Pokemon ja Mr. Robot perustuu ransomware julkaissut tässä kuussa populaarikulttuurin sisällyttäminen ransomware on hallitseva teema tässä kuussa. Uusi Globe Ransomware ei ole poikkeus haittaohjelmien kehittäjät perustaa niiden ransomware suosittuja Purge elokuvia. Kanssa puhdistus perustuu perustuu taustakuva ja lisäämällä .purge laajennus salattuja tiedostoja, haittaohjelmien kehittäjä oli selvästi vaikutteita elokuvia.
Imuroi poistotyökalupoistaa Globe Ransomware
Löysi Emsisoft turvallisuus tutkija xXToffeeXx, Globe Ransomware toimii samoin kuin muut ransomware. Se uhrin tiedostojen salaamiseen ja sitten näyttää lunnaita merkille. Toisin kuin useimmat muut ransomware Maapallo käyttää Blowfish encryption algoritmi melko yleisesti käytetty AES-salausta. Lisäksi sen sijaan, että teksti- ja html lunnaita merkille, Globe Ransomware näyttää HTA tai HTML-sovelluksen tiedosto lunnaita merkille. Valitettavasti alustava analyysi osoittaa tämän ransomware salauksella suojatun. Tämä tarkoittaa, että se ei tällä hetkellä ole mahdollista purkaa uhrin tiedostoja ilmaiseksi. Lisää tutkimusta, ja jos heikkous jos löytyy, pääsemme varmasti jokainen tietää. Niille, jotka haluavat oppia lisää tämän ransomware voit lukea alla. Voit myös esittää kysymyksiä tai keskustella ransomware Globe Ransomware ohjeen ja tukipalveluiden aihe.
Miten Globe Ransomware salaa uhrin tietokoneen
Tällä hetkellä ei ole tiedossa, Globe Ransomware jakamisesta. Aikoinaan se on asettaa, se tarkistaa, onko tietokoneessa on hiekkalaatikko tai virtuaalikoneen kuten Anubis, VirtualBox, VMware tai Virtual PC ja jos onkin, prosessi lopetetaan. Jos ei ole hiekkalaatikko läsnä, ransomware alkaa salaa uhrin käyttäjäprofiilin, paikalliset asemat, jaettuihin verkkokansioihin ja uhrin Työpöytä-kansio. Kohdatessaan tiedosto jollakin 995 kohdennettuja extensions1 se salaa se kohteleva Blowfish encryption ja lisätä salatun tiedoston .purge-tunnisteen. Esimerkiksi tiedoston se olisi nimetty uudelleen test.jpg.purge, kun se salataan. Kun se salaa tiedosto se luo HTA lunnaita merkille kutsutaan palauttaminen files.hta salatut tiedostot samaan kansioon. Se luo myös auto nimeltään miten tiedostot palautetaan, joka automaattisesti avaa HTA lunnaita merkille sijaitsee uhrin % UserProfile % kirjautuessaan sisään Windows.
Salauksen aikana ransomware myös Poista aseman tilannevedokset ja poistaa Windowsin käynnistyksen korjaus käyttää näillä komennoilla:
vssadmin.exe poistaa varjot /All /Quiet
- bcdedit.exe asento Laiminlyöminen recoveryenabled n
- bcdedit.exe asento Laiminlyöminen bootstatuspolicy ignoreallfailures
Lopuksi ransomware päätyttyä se avaa miten palauttaa files.hta ja näyttää sen uhri. Lunnaita merkille on yksilöivä tunnus, joka liittyy uhrin ja yhteyshenkilön tiedot kehittäjä. Nykyisen yhteystiedot kehittäjä on powerbase@tutanota.com sähköposti ja BM 2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 bitmessage osoite. Tämä tila on luotu auttamaan debug hakemuksensa kehittäjä. Samaan aikaan sen avulla järki helposti analysoida tämän ransomware eri vaiheissa.
Globe Ransomware liittyvät tiedostot:
Palauttaminen files.hta
- %USERPROFILE%AppDataLocalmsiscan.exe
- %USERPROFILE%How purkaa oman files.jpg
Globe Ransomware liittyvät rekisterimerkinnät:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe ”tyhjäkäynnillä”
- HKCUSoftwareGlobe ”debug”
- Komentoon PanelDesktop ”Taustakuva” ”%UserProfile%How purkaa oman files.jpg”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun ”Kuinka jotta palauttaa arkistoida” = ”mshta.exe”%UserProfile%How palauttaa files.hta””
Imuroi poistotyökalupoistaa Globe Ransomware
* SpyHunter skanneri, tällä sivustolla on tarkoitettu käytettäväksi vain detection Tool-työkalun. Lisätietoja SpyHunter. Poisto-toiminnon käyttämiseksi sinun ostaa täyden version SpyHunter. Jos haluat poistaa SpyHunter, klikkaa tästä.
