Med både Pokemon och Mr. Robot är baserad ransomware släppte denna månad, att integrera popkultur i ransomware ett dominerande tema denna månad. Den nya Globe Ransomware är inget undantag med malware utvecklare basera sin ransomware på de populära Purge filmerna. Med en utrensning baserat baserat tapeter och lägga till tillägget .purge till krypterade filer, malware utvecklare var tydligt inspirerad av filmer.
Hämta Removal Toolta bort Globe Ransomware
Upptäckt av Emsisoft säkerhet forskare xXToffeeXx, fungerar Globe Ransomware precis som andra ransomware. Det kommer att kryptera en offrets filer och sedan Visa ett hotbrev. Till skillnad från de flesta andra ransomware, dock använder världen krypteringsalgoritmen Blowfish ganska vanliga AES-kryptering. Dessutom i stället för en text och HTML-hotbrev använder Globe Ransomware en HTA- eller HTML-program, fil för att Visa hotbrev. Tyvärr, preliminär analys visar att denna ransomware är kryptografiskt säker. Detta innebär att det inte är för närvarande möjligt att dekryptera en offrets filer gratis. Mer forskning som görs, och om en svaghet om hittade, vi kommer att se till att låta alla veta. För dem som vill lära sig mer om denna ransomware, kan du läsa nedan. Du kan också ställa frågor eller diskutera denna ransomware i Globe Ransomware hjälp och stöd ämne.
Hur Globe Ransomware krypterar en offrets dator
Vid denna tid är det inte känt hur Globe Ransomware är fördelad. När det är installerat, kommer det att kontrollera om datorn körs i en sandlåda eller virtuell dator såsom Anubis, VirtualBox, VMware eller Virtual PC, och om det är, processen kommer att avslutas. Om det finns ingen sandlåda närvarande, börjar ransomware att kryptera offrets användarprofil, lokala enheter, delade nätverksmappar och sedan offrets skrivbordsmappen. När den stöter på en fil med en av de 995 riktade extensions1, kommer den kryptera den med Blowfish kryptering och bifoga .purge tillägget till den krypterade filen. Till exempel vore den filen namnet test.jpg omdöpt till test.jpg.purge när det är krypterat. När det krypterar en fil skapas en HTA hotbrev kallas återställa files.hta i samma mapp som de krypterade filerna. Det skapar också en autorun kallas hur du återställer filer som öppnas automatiskt den HTA hotbrev ligger i offrets % UserProfile % när de loggar in till Windows.
Under krypteringsprocessen kommer ransomware också ta bort volym skuggkopiorna och inaktivera Windows Startreparation med dessa kommandon:
vssadmin.exe bort skuggor/all /Quiet
- bcdedit.exe sätta {standard} recoveryenabled nr
- bcdedit.exe sätta {standard} bootstatuspolicy ignoreallfailures
Slutligen när ransomware görs det öppna hur man återställa files.hta och visar den för offret. Detta hotbrev innehåller ett unikt ID som associeras med den offer och kontaktinformation för utvecklare. Den aktuella kontaktuppgifter för utvecklare är powerbase@tutanota.com e-post och BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 bitmessage adress. Detta läge skapades för att hjälpa utvecklare felsöka sina program. Samtidigt gör det säkerhetsforskare att enkelt analysera de olika stadierna i denna ransomware.
Filer som är associerade med Globe Ransomware:
Återställa files.hta
- %USERPROFILE%AppDataLocalmsiscan.exe
- %USERPROFILE%How att dekryptera din files.jpg
Registerposterna är associerad med Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe ”inaktiv”
- HKCUSoftwareGlobe ”debug”
- HKCUControl PanelDesktop ”Tapet” ”%UserProfile%How att dekryptera din files.jpg”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun ”Hur du återställer filer” = ”mshta.exe”%UserProfile%How att återställa files.hta””
Hämta Removal Toolta bort Globe Ransomware
* SpyHunter scanner, publicerade på denna webbplats, är avsett att endast användas som ett identifieringsverktyg. Mer information om SpyHunter. För att använda funktionen för borttagning, kommer att du behöva köpa den fullständiga versionen av SpyHunter. Om du vill avinstallera SpyHunter, klicka här.
