Met zowel Pokemon en Mr. Robot is gebaseerd ransomware vrijgegeven van deze maand, ransomware te integreren in de popcultuur een dominant thema deze maand. De nieuwe Globe Ransomware is geen uitzondering met malware ontwikkelaars hun ransomware te baseren op de populaire Purge-films. Met een zuivering gebaseerd op basis van behang en de .purge-extensie aan gecodeerde bestanden toe te voegen, de ontwikkelaar van malware is duidelijk geïnspireerd door de films.
Removal Tool downloadenom te verwijderen Globe Ransomware
Ontdekt door Emsisoft veiligheid onderzoeker xXToffeeXx, werkt de Globe Ransomware net als andere ransomware. Het zal van een slachtoffer bestanden coderen en vervolgens een losgeld nota weer te geven. In tegenstelling tot de meeste andere ransomware, echter Globe gebruikt de Blowfish encryptie-algoritme liever de veelgebruikte AES-codering. Daarnaast, in plaats van een tekst en HTML-code losgeld nota, de Globe Ransomware maakt gebruik van een HTA- of HTML-toepassing, bestand om het losgeld nota weer te geven. Helaas, voorlopige analyse toont aan dat deze ransomware cryptografisch beveiligd is. Dit betekent dat het momenteel niet mogelijk is voor het decoderen van bestanden van een slachtoffer kostenloos. Meer onderzoek wordt gedaan, en als een zwakte als gevonden, wij zeker zullen aan iedereen laten weten. Voor degenen die willen meer informatie over deze ransomware, kan je hieronder nalezen. U kunt ook vragen of deze ransomware in de Globe Ransomware-Help en ondersteuning bespreken onderwerp.
Hoe de Globe Ransomware van een slachtoffer Computer versleutelt
Het is op dit moment niet bekend hoe de Globe Ransomware is verdeeld. Zodra het is geïnstalleerd, zal controleren om te zien of de computer wordt uitgevoerd binnen een sandbox- of virtuele machine zoals Anubis, Virtual PC, VMware of VirtualBox, en als het is, het proces zal worden beëindigd. Als er geen huidige zandbak, zal de ransomware beginnen te coderen van het slachtoffer gebruikersprofiel, lokale stations, gedeelde netwerkmappen en vervolgens van het slachtoffer schrijftafel vouwblad. Wanneer het een bestand met een van de 995 gerichte extensions1 tegenkomt, zal het coderen met behulp van Blowfish encryptie en de .purge-extensie wordt toegevoegd aan het gecodeerde bestand. Bijvoorbeeld, zou het bestand test.jpg de hernoemde test.jpg.purge wanneer het wordt gecodeerd. Wanneer het een bestand codeert zal het HTA losgeld notities geroepen hoe te herstellen van de files.hta in dezelfde map als de gecodeerde bestanden te maken. Het zal ook het maken van een autorun geroepen hoe om bestanden te herstellen die automatisch de HTA losgeld nota ligt in het slachtoffer van % UserProfile opent % wanneer zij zich bij Windows aanmeldt.
Tijdens het coderingsproces, zal de ransomware ook verwijderen van de schaduwkopieën van Volume en uitschakelen van Opstartherstel van Windows met behulp van deze opdrachten:
vssadmin.exe verwijderen schaduwen/All /Quiet
- bcdedit.exe troep {standaard} recoveryenabled No
- bcdedit.exe troep {standaard} bootstatuspolicy ignoreallfailures
Tot slot wanneer de ransomware gebeurt het openen de How to files.hta herstellen en wordt deze weergegeven voor het slachtoffer. Deze losgeld nota bevat een unieke ID die is gekoppeld aan het slachtoffer en contact informatie voor de ontwikkelaar. De huidige contactinformatie voor de ontwikkelaar is de e-mail van de powerbase@tutanota.com en de BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5-bitmessage-adres. Deze modus is gemaakt om te helpen de ontwikkelaar debug van hun toepassing. Op hetzelfde moment hierdoor zekerheidstelling onderzoeker gemakkelijk analyseren de verschillende stadia van deze ransomware.
Bestanden die zijn gekoppeld aan de Globe Ransomware:
Hoe om te herstellen van de files.hta
- %UserProfile%AppDataLocalmsiscan.exe
- %UserProfile%How voor het decoderen van uw files.jpg
Registervermeldingen die zijn gekoppeld aan de Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe “niet actief”
- HKCUSoftwareGlobe “debug”
- HKCUControl PanelDesktop “Wallpaper” “%UserProfile%How voor het decoderen van uw files.jpg”
- CurrentVersion “Hoe om bestanden te herstellen” = “mshta.exe”%UserProfile%How om te herstellen van de files.hta””
Removal Tool downloadenom te verwijderen Globe Ransomware
* SpyHunter scanner, gepubliceerd op deze site is bedoeld om alleen worden gebruikt als een detectiehulpmiddel. meer info op SpyHunter. Voor het gebruik van de functionaliteit van de verwijdering, moet u de volledige versie van SpyHunter aanschaffen. Als u verwijderen SpyHunter wilt, klik hier.
