Pokemon a pán Robot založené ransomware vydala tento mesiac, začlenenie ransomware pop kultúra je dominantnou témou tohto mesiaca. Nový Globe Ransomware nie je výnimkou s malware vývojári ich ransomware báze populárnych filmov Purge. S očistenie založené na základe tapetu a pridáte príponu .purge šifrované súbory, malware vývojár bol jasne inšpirovaný filmy.
Stiahnuť nástroj pre odstránenieodstrániť Globe Ransomware
Objavený Emsisoft bezpečnostný výskumník xXToffeeXx Globe Ransomware pôsobí rovnako ako ostatné ransomware. Bude šifrovať súbory obete a potom zobrazte výkupné. Na rozdiel od väčšiny iných ransomware, hoci, Globe používa pomerne bežne používaných AES šifrovanie Blowfish šifrovací algoritmus. Okrem toho namiesto textu a html výkupné, Globe Ransomware používa HTA, alebo HTML aplikácie, súbor zobrazíte výkupné. Bohužiaľ, predbežné analýzy ukazujú, že tento ransomware je kryptograficky zabezpečený. To znamená, že v súčasnosti nie je možné dešifrovať obete súborov zadarmo. Viac výskum je robený, a ak slabosť Ak našiel, budeme mať istotu, dať všetkým vedieť. Pre tých, ktorí sa chcú dozvedieť viac o tejto ransomware, si môžete prečítať nižšie. Môžete tiež klásť otázky alebo diskutovať tento ransomware Globe Ransomware pomoc a technická podpora tému.
Ako Globe Ransomware šifruje obete počítač
V tejto dobe nie je známe, ako je distribuovaný Globe Ransomware. Akonáhle je nainštalovaný, bude kontrolovať, či je počítač spustený v rámci pieskovisko alebo virtuálny stroj Anubis, VirtualBox, VMware alebo Virtual PC, a ak áno, proces bude ukončený. Ak nie je prítomné žiadne pieskovisko, ransomware začne šifrovanie obete používateľský profil, miestne jednotky, zdieľané sieťové priečinky a priečinok desktop obete. Keď narazí na súbor s jedným z 995 cielené extensions1, bude šifrovanie pomocou Blowfish šifrovanie a pripojí príponou .purge na zašifrovaný súbor. Napríklad súbor test.jpg bude premenovaný test.jpg.purge, keď je šifrovaná. Pri šifrovaní súboru sa vytvorí HTA výkupné nazýva ako obnoviť files.hta v rovnakom priečinku ako šifrované súbory. To bude tiež vytvoriť autorun nazýva ako obnoviť súbory, ktoré sa automaticky otvorí HTA výkupné nachádza v obete % UserProfile %, keď sa prihlásiť do systému Windows.
Počas procesu šifrovanie ransomware aj odstránenie tieňovej kópie zväzku a zakázať Windows Startup opravy pomocou týchto príkazov:
vssadmin.exe odstrániť tiene/All /Quiet
- Bcdedit.exe/set {default} recoveryenabled č
- Bcdedit.exe/set {default} bootstatuspolicy ignoreallfailures
Konečne dokončení ransomware otvoriť ako obnoviť files.hta a zobrazuje ich obete. Tento výkupné obsahuje jedinečný identifikátor priradený k obeti a kontaktné informácie pre vývojárov. Aktuálne kontaktné informácie pre vývojárov je powerbase@tutanota.com e-mail a adresa BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 bitmessage. Tento režim bol vytvorený s cieľom pomôcť developera ladiť svoje aplikácie. V rovnakom čase, umožňuje bezpečnostní experti ľahko analyzovať rôzne štádiá tejto ransomware.
Súbory spojené s Globe Ransomware:
Ako obnoviť files.hta
- %USERPROFILE%AppDataLocalmsiscan.exe
- %USERPROFILE%How na dešifrovanie vašich files.jpg
Položky databázy Registry spojené s Globe Ransomware:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe “nečinnosti”
- HKCUSoftwareGlobe “debug”
- Registra HKCUControl PanelDesktop “Tapety” “%UserProfile%How na dešifrovanie vašich files.jpg”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “Ako obnoviť súbory” = “mshta.exe”%UserProfile%How obnoviť files.hta””
Stiahnuť nástroj pre odstránenieodstrániť Globe Ransomware
* SpyHunter skener, uverejnené na tejto stránke, je určená na použitie iba ako nástroj na zisťovanie. viac info na SpyHunter. Ak chcete použiť funkciu odstránenie, budete musieť zakúpiť plnú verziu produktu SpyHunter. Ak chcete odinštalovať SpyHunter, kliknite sem.
