โปเกมอนและนายหุ่นยนต์ ตาม ransomware ออกเดือนนี้ บูรณาการวัฒนธรรมป๊อปใน ransomware เป็นรูปแบบที่โดดเด่นเดือนนี้ Globe Ransomware ใหม่จะไม่มีข้อยกเว้นกับผู้พัฒนามัลแวร์ที่อ้างอิงของ ransomware บนล้างข้อมูลภาพยนตร์ยอดนิยม พร้อมล้างข้อมูลคะแนนจากวอลล์เปเปอร์ และเพิ่มนามสกุล.purge ไฟล์ที่เข้ารหัส นักพัฒนามัลแวร์อย่างชัดเจนแรงบันดาลใจภาพยนตร์.
ดาวน์โหลดเครื่องมือการเอาออกเอา Globe Ransomware
ค้นพบ โดย xXToffeeXx นักวิจัยความปลอดภัย Emsisoft, Globe Ransomware ทำหน้าที่เหมือน ransomware อื่น ๆ มันจะเข้ารหัสลับแฟ้มของเหยื่อ และแสดงหมายเหตุไถ่แล้ว Ransomware อื่น ๆ มากที่สุด แม้ว่า โลกใช้อัลกอริทึมการเข้ารหัสลับโบลว์ฟิชเข้ารหัสแบบ AES ใช้กันค่อนข้าง นอกจากนี้ แทนข้อความและ html ค่าไถ่หมายเหตุ Globe Ransomware ใช้แฟ้ม HTA หรือโปรแกรมประยุกต์ HTML การแสดงหมายเหตุค่าไถ่ อับ การวิเคราะห์เบื้องต้นแสดงว่า ransomware นี้มีความปลอดภัยรับ ซึ่งหมายความ ว่า มันไม่สามารถถอดรหัสไฟล์ของเหยื่อฟรี กำลังทำวิจัยเพิ่มเติม และความอ่อนแอหากพบ เราจะให้ทุกคนทราบ สำหรับผู้ที่ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ ransomware นี้ คุณสามารถอ่านด้านล่าง คุณสามารถถามคำถาม หรือหารือ ransomware นี้ใน Globe Ransomware ความช่วยเหลือและสนับสนุนหัวข้อ
วิธี Globe Ransomware การเข้ารหัสคอมพิวเตอร์ของเหยื่อ
เวลานี้ ก็ยังไม่รู้วิธี Globe Ransomware การกระจาย เมื่อมีการติดตั้ง มันจะตรวจสอบเพื่อดูว่าภายใน sandbox หรือเครื่องเสมือนเช่นสุสาน VirtualBox, VMware, Virtual PC หรือคอมพิวเตอร์ และถ้าเป็น กระบวนการจะถูกยกเลิก ถ้าไม่มีทรายไม่อยู่ ransomware จะเริ่มรหัสโปรไฟล์ผู้ใช้ของเหยื่อ ไดรฟ์ภายในเครื่อง โฟลเดอร์เครือข่ายที่ใช้ร่วมกัน และจากนั้นโฟลเดอร์บนเดสก์ท็อปของเหยื่อ เมื่อคุณพบไฟล์ของ extensions1 เป้าหมาย 995 มันจะเข้ารหัสลับโดยใช้โบลว์ฟิช(blowfish) และผนวกไฟล์นามสกุล.purge ตัวอย่างเช่น test.jpg แฟ้มจะเปลี่ยนชื่อ test.jpg.purge เมื่อมีการเข้ารหัส เมื่อมันเข้ารหัสไฟล์ มันจะสร้างเหตุไถ่ HTA เรียกว่าวิธีการคืนค่า files.hta ในโฟลเดอร์เดียวกับแฟ้มที่เข้ารหัส นอกจากนี้มันยังจะสร้างอัตโนมัติที่เรียกว่าวิธีการคืนค่าแฟ้มที่เปิดบันทึกค่าไถ่ HTA อยู่ในของเหยื่อ% UserProfile %เมื่อพวกเขาเข้าสู่ระบบ Windows โดยอัตโนมัติ
ในระหว่างกระบวนการเข้ารหัสลับ ransomware จะลบสำเนาเงาระดับเสียง และปิดใช้งานการซ่อมแซมการเริ่มต้น Windows โดยใช้คำสั่งเหล่านี้:
ลบเงา /All /Quiet vssadmin.exe
- bcdedit.exe /set {เริ่มต้น} recoveryenabled ไม่มี
- bcdedit.exe /set {เริ่มต้น} bootstatuspolicy ignoreallfailures
ในที่สุด เมื่อ ransomware เสร็จ มันเปิดวิธีการคืนค่า files.hta และแสดงให้เหยื่อ หมายเหตุค่าไถ่นี้ประกอบด้วยรหัสเฉพาะที่สัมพันธ์กับการตกเป็นเหยื่อและข้อมูลการติดต่อสำหรับนักพัฒนา ข้อมูลการติดต่อสำหรับนักพัฒนาปัจจุบันคือ อีเมล์ที่ powerbase@tutanota.com และอยู่ bitmessage BM 2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 โหมดนี้ถูกสร้างขึ้นเพื่อช่วยให้นักพัฒนาที่ตรวจแก้จุดบกพร่องโปรแกรมประยุกต์ของตน ในเวลาเดียวกัน จะช่วยให้นักวิจัยความปลอดภัยในการวิเคราะห์ขั้นตอนต่าง ๆ ของ ransomware นี้ได้อย่างง่ายดาย
ไฟล์ที่เกี่ยวข้องกับการ Globe Ransomware:
วิธีการคืนค่า files.hta
- %UserProfile%AppDataLocalmsiscan.exe
- %UserProfile%How ถอดรหัสลับของคุณ files.jpg
เกี่ยวข้องกับการ Globe Ransomware รายการรีจิสทรี:
- HKCUSoftwareGlobe
- HKCUSoftwareGlobe “ใช้งาน”
- HKCUSoftwareGlobe การดีบัก”
- HKCUControl PanelDesktop “วอลล์เปเปอร์” “%UserProfile%How ถอดรหัสลับของคุณ files.jpg”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “วิธีการคืนค่าแฟ้ม” = “mshta.exe “%UserProfile%How การคืนค่า files.hta””
ดาวน์โหลดเครื่องมือการเอาออกเอา Globe Ransomware
* SpyHunter สแกนเนอร์ เผยแพร่บนเว็บไซต์นี้ มีวัตถุประสงค์เพื่อใช้เป็นเครื่องมือการตรวจสอบเท่านั้น ข้อมูลเพิ่มเติมบน SpyHunter การใช้ฟังก์ชันลบ คุณจะต้องซื้อเวอร์ชันเต็มของ SpyHunter หากคุณต้องการถอนการติดตั้ง SpyHunter คลิกที่นี่
