Variantes do vírus ransomware Globe Imposter continuam a aparecer e a copiar a mais antiga e superior versão da infeção Globe. A primeira coisa que mostra semelhanças é a nota de resgate que tem um estilo semelhante. Ainda assim, são deixados endereços de e-mail diferentes como informação de contacto, o que implica que algumas variantes não são geradas pelas mesmas pessoas: durante o decorrer de 2017, os autores das versões de Globe Imposter deixaram estes endereços de e-mail: [email protected], [email protected], [email protected].
A informação mais recente sobre o ransomware GlobeImposter
Desde o Verão de 2017, versões dos criptovírus GlobeImposter começaram a aparecer loucamente. Uma delas é a extensão .skunk com uma carga de svchost.exe. Além disso, uma extensão .gotham também foi determinada como pertencendo a criadores suspeitos do vírus FakeGlobe. Uma variante A1Lock não escapou ao seu destino de ser vista como parte desta família: deixou uma extensão .707 na informação codificada. Movendo-se mais para outra variante da infeção FakeGlobe, foi determinada que acrescentava a extensão .[email].BRT92 e exigia uma nota de resgate em HOW_DECRYPT_FILES#.html.
V%c3%adrus Ransomware Globe Imposter quicklinks
- Discussão sobre a variedade de amostras do vírus FakeGlobe
- Desencriptação destes cripto-vírus
- Como remover Vírus ransomware Globe Imposter usando o System Restore?
- 1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos
- 2. Remoção complete do Vírus ransomware Globe Imposter
- 3. Restaure os ficheiros afetados pelo Vírus ransomware Globe Imposter usando Shadow Volume Copies
- Ferramentas de Malware remoção automática
(Win)
Nota: julgamento Spyhunter fornece detecção de parasita como Vírus ransomware Globe Imposter e auxilia na sua remoção de forma gratuita. experimentação limitado disponível, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: julgamento Combo Cleaner fornece detecção de parasita como Vírus ransomware Globe Imposter e auxilia na sua remoção de forma gratuita. experimentação limitado disponível,
De acordo com algumas notícias perturbadoras (PSCrypt is based on FakeGlobe), o PSCrypt ransomware é baseado no codificador de ficheiros GlobeImposter. Ao que parece, o criptovírus FakeGlobal estava a ser vendido como um RaaS (ransomware como serviço).
Foi determinado que o ransomware Globe Imposter obtinha um boost de malspam (Malware traffic analysis), direcionado a pessoas dos Estados Unidos e União Europeia. Adicionalmente, o botnet Necurs também tem suportado a distribuição do ransomware FakeGlobe. Também se tem notado o envolvimento do Necurs na distribuição do Locky. Alguns investigadores de segurança enfatizaram que são empurrados em campanhas de spam duais (Locky and FakeGlobe).
Infelizmente, estamos longe de ter terminado. Também detetámoso variantes que anexam .f**k_you_ av_we_are_not_globe_fake, .write_me_[[email protected]]. Um detalhe engraçado em que reparámos é que uma das versões mais antigas do GlobeImposter usava a extensão .ocean, mas uma das novas utiliza .sea. Em Agosto também nos tornámos conscientes de extensões como .mtk118, .492 e .coded. Apesar de parecer que nunca iremos parar de enumerar todas as marcas, vemos uma luz ao fundo do túnel.
Também foi reparado que as versões do GlobeImposter anexam números de ID como extensões. Contudo, há mais variantes que anexam a mesma extensão a todas as suas vítimas. Por exemplo, em Agosto, houve descobertas de .ACTUM, .BONUM, .NIGGA, .rumblegoodboy e .0402. Também havia uma extensão inapropriada de .f¨ck, apenas sem o símbolo em vez da letra. Uma adição de strings de extensões que existem: .GRANNY, .UNLIS, .LEGO, .zuzya, .needdecrypt, .write_on_email, .911, .f41o1, .YAYA, .needkeys, .nWcrypt, .
Depois, os piratas informáticos decidiram utilizar os nomes de presidents e integrá-los nas suas infeções de ransomware. Por isso, extensões como .ReaGan, .BUSH, .Bill_Clinton@derpymailorg, and .reaGAN. A necessidade de aprender sobre estes GlobeImposters tem sido realçada, explicando que estas variantes não param de aparecer e irão manter-se uma ameaça durante algum tempo (Facts about FakeGlobe).
Discussão sobre a variedade de amostras do vírus FakeGlobe
Está a ficar bastante complicado contar todas as extensões que o Globe Imposters anexou à informação que estraga com encriptação. Um dos mais recentes exemplos é uma adição .help. A última variante tem sido reportada como estando ativa a 2 de Agosto e a sua carga é o encm3.exe.
Em 1 de Agosto, outra variante saiu com a extensão .726. A mesma variante tem estado ativa durante algum tempo antes disso, mas anexava .725 e implantava o ficheiro RECOVER-FILES-726.html para abrir nos navegadores preferidos das vítimas.
A 31 de Julho, outra variante do malware FakeGlobe apareceu e apresentava a extensão .ocean, juntamente com a adição de !back_files!.html. Pela mesma altura, campanhas de malspam eram caracterizadas por executáveis que traziam cargas de Globe Imposters para os computadores. O botnet Necurs foi uma das ferramentas que foi utilizada para distribuir com sucesso essas cartas de spam.
Nalguns casos, os piratas informáticos faziam o esfoço mínimo para convencer as pessoas de que os e-mails eram legítimos. Aparentemente, cartas em branco eram enviadas e não continham nenhum texto, apenas um anexo. Ainda que algumas cartas de e-mail pudessem ser tidas como credíveis, e-mails que não contenham qualquer texto devem ser imediatamente sinalizados.
Uma variante do Globe Imposter chamada A1Lock também foi detetada e foi trazida para os computadores dos utilizadores através da carga KSSOIFUSIOHRQW.exe. Ele anexava a extensão .rose e implantava “how_to_back_files.html”. Esta variante era bastante diferente uma vez que o ficheiro .html abria uma mensagem, diferindo das amostras previamente discutidas. Reparámos também que [email protected] uma amostra que anexa {email}.BRT92 também foi detetada em estado selvagem, acompanhada por #HOW_DECRYPT_FILES#.html.
Desencriptação destes cripto-vírus
Antes de tentar os métodos possíveis para recuperação de ficheiros, deve livrar-se da amostra de malware que está de momento a incomodar o seu sistema operativo. Qualquer aplicação anti-malware o irá ajudar, mas recomendamos o Reimage. Se não fizer isto, o cripto-vírus irá repetidamente completar o processo de encriptação de ficheiros. Se o seu sistema tiver sido infetado através de RDP insegura, deve também mudar as palavras-chave de todos os seus utilizadores.
Uma das primeiras variantes do Globe Imposter anexava a enxtensão .crypt. Esta versão é desencriptável com Emsisoft Decrypter. Outras variatnes poderiam também ser crackadas, mas terá de seguir o manual que este serviço forneceu. Se isso não resultar, sugerimos que teste outras alternativas. Discutimos várias na secção abaixo.
Que estratégias é que as infeções ransomware utilizam para distribuição?
Esta cadeia de cripto-vírus é principalmente entregue através de cartas de spam, contendo anexos. Claro, outras estratégias também poderiam ser adotadas, mas a tática mais prevalente é esta. Também foi reparado que as cargas são entregues através de websites inseguros ou até anúncios online. Protocolos de Ambiente de Trabalho Remoto também se tornaram alvos nalguns casos. Se quiser ser imune ao terror que o ransomware inflige, deve tentar carregar ficheiros para armazéns de backup ou outras localizações que lhe possam servir como fonte alternativa da informação digital.
Se as versões no seu disco rígido se tornarem encriptadas, é importante que tenha outras de sobra. Nem vale a pena dizer, mas não abra mensagens de endereços e-mail que não lhe sejam familiares. Por último, relembramos que alguns cripto-vírus podem ser distribuídos através de sites de redes sociais.
Como remover Vírus ransomware Globe Imposter usando o System Restore?
1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos
para Windows 7 / Vista/ XP
- Iniciar → Encerrar → Reiniciar → OK.
- Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
- Escolha o Modo de Segurança com Janela de Comandos.
para o Windows 8 / 10
- Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
- Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
- Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.
Restaurar os ficheiros e definições de Sistema.
- Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
- Depois digite rstrui.exe e pressione Enter novamente.
- Clique em “Próximo” na janela que apareceu..
- Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
- Para arrancar com o sistema clique em “Sim”.
2. Remoção complete do Vírus ransomware Globe Imposter
Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com Vírus ransomware Globe Imposter.
3. Restaure os ficheiros afetados pelo Vírus ransomware Globe Imposter usando Shadow Volume Copies
Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Vírus ransomware Globe Imposter tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.
As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.
a) Windows Previous Versions NativaClique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.
b) Shadow Explorer
É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.
Ferramentas de Malware remoção automática
(Win)
Nota: julgamento Spyhunter fornece detecção de parasita como V%c3%adrus Ransomware Globe Imposter e auxilia na sua remoção de forma gratuita. experimentação limitado disponível, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: julgamento Combo Cleaner fornece detecção de parasita como V%c3%adrus Ransomware Globe Imposter e auxilia na sua remoção de forma gratuita. experimentação limitado disponível,