Con Pokemon e Mr. Robot base ransomware rilasciato questo mese, l’integrazione di cultura pop in ransomware è un tema dominante questo mese. Il nuovo Globe Ransomware non fa eccezione con gli sviluppatori di malware basando la loro ransomware sui film popolari di eliminazione dei fogli inceppati. Con una purga basata basato su carta da parati e aggiungendo l’estensione di .purge ai file crittografati, gli sviluppatori di malware è stato chiaramente ispirato da film.
Scarica lo strumento di rimozionerimuovere Globe Ransomware
Scoperto da Emsisoft sicurezza ricercatore xXToffeeXx, il Globe Ransomware agisce come altri ransomware. Che crittografare i file di una vittima e quindi visualizzare una richiesta di riscatto. A differenza della maggior parte dei altri ransomware, però, globo utilizza l’algoritmo di crittografia Blowfish piuttosto la crittografia AES comunemente utilizzata. Inoltre, invece di una nota di riscatto di testo e html, il Globe Ransomware utilizza un file HTA o applicazione HTML, per visualizzare la nota di riscatto. Purtroppo, analisi preliminare dimostra che questo ransomware è crittograficamente sicuro. Ciò significa che attualmente non è possibile decifrare i file di una vittima per libero. Più ricerca è stato fatto e se una debolezza se trovato, saremo sicuri di far sapere a tutti. Per coloro che desiderano saperne di più su questo ransomware, potete leggere qui di seguito. Puoi anche fare domande o discutere questo ransomware nel Globe Ransomware aiuto e sostegno argomento.
Come il Globe Ransomware crittografa il Computer della vittima
In questo momento non è noto come il Globe Ransomware viene distribuito. Una volta installato, controllerà per vedere se il computer è in esecuzione all’interno di una sandbox o macchina virtuale come Anubis, VirtualBox, VMware o Virtual PC, e se è, il processo verrà terminato. Se non c’è nessun sandbox presenti, il ransomware inizierà crittografare il profilo utente della vittima, unità locali, cartelle di rete condivise e quindi la cartella desktop della vittima. Quando rileva un file con uno dei 995 extensions1 mirati, che crittografare utilizzando la crittografia Blowfish e aggiungere l’estensione di .purge per il file crittografato. Ad esempio, il file test. jpg sarebbe stato rinominato test.jpg.purge quando è criptato. Quando crittografa un file verrà creata una nota di riscatto HTA chiamata come ripristinare files.hta nella stessa cartella i file crittografati. Sarà anche possibile creare un autorun chiamato come ripristinare i file che si apre automaticamente la finestra di riscatto HTA si trova in % UserProfile % della vittima quando eseguono il login a Windows.
Durante il processo di crittografia, il ransomware sarà anche eliminare le copie Shadow del Volume e disattivare Windows Startup Repair usando questi comandi:
vssadmin.exe Elimina le ombre/All /Quiet
- bcdedit.exe /set {predefinito} recoveryenabled No
- bcdedit.exe /set {predefinito} bootstatuspolicy ignoreallfailures
Infine quando il ransomware è fatto aprire il come ripristinare files.hta e lo visualizza alla vittima. Questa nota di riscatto contiene un ID univoco associato con la vittima e contatto informazioni per lo sviluppatore. Le informazioni di contatto corrente per lo sviluppatore sono l’email powerbase@tutanota.com e l’indirizzo di bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5. Questa modalità è stata creata per aiutare lo sviluppatore nel debug di loro applicazione. Allo stesso tempo, permette ai ricercatori di analizzare facilmente le varie fasi di questo ransomware.
File associati con il Globe Ransomware:
Come ripristinare files.hta
- %UserProfile%AppDataLocalmsiscan.exe
- %UserProfile%How per decifrare il tuo files.jpg
Le voci di registro associati con il Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe “idle”
- HKCUSoftwareGlobe “debug”
- HKCUControl PanelDesktop “Wallpaper” “%UserProfile%How per decifrare il tuo files.jpg”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “Come ripristinare i file” = “mshta.exe”%UserProfile%How per ripristinare files.hta””
Scarica lo strumento di rimozionerimuovere Globe Ransomware
* SpyHunter scanner, pubblicati su questo sito, è destinato a essere utilizzato solo come uno strumento di rilevamento. più informazioni su SpyHunter. Per utilizzare la funzionalità di rimozione, sarà necessario acquistare la versione completa di SpyHunter. Se si desidera disinstallare SpyHunter, Clicca qui.
