шкала интенсивности:  
  (99/100)

Вирус-вымогатель Globe Imposter. Как удалить? (Руководство по удалению)

12

GlobeImposter продолжает вызывать гам в киберпространстве

Globe Imposter virus

GlobeImposter (также известный как FakeGlobe) функционирует как крипто-угроза, которая имитирует Globe вымогатель. Он может быть помечен как один из самых активных паразитов, шифрующих файлы. Хотя у вируса не бывает очень сложных структур или разрушительной силы, каждую неделю появляются новые версии.

В общем, единственное, что отличается – расширение, добавленное к файлу и предоставленные адреса электронной почты. В ответ на количество новых версий, наводняющих киберпространство, специалисты EMSISOFT создали бесплатный дешифрующий инструмент. Вы можете найти его в конце статьи.

Были замечены некоторые версии, распространявшиеся через взломанные веб-сайты с помощью Rig exploit. Однако угроза GlobeImposter может также проникнуть в компьютер с помощью других методов. Как только паразит проникает в систему — он добавляет одно из многочисленных расширений файлов, таких как:

..txt, .0402, .BONUM, .ACTUM, .JEEP, .GRAFF, .trump, .rumblegoodboy, .goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .plin, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[byd@india.com]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[btc2017@india.com], .VAPE, .726, .490, .coded, .skunk, .492, .astra, .apk, .doc, .4035, .clinTON, .D2550A49BF52DFC23F2C013C5, .zuzya, .LEGO, .UNLIS, .GRANNY, .911,.reaGAN, .YAYA .needkeys, .[d7516@ya.ru], .foSTE, .490, .ILLNEST, .SKUNK, .nWcrypt, .f41o1, .panda, .BIG1, .sexy, .kimchenyn, .colin_farrel@aol.com, .WORK,  .crypted_uridzu@aaathats3as_com, .bensmit@tutanota.com, .TRUE, .omnoomnoomf@aol.com, .[proof3200@tutanota.com], .btc, .[kps228@yandex.com],  .mixfight@india.com,  .black,  .[program3200@tutanota.com], .rrr, .{lxgiwyl@india.com}.AK47,  .LIN, .apk,  .decoder, .[i-absolutus@bigmir.net].rose, .fuck,  .restorefile, .CHAK,  .Chartogy,  .POHU,  .crypt_fereangos@airmail_cc, .jeepdayz@aol.com, .crypted_monkserenen@tvstar_com, .crypt_sorayaclarkyo@mail_com, .STN, .VYA, .crypt_damarles@airmail_cc, .pliNGY,  .ñ1crypt;

Цель GlobeImposter — зашифровать файлы и потребовать заплатить выкуп, используя тактики запугивания. Как только вредоносная угроза завершит шифрование данных, она доставит примечание о выкупе, где для жертв продается ключ дешифрования. Инструкции по восстановлению доступа к файлам могут быть предоставлены в одном из этих файлов:

  • HOW_OPEN_FILES.hta;
  • how_to_back_files.html;
  • RECOVER-FILES.html;
  • !back_files!.html;
  • !free_files!.html;
  • #HOW_DECRYPT_FILES#.html;
  • here_your_files!.html)
  • !SOS!.html
  • Note Filename: support.html;
  • Read___ME.html;
  • READ_IT;
  • #HOW_DECRYPT_ALL#.html;

Различные версии Fake Globe включают разные электронные или BitMessage адреса для связи с жертвами. Преступники просят жертв связаться с ними, используя эти адреса электронной почты. Тем не менее, список может расширяться, потому что продолжают появляться новые варианты:

