Vírus ransomware Globe Imposter - Como remover?

 

Variantes do vírus ransomware Globe Imposter continuam a aparecer e a copiar a mais antiga e superior versão da infeção Globe. A primeira coisa que mostra semelhanças é a nota de resgate que tem um estilo semelhante. Ainda assim, são deixados endereços de e-mail diferentes como informação de contacto, o que implica que algumas variantes não são geradas pelas mesmas pessoas: durante o decorrer de 2017, os autores das versões de Globe Imposter deixaram estes endereços de e-mail: chines34@protonmail.ch, btc2017@india.com, oceannew_vb@protonmail.com.

A informação mais recente sobre o ransomware GlobeImposter

Desde o Verão de 2017, versões dos criptovírus GlobeImposter começaram a aparecer loucamente. Uma delas é a extensão .skunk com uma carga de svchost.exe. Além disso, uma extensão .gotham também foi determinada como pertencendo a criadores suspeitos do vírus FakeGlobe. Uma variante A1Lock não escapou ao seu destino de ser vista como parte desta família: deixou uma extensão .707 na informação codificada. Movendo-se mais para outra variante da infeção FakeGlobe, foi determinada que acrescentava a extensão .[email].BRT92 e exigia uma nota de resgate em HOW_DECRYPT_FILES#.html.


Globe Imposter virus

De acordo com algumas notícias perturbadoras (PSCrypt is based on FakeGlobe), o PSCrypt ransomware é baseado no codificador de ficheiros GlobeImposter. Ao que parece, o criptovírus FakeGlobal estava a ser vendido como um RaaS (ransomware como serviço).

Foi determinado que o ransomware Globe Imposter obtinha um boost de malspam (Malware traffic analysis), direcionado a pessoas dos Estados Unidos e União Europeia. Adicionalmente, o botnet Necurs também tem suportado a distribuição do ransomware FakeGlobe. Também se tem notado o envolvimento do Necurs na distribuição do Locky. Alguns investigadores de segurança enfatizaram que são empurrados em campanhas de spam duais (Locky and FakeGlobe).

Infelizmente, estamos longe de ter terminado. Também detetámoso variantes que anexam .f**k_you_ av_we_are_not_globe_fake, .write_me_[btc2017@india.com]. Um detalhe engraçado em que reparámos é que uma das versões mais antigas do GlobeImposter usava a extensão .ocean, mas uma das novas utiliza .sea. Em Agosto também nos tornámos conscientes de extensões como .mtk118, .492 e .coded. Apesar de parecer que nunca iremos parar de enumerar todas as marcas, vemos uma luz ao fundo do túnel.

Também foi reparado que as versões do GlobeImposter anexam números de ID como extensões. Contudo, há mais variantes que anexam a mesma extensão a todas as suas vítimas. Por exemplo, em Agosto, houve descobertas de .ACTUM, .BONUM, .NIGGA, .rumblegoodboy e .0402. Também havia uma extensão inapropriada de .f¨ck, apenas sem o símbolo em vez da letra. Uma adição de strings de extensões que existem: .GRANNY, .UNLIS, .LEGO, .zuzya, .needdecrypt, .write_on_email, .911, .f41o1, .YAYA, .needkeys, .nWcrypt, .


Globe Imposter variants

Depois, os piratas informáticos decidiram utilizar os nomes de presidents e integrá-los nas suas infeções de ransomware. Por isso, extensões como .ReaGan, .BUSH, .Bill_Clinton@derpymailorg, and .reaGAN. A necessidade de aprender sobre estes GlobeImposters tem sido realçada, explicando que estas variantes não param de aparecer e irão manter-se uma ameaça durante algum tempo (Facts about FakeGlobe).


Globe Imposter .rose

Discussão sobre a variedade de amostras do vírus FakeGlobe

Está a ficar bastante complicado contar todas as extensões que o Globe Imposters anexou à informação que estraga com encriptação. Um dos mais recentes exemplos é uma adição .help. A última variante tem sido reportada como estando ativa a 2 de Agosto e a sua carga é o encm3.exe.

Em 1 de Agosto, outra variante saiu com a extensão .726. A mesma variante tem estado ativa durante algum tempo antes disso, mas anexava .725 e implantava o ficheiro RECOVER-FILES-726.html para abrir nos navegadores preferidos das vítimas.

