Con Pokemon y Sr. Robot basado ransomware difundido este mes, integrar la cultura pop de ransomware es un tema dominante este mes. El nuevo Globe Ransomware no es la excepción con los desarrolladores de malware basando su ransomware en las populares películas de purga. Con una depuración basada basado en fondos de pantalla y agregar la extensión .purge a archivos encriptados, el desarrollador de malware fue claramente inspirado por las películas.
Descargar herramienta de eliminación depara eliminar Globe Ransomware
Descubierto por squared seguridad investigador xXToffeeXx, el Globe Ransomware actúa como otro ransomware. Cifrar los archivos de la víctima y luego mostrar una nota de rescate. Sin embargo, a diferencia de la mayoría otros ransomware, globo utiliza el algoritmo de cifrado Blowfish que el cifrado AES utilizado. Además, en lugar de una nota de rescate de texto y html, el Globe Ransomware utiliza un archivo HTA, o aplicación de HTML, para mostrar la nota de rescate. Desafortunadamente, el análisis preliminar muestran que este ransomware es criptográficamente seguro. Esto significa que actualmente no es posible descifrar los archivos de la víctima gratis. Más investigación se está haciendo y si una debilidad si encuentra, estaremos seguros de que todos sepan. Para aquellos que desean aprender más acerca de este ransomware, puedes leer a continuación. También puede hacer preguntas o discutir este ransomware en la Globe Ransomware ayuda y apoyo tema.
Cómo la Globe Ransomware cifra de ordenador de la víctima
En este momento no se sabe cómo se distribuye el Globe Ransomware. Una vez instalado, comprobará si el equipo está ejecutando dentro de un recinto o una máquina virtual como Anubis, VirtualBox, VMware o Virtual PC, y si es así, se terminará el proceso. Si no hay ningún presente del sandbox, el ransomware comenzará a cifrar el perfil de la víctima, unidades locales, carpetas de red compartidas y la carpeta de escritorio de la víctima. Cuando encuentra un archivo con uno de los 995 extensions1 específicas, que encriptarlos utilizando encriptación Blowfish y anexar la extensión .purge para el archivo encriptado. Por ejemplo, el archivo test.jpg sería retitulado test.jpg.purge cuando está codificado. Cuando cifra un archivo creará una nota de rescate HTA llamada cómo restaurar files.hta en la misma carpeta que los archivos cifrados. También crea un autorun llamado Cómo recuperar archivos que se abre automáticamente la nota de rescate HTA a % UserProfile % la víctima cuando que iniciar sesión en Windows.
Durante el proceso de cifrado, el ransomware también eliminar las instantáneas de volumen y desactivar Windows reparación de inicio mediante estos comandos:
vssadmin.exe eliminar sombras /All /Quiet
- Bcdedit.exe /set {default} recoveryenabled No
- Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Finalmente cuando el ransomware se hace abrir el cómo restaurar files.hta y muestra a la víctima. Esta nota de rescate contiene un identificador único asociado con la víctima e información de contacto para el desarrollador. La información de contacto actual para el desarrollador es el correo electrónico powerbase@tutanota.com y la dirección de bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5. Esta modalidad fue creada para ayudar a los desarrolladores depurar su aplicación. Al mismo tiempo, permite a los investigadores de seguridad analizar fácilmente las distintas etapas de este ransomware.
Archivos asociados con la Globe Ransomware:
Cómo restaurar files.hta
- %UserProfile%AppDataLocalmsiscan.exe
- %UserProfile%How para descifrar su files.jpg
Las entradas del registro asociaron con el Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe “inactivo”
- HKCUSoftwareGlobe “debug”
- HKCUControl PanelDesktop “Papel tapiz” “%UserProfile%How para descifrar su files.jpg”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “Cómo restaurar archivos” = “mshta.exe”%UserProfile%How para restaurar files.hta””
Descargar herramienta de eliminación depara eliminar Globe Ransomware
* Escáner SpyHunter, publicado en este sitio, está diseñado para ser utilizado sólo como una herramienta de detección. más información en SpyHunter. Para utilizar la funcionalidad de eliminación, usted necesitará comprar la versión completa de SpyHunter. Si usted desea desinstalar el SpyHunter, haga clic aquí.
