krypteringsalgoritme temmelig almindeligt anvendte AES kryptering. Desuden, i stedet for en tekst og html løsesum notat, Globe Ransomware bruger en HTA- eller HTML-program, fil til at vise løsesum noten. Foreløbige analyser viser desværre, at denne ransomware er kryptografisk sikker. Det betyder, at det ikke er i øjeblikket muligt at dekryptere en ofrets filer gratis. Mere forskning der bliver gjort, og hvis en svaghed hvis fundet, vil vi være sikker på at lade alle vide. For dem, der ønsker at lære mere om denne ransomware, kan du læse nedenfor. Du kan også stille spørgsmål eller diskutere denne ransomware i Globe Ransomware hjælp og støtte emne.
Hvordan Globe Ransomware krypterer et offers Computer
På dette tidspunkt er det ikke vides, hvordan Globe Ransomware er fordelt. Når det er installeret, vil den tjekke for at se, om computeren kører i en sandkasse eller virtuel maskine som Anubis, VirtualBox, VMware eller virkelig datamaskine, og hvis det er, at processen vil blive opsagt. Hvis der ikke er nogen nuværende sandkasse, vil ransomware begynde at kryptere ofrets brugerprofil, lokale drev, delte netværksmapper og derefter ofrets desktop omslag. Når det støder på en fil med en af de 995 målrettede extensions1, vil det krypterer den ved hjælp af Blowfish-kryptering og tilføj filtypenavnet .purge til den krypterede fil. For eksempel, ville filen test.jpg være omdøbt test.jpg.purge når det er krypteret. Når det krypterer en fil vil det skabe en HTA løsesum notat kaldes sådan gendanne files.hta i den samme mappe som de krypterede filer. Det vil også skabe en autorun kaldet hvordan til at gendanne filer, der automatisk åbner HTA løsesum noten beliggende i ofrets % UserProfile %, når de logger på Windows.
Under krypteringsprocessen, vil ransomware også slette diskenheden øjebliksbilleder og deaktivere Windows Startup Repair ved hjælp af disse kommandoer:
vssadmin.exe slette skygger /All /Quiet
- bcdedit.exe placere {standard} recoveryenabled nr.
- bcdedit.exe placere {standard} bootstatuspolicy ignoreallfailures
Endelig når ransomware sker det åbne sådan gendanne files.hta og viser det til offeret. Denne løsesum notat indeholder et entydigt ID, der er forbundet med det offer og kontaktoplysningerne for udvikleren. Den nuværende kontaktoplysninger for udvikleren er powerbase@tutanota.com e-mail og BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 bitmessage adresse. Denne tilstand blev oprettet for at hjælpe bygherren debug deres ansøgning. På samme tid, det giver mulighed for forskere i sikkerhed til uden sammenligning analysere de forskellige stadier af denne ransomware.
Filer forbundet med Globe Ransomware:
Sådan gendannes files.hta
- %USERPROFILE%AppDataLocalmsiscan.exe
- %USERPROFILE%How til at dekryptere din files.jpg
Registreringsdatabaseposter forbundet med Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe “tomgang”
- HKCUSoftwareGlobe “debug”
- HKCUControl PanelDesktop “Tapet” “%UserProfile%How til at dekryptere din files.jpg”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “Sådan gendannes filer” = “mshta.exe”%UserProfile%How at genindføre files.hta””
Download værktøj til fjernelse affjerne Globe Ransomware
* SpyHunter scanner, offentliggjort på dette websted, er bestemt til at bruges kun som et registreringsværktøj. mere info på SpyHunter. Hvis du vil bruge funktionen til fjernelse, skal du købe den fulde version af SpyHunter. Hvis du ønsker at afinstallere SpyHunter, klik her.