A 31 de Julho, outra variante do malware FakeGlobe apareceu e apresentava a extensão .ocean, juntamente com a adição de !back_files!.html. Pela mesma altura, campanhas de malspam eram caracterizadas por executáveis que traziam cargas de Globe Imposters para os computadores. O botnet Necurs foi uma das ferramentas que foi utilizada para distribuir com sucesso essas cartas de spam.


Globe Imposter emails

Nalguns casos, os piratas informáticos faziam o esfoço mínimo para convencer as pessoas de que os e-mails eram legítimos. Aparentemente, cartas em branco eram enviadas e não continham nenhum texto, apenas um anexo. Ainda que algumas cartas de e-mail pudessem ser tidas como credíveis, e-mails que não contenham qualquer texto devem ser imediatamente sinalizados.

Uma variante do Globe Imposter chamada A1Lock também foi detetada e foi trazida para os computadores dos utilizadores através da carga KSSOIFUSIOHRQW.exe. Ele anexava a extensão .rose e implantava “how_to_back_files.html”. Esta variante era bastante diferente uma vez que o ficheiro .html abria uma mensagem, diferindo das amostras previamente discutidas. Reparámos também que i-absolutus@bigmir.net uma amostra que anexa {email}.BRT92 também foi detetada em estado selvagem, acompanhada por #HOW_DECRYPT_FILES#.html.

Desencriptação destes cripto-vírus

Antes de tentar os métodos possíveis para recuperação de ficheiros, deve livrar-se da amostra de malware que está de momento a incomodar o seu sistema operativo. Qualquer aplicação anti-malware o irá ajudar, mas recomendamos o Reimage. Se não fizer isto, o cripto-vírus irá repetidamente completar o processo de encriptação de ficheiros. Se o seu sistema tiver sido infetado através de RDP insegura, deve também mudar as palavras-chave de todos os seus utilizadores.

Uma das primeiras variantes do Globe Imposter anexava a enxtensão .crypt. Esta versão é desencriptável com Emsisoft Decrypter. Outras variatnes poderiam também ser crackadas, mas terá de seguir o manual que este serviço forneceu. Se isso não resultar, sugerimos que teste outras alternativas. Discutimos várias na secção abaixo.

Que estratégias é que as infeções ransomware utilizam para distribuição?

Esta cadeia de cripto-vírus é principalmente entregue através de cartas de spam, contendo anexos. Claro, outras estratégias também poderiam ser adotadas, mas a tática mais prevalente é esta. Também foi reparado que as cargas são entregues através de websites inseguros ou até anúncios online. Protocolos de Ambiente de Trabalho Remoto também se tornaram alvos nalguns casos. Se quiser ser imune ao terror que o ransomware inflige, deve tentar carregar ficheiros para armazéns de backup ou outras localizações que lhe possam servir como fonte alternativa da informação digital.

Se as versões no seu disco rígido se tornarem encriptadas, é importante que tenha outras de sobra. Nem vale a pena dizer, mas não abra mensagens de endereços e-mail que não lhe sejam familiares. Por último, relembramos que alguns cripto-vírus podem ser distribuídos através de sites de redes sociais.

Como remover Vírus ransomware Globe Imposter usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos


para Windows 7 / Vista/ XP
  • Iniciar → Encerrar → Reiniciar → OK.
  • Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
  • Escolha o Modo de Segurança com Janela de Comandos. Windows 7 enter safe mode

para o Windows 8 / 10
  • Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar. Windows 8-10 restart to safe mode
  • Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
  • Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque. Windows 8-10 enter safe mode

Restaurar os ficheiros e definições de Sistema.
  • Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
  • Depois digite rstrui.exe e pressione Enter novamente. CMD commands
  • Clique em “Próximo” na janela que apareceu.. Restore point img1
  • Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.Restore point img2
  • Para arrancar com o sistema clique em “Sim”. Restore point img3

2. Remoção complete do Vírus ransomware Globe Imposter

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Reimage, Spyhunter e remova todos os ficheiros maliciosos relacionados com Vírus ransomware Globe Imposter.


3. Restaure os ficheiros afetados pelo Vírus ransomware Globe Imposter usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Vírus ransomware Globe Imposter tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

Previous version
b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Shadow explorer

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas para remoção automática de Vírus ransomware Globe Imposter

 
  Baixar Reimage para Vírus ransomware Globe Imposter detecçãoNota: julgamento Reimage fornece detecção de parasita como Vírus ransomware Globe Imposter e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure           
     

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *