Z Pokemon i Mr. Robot na podstawie ransomware wydany w tym miesiącu, integrowanie ransomware pop-kultury jest dominującym tematem w tym miesiącu. Nowy Globe Ransomware jest nie wyjątek z deweloperami malware oparcie ich ransomware na popularne filmy Purge. Z Purge, oparty na podstawie tapeta i dodając rozszerzenie .purge do zaszyfrowanych plików, deweloper szkodliwego oprogramowania została wyraźnie inspirowane przez filmy.
Pobierz za darmo narzędzie do usuwaniaAby usunąć Globe Ransomware
Odkryta przez Emsisoft zabezpieczeń badacz xXToffeeXx, Globe Ransomware działa podobnie jak innych ransomware. To będzie zaszyfrować pliki ofiary, a następnie wyświetla okupu. Jednak w przeciwieństwie do większości innych ransomware, Globe używa algorytmu szyfrowania Blowfish raczej powszechnie używane szyfrowanie AES. Ponadto zamiast tekstu i html okupu, Globe Ransomware używa pliku HTA lub aplikacji HTML, aby wyświetlić okupu. Niestety Wstępna analiza pokazuje, że tego szkodnika jest kryptograficznie. Oznacza to, że obecnie nie jest możliwe, aby odszyfrować pliki ofiary za darmo. Więcej badań jest wykonywana, a jeśli słabość jeśli znaleziono, będziemy się każdy mógł wiedzieć. Dla tych, którzy chcą dowiedzieć się więcej na temat tego szkodnika możecie przeczytać poniżej. Można również zadawać pytania lub omówienia tego szkodnika w Globe Ransomware pomoc i obsługa techniczna tematu.
Jak Globe Ransomware są szyfrowane na komputerze ofiary
W tej chwili nie wiadomo, jak Globe Ransomware jest rozpowszechniany. Po zainstalowaniu go, sprawdź, czy na komputerze jest uruchomiony w piaskownicy lub maszyny wirtualnej, takie jak Anubis, VirtualBox, VMware lub Virtual PC, i jeśli jest, proces zostanie zakończony. Jeśli istnieje nie piaskownicy obecny, ransomware rozpocznie szyfrowanie profilu użytkownika w pokrzywdzonej, dyski lokalne, udostępnione foldery sieciowe, a następnie folder Pulpit ofiary. Po napotkaniu plik z jednym z 995 extensions1 ukierunkowane, będzie szyfrowania przy użyciu szyfrowania Blowfish i dołączyć rozszerzenie .purge do zaszyfrowanego pliku. Na przykład plik test.jpg byłoby zmieniono nazwę test.jpg.purge, gdy jest on zaszyfrowany. Gdy szyfruje plik spowoduje utworzenie okupu HTA o nazwie jak przywrócić files.hta w tym samym folderze co pliki zaszyfrowane. Utworzy on również Auto o nazwie jak przywrócić pliki, które automatycznie otwiera okupu HTA, znajduje się w ofiary % UserProfile %, gdy zalogować się do systemu Windows.
Podczas procesu szyfrowania ransomware będzie również Usuwanie kopii woluminu w tle i wyłączyć Windows Startup Repair, za pomocą tych poleceń:
vssadmin.exe usunąć cienie/All/Quiet /
- bcdedit.exe/set {domyślne} recoveryenabled nr
- bcdedit.exe/set {domyślne} bootstatuspolicy ignoreallfailures
Wreszcie, po zakończeniu ransomware otworzyć jak przywrócić files.hta i wyświetla je w ofierze. Ten okupu zawiera unikatowy identyfikator skojarzony z ofiarą i kontakt informacje dla deweloperów. Aktualne dane kontaktowe autora jest powerbase@tutanota.com e-mail i adres bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5. Tryb ten został stworzony aby pomóc zdebugować ich aplikacji. W tym samym czasie pozwala badaczom zabezpieczeń łatwo analizować różne etapy tego szkodnika.
Pliki związane z Globe Ransomware:
Jak przywrócić files.hta
- %USERPROFILE%AppDataLocalmsiscan.exe
- %USERPROFILE%How do odszyfrowania swój files.jpg
Wpisy rejestru związane z Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe „bezczynności”
- HKCUSoftwareGlobe „debugowania”
- HKCUControl PanelDesktop „Tapeta” „%UserProfile%How do odszyfrowania swoim files.jpg”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun „Jak przywrócić pliki” = „mshta.exe”%UserProfile%How do przywrócenia files.hta””
Pobierz za darmo narzędzie do usuwaniaAby usunąć Globe Ransomware
* SpyHunter skanera, opublikowane na tej stronie, jest przeznaczony do użycia wyłącznie jako narzędzie do wykrywania. więcej na temat SpyHunter. Aby użyć funkcji usuwania, trzeba będzie kupić pełnej wersji SpyHunter. Jeśli ty życzyć wobec odinstalować SpyHunter, kliknij tutaj.
