Med både Pokemon og Mr. Robot er basert ransomware utgitt denne måneden, integrere pop-kultur i ransomware en dominerende tema denne måneden. Den nye Globe Ransomware er intet unntak med malware utviklere baserer sine ransomware på de populære Purge-filmene. Med en utrenskning basert basert bakgrunn og tilføyer .purge forlengelsen til krypterte filer, skadelig programvare utvikleren var tydelig inspirert av filmene.
Last ned verktøyet for fjerningfjerne Globe Ransomware
Oppdaget av Emsisoft sikkerhet forsker xXToffeeXx, fungerer Globe Ransomware akkurat som andre ransomware. Det vil kryptere offerets filer og deretter vise en løsepenge notat. I motsetning til de fleste andre ransomware, men bruker verden Blowfish krypteringsalgoritmen heller brukte AES krypteringen. Videre, i stedet for en tekst og html løsepenge notat, Globe Ransomware bruker en HTA- eller HTML-program, fil for å vise løsepenge notat. Dessverre, foreløpig analyse viser at denne ransomware er kryptografisk sikker. Dette betyr at det ikke er for øyeblikket mulig å dekryptere offerets filer gratis. Mer forskning er gjort, og hvis en svakhet hvis funnet, vil vi være sikker på å la alle vite. For de som ønsker å lære mer om denne ransomware, kan du lese nedenfor. Du kan også stille spørsmål eller diskutere denne ransomware i Globe Ransomware hjelp og støtte emnet.
Hvordan Globe Ransomware krypterer en offerets datamaskin
Denne gangen er det ikke kjent hvordan Globe Ransomware er fordelt. Når det er installert, vil det sjekke om datamaskinen kjører en sandkasse eller virtuell maskin som Anubis, VirtualBox, VMware eller Virtual PC, og hvis det er, prosessen avsluttes. Hvis det er ingen sandkasse stede, begynner ransomware kryptere offerets brukerprofil, lokale stasjoner, delte nettverksmapper og deretter offerets Skrivebord-mappen. Når en arkiv med ettall av det 995 målrettet extensions1, den krypteres bruker Blowfish kryptering og legge .purge forlengelsen kryptert fil. For eksempel ville filen navnet test.jpg være gitt nytt navn test.jpg.purge når den er kryptert. Når den krypterer en fil vil det skape en HTA løsepenge notat kalt Slik gjenoppretter files.hta i samme mappe som de krypterte filene. Det vil også opprette en bilen heter Hvordan gjenopprette filer som automatisk åpner HTA løsepenge notat ligger i offerets % UserProfile % når de logge på Windows.
Under krypteringsprosessen, vil ransomware også slette skyggekopier for volum og deaktivere Oppstartsreparasjon i Windows ved hjelp av disse kommandoene:
vssadmin.exe slette skygger/all /Quiet
- bcdedit.exe sette {standard} recoveryenabled nei
- bcdedit.exe sette {standard} bootstatuspolicy ignoreallfailures
Til slutt når ransomware gjøres det åpne Hvordan gjenopprette files.hta og viser det til offeret. Denne løsepenge notat inneholder en unik ID forbundet med offer og kontakt informasjon for utvikleren. Gjeldende kontaktinformasjon for utvikleren er powerbase@tutanota.com e og BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 bitmessage-adressen. Denne modusen ble opprettet for å hjelpe utvikleren feilsøke programmet. Samtidig innrømmer den sikkerhetsforskere lett analysere de ulike stadiene av denne ransomware.
Filer knyttet til Globe Ransomware:
Gjenopprette files.hta
- %USERPROFILE%AppDataLocalmsiscan.exe
- %USERPROFILE%How å dekryptere din files.jpg
Registeroppføringene som er knyttet til Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe «inaktiv»
- HKCUSoftwareGlobe «debug»
- HKCUKontrollpanel PanelDesktop «Bakgrunn»«%UserProfile%How å dekryptere files.jpg»
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun «Hvordan gjenopprette filer» = «mshta.exe»%UserProfile%How gjenopprette files.hta»»
Last ned verktøyet for fjerningfjerne Globe Ransomware
* SpyHunter skanner, publisert på dette nettstedet er ment å brukes som et søkeverktøy. mer informasjon om SpyHunter. For å bruke funksjonen for fjerning, må du kjøpe den fullstendige versjonen av SpyHunter. Hvis du ønsker å avinstallere SpyHunter. klikk her.