  • write_me_[btc2017@india.com]
  • 511_made@cyber-wizard.com
  • btc.me@india.com
  • chines34@protonmail.ch
  • decryptmyfiles@inbox.ru
  • garryweber@protonmail.ch
  • keepcalmpls@india.com
  • happydaayz@aol.com
  • strongman@india.com
  • support24@india.com
  • support24_02@india.com
  • oceannew_vb@protonmail.com
  • asnaeb7@india.com
  • asnaeb7@yahoo.com
  • i-absolutus@bigmir.net
  • laborotoria@protonmail.ch
  • filesopen@yahoo.com
  • openingfill@hotmail.com
  • crypt@troysecure.me
  • troysecure@yandex.by
  • troysecure@yahoo.com
  • _master@india.com
  • Bill_Clinton@derpymail.org
  • saruman@india.com
  • Donald_Trump@derpymail.org
  • happydaayz@aol.com
  • crazyfoot_granny@aol.com
  • crazyfoot_granny@india.com;
  • greenpeace_28@india.com;
  • greenpeace_wtf@aol.com;
  • .colin_farel@aol.com;
  • bigbig_booty@aol.com;
  • sexy_chief@aol.com;
  • sezy_chief18@india.com;
  • lxgivy1@india.com;
  • lxgivy17@yahoo.com;

Fake Globe вирус может шифровать файлы так же успешно, как и любой другой вымогатель, который был разработан с нуля. Учитывая, что существует множество вариантов этого вымогателя, мы можем только сказать, что некоторые вирусы имеют тенденцию использовать RSA и AES шифры, которые используют большинство вымогателей в своих атаках . Хотя некоторые версии GlobeImposter могут быть расшифрованы, остальные остаются чрезвычайно опасными.

Экспертам по безопасности Emsisoft удалось создать инструмент дешифрования — бесплатный Globe Imposter дешифровщик, который помогает жертвам вымогателя восстанавливать свои файлы и возвращать порядок на своих компьютерах . На момент написания этого инструмента спасения угрозу уже было загружено более 11844 раз, что только доказывает, что паразит быстро распространяется, и каждый должен принять меры для защиты своего устройства.

Если вам уже слишком поздно предпринимать какие-либо профилактические шаги, вы должны прокрутить вниз, чтобы загрузить дешифровщика и узнать, как удалить GlobeImposter с вашего компьютера. Мы предлагаем сканировать систему с помощью Reimage или Malwarebytes Anti Malware, чтобы искоренить инфекцию.

Image of the Globe Imposter virus

Эволюция Globe Imposter: ключевые версии

GlobeImposter 2.0 вирус. Еще одна плохо сделанная, но немного улучшенная копия Globe вымогателя. Конкретно эта версия добавляет .FIX расширение к файлам жертвы, которые сначала шифрует с помощью мощного алгоритма шифрования, делая их нечитаемыми.

Стратегии проникновения вирусов варьируются от спам-кампаний до загрузок или обманчивых объявлений. Практически нет никакого способа узнать, когда ударит вирус. Хотя оригинальный GlobeImposter был успешно расшифрован, экспертам по вредоносным программам не удалось повторить свой успех с версией 2.0, и этот паразит все еще остается не вскрытым.

Вот почему всегда рекомендуется хранить резервные копии ваших самых важных файлов где-нибудь, где вредоносный скрипт не сможет достигнуть и зашифровать их. Таким образом, вы всегда будете иметь план восстановления резервных копий, если ваши данные будут повреждены.

Немецкая версия GlobeImposter. Чтобы привлечь больше жертв, разработчики вымогателей часто адаптируют свои злонамеренные творения для ориентации на конкретные страны и обращаются к пользователям на их родном языке.

Немецкая версия вымогателя — прекрасный пример такой стратегии: примечание о выкупе с объяснениями о том, как восстановить зашифрованные файлы. Преступники требуют 0,5 биткоина за ключ восстановления данных. После перевода денег жертвам необходимо отправить снимок экрана на электронную почту — decryptmyfiles@inbox.ru.

Но даже выполнение всех требований преступников не гарантирует восстановление файлов. Преступники непредсказуемы и могут просто исчезнуть с деньгами. Вот почему мы рекомендуем оставаться в безопасности и выполнить удаление немецкой версии GlobeImposter.

KeepCalm вирус. Вирус шифрует и добавляет .keepcalm расширение, из-за которого этот вирус получил свое имя. Паразит использует сильный скрипт шифрования, чтобы сделать файлы жертвы нечитаемыми, а затем предлагает дешифровать файлы, предлагая заплатить значительную сумму денег.

Вымогатели дают более подробное описание о восстановлении данных в записки о выкупе HOW_TO_BACK_FILES.html. По сути, жертвы должны связаться с преступниками через электронную почту keepcalmpls@india.com. Скриншот оплаты вместе с персональным ID должны быть отправлены на предоставленную почту для получения инструмента дешифрования. К сожалению, это не то, что обычно происходит.

Обычно преступники, как правило, исчезают, как только получают деньги, оставляя жертв с кучей заблокированной информации. В этом случае все, что вы можете сделать, это удалить KeepCalm из зараженного устройства и обойти шифрование другими, более безопасными способами.

Wallet GlobeImposter вирус. В начале мая 2017 года была обнаружена новая версия поддельного Globe вируса. На этот раз он использует .wallet расширение, чтобы пародировать Dharma вымогателя, который, как известно, использует.wallet расширение для маркировки зашифрованных файлов.

Вымогатель бросает записку с выкупом how_to_back_files.html на рабочей стол, в которой содержится ID жертвы и адрес BitMessage преступников, если жертва захочет связаться — BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U[@]bitmessage.ch.

Вирус удаляет копии теневой копии, чтобы жертва не восстановила файлы, не заплатив выкуп.

Файл-расширение .s1crypt вирус. Этот паразит служит еще одним вариантом вымогателя. Он представляет требования в примечании о выкупе how_to_back_files.html. Он также информирует пользователей о том, что все его документы и данные зашифрованы.

Чтобы расшифровать файлы, жертве нужно приобрести декодер, который предположительно стоит 2 биткоина. Излишне говорить, что инструмент не повышает шансы на восстановление данных.

Кроме того, разработчики также предоставляют три дополнительные ссылки для пользователей, которые не знают, как купить биткоины. В случае технических трудностей они могут связаться с исполнителем через laboratoria@protonmail.ch.

Окончание письма дает подозрение о том, что киберпреступник мог зарегистрировать домен на территории Швейцарии. Опять же, это может быть только диверсией. Антивирусные инструменты могут идентифицировать вредоносное ПО как Trojan.Generic.DB75052.

Файл-расширение .au1crypt вирус. Вредоносная программа работает как аналог предыдущей версии с отличающимся графическим интерфейсом. ID, похоже, является результатом AES и RSA шифрования. Записка с выкупом, how_to_back_files.html, объясняет, что файлы пользователя были зашифрованы из-за “проблемы безопасности с вашим ПК”.

В отличие от прежней версии, которая указывала адрес биткоина, эта версия дает указание пользователям связаться с киберпреступниками через summerteam@tuta.io и summerteam@india.com. Хотя кажется, что вредоносное ПО является скорее “летним развлечением” для хакеров, члены виртуального сообщества должны проявлять бдительность.

На данный момент, этот троян идентифицируется как Variant.Adware.Graftor.lXzx.

Файл-расширение .goro вирус. Этот вирус специально нацелен на жертв через слабые протоколы удаленного доступа (RDP). Поскольку версия по-прежнемуновая — дешифровщик пока не выпущен. Разработчики взяли туже самую.html записку для инструкций.

Вы можете устранить goro.exe в диспетчере задач, чтобы прервать процесс вредоносного ПО. Эта версия также связана с версией Wallet вируса семейства Dharma вымогателя.

На данный момент эта вариация обнаруживается как Trojan[Ransom]/Win32.Purgen, Arcabit Trojan.Ransom.GlobeImposter.1 большинством приложений безопасности. Другим доказательством этой версии является электронная почта Mk.goro@aol.com.

Файл-расширение .{email}.BRT92 вирус. Этот вирус делает то, что предлагает говорит его название — добавляет расширения .{email}.BRT92 к зашифрованным файлам. В дополнение к новому расширению этот Globe вирус отображает заметку о выкупе через файл #HOW_DECRYPT_FILES#.html файл.

На этой html странице жертвам предоставляется персональный ID номер, являющийся кодом, который помогает преступникам различать их жертв.

Хакеры указывают два адреса электронной почты asnaeb7@india.com и asnaeb7@yahoo.com для связи с жертвой.

Файл-расширение .ocean вирус. Это одна из версий вируса Globe, появившаяся в 2017 году. Этот вирус добавляет расширения .ocean и роняет записку с именем !back_files!.html. для вымогания денег. Чтобы получить свои файлы, жертвы должны связаться с преступниками через электронную почту oceannew_vb@protonmail.com email address.

Хакеры утверждают, что цена расшифровки файла будет зависеть от того, насколько быстро жертве удастся связаться с ними. Тем не менее, сотрудничество с преступниками никогда не является хорошим вариантом, так как вы можете остаться обманутыми.

A1Lock вирус. A1Lock — одна из наиболее успешных версий GlobeImposter вируса. Существует несколько версий этого паразита, и каждый из них добавляет к файлам разные расширения. В настоящее время мы знаем о вариантах, которые используют .rose, .troy и .707 расширения.

Требования выкупа обычно перечисляются в документах с именами How_to_back_files.html и RECOVERFILES.html. Для общения с жертвами преступники указывают следующие адреса: absolutus@bigmir.net, crypt@troysecure.me, crypt@troysecure.me, troysecure@yandex.by и troysecure@yahoo.com.

Файл-расширение .Write_me_[btc2017@india.com] вирус. Рассматривая его дизайн, эта версия Fake Globe отличается от большинства версий вирусов. Тем не менее, она работает точно так же: шифрует файлы и предлагает получить платный декодер. Жертвы, которые готовы заплатить за свои файлы, должны связаться с преступниками электронную почту btc2017@india.com. 

Риск здесь огромен, потому что преступники могут исчезнуть после того, как жертва заплатит за дешифратор. Таким образом, файлы, которые помечены паразитом .Write_me_[btc2017@india.com] расширением, могут оставаться навсегда в такой форме.

Файл-расширение .725 вирус. Эта версия вымогателя создает RECOVER-FILES.HTML с примечанием, требующим выкупа. Вирус, как и его предыдущие версии, кодирует файлы, чтобы требовать выкуп от жертвы. Вымогатель распознается через расширение файлов- .725, которые он добавляет к поврежденным файлам. Некоторые из пятнистых версий требуют 0,19 биткоина в качестве выкупа. До сих пор не было создано инструмента дешифрования для 725 вымогателя.

Файл-расширение .726 вирус. Чуть позже после открытия версии .725 появился вирус .726. Понятно, что разработчики GlobeImposter быстро меняют расширения, которые они используют, возможно, чтобы запутать жертв и не дать им найти помощь в Интернете. Вымогатель сохраняет RECOVER-FILES-726.html в качестве записки с выкупом на компьютере жертвы. Потерпевшие сообщают, что вирус запрашивает 0,37 биткоина в обмен на инструмент дешифрования данных.

Файл-расширение .490 вирус. .490 вирус считается версией A1Lock (GlobeImposter), которая использует расширение .490 для маркировки зашифрованных файлов и создает для жертвы записку о выкупе !free_files!.html. На данный момент нету инструмента  дешифрования эффективного против этого вируса.

Файл-расширение .492 вирус.Еще один теневой римейк GlobeImposter использует расширение .492 для пометки зашифрованных файлов. Дизайн записки о выкупе не остался прежним, но имя изменилось — теперь она называется here_your_files.html. Заметка о выкупе открывается через веб-браузер по умолчанию и говорит, что файлы были зашифрованы из-за проблемы безопасности с ПК жертвы. Согласно записке, файлы могут быть восстановлены, но жертва должна написать на file_free@protonmail.com или koreajoin69@tutanota.com.

Файл-расширение .crypt вирус. Вирус-вымогатель Globe Imposter Crypt был замечен, в распространение через BlankSlate спам. Спам кампания, которая недавно использовалась для распространения BTCWare Aleta вируса, теперь переключилась на новую версию GlobeImposter. Вымогатель поставляется в электронном письме, которое не содержит сообщения — просто вложение ZIP-файл.

Вложение обычно называется таким образом: EMAIL_[Random Digits]_[Recipient's Name].zip. Этот ZIP-файл содержит другой ZIP-файл, также названный случайным набором цифр. Окончательный ZIP содержит JavaScript файл, дублированный случайным набором символов.

После выполнения JS-файл подключается к определенному домену и загружает 1.dat файл, который является исполняемым вымогателем. Он сразу же шифрует все файлы в системе, добавляя на своем пути .crypt расширение. Затем вирус роняет примечание о выкупе !back_files!.html, которое дает указание жертве отправить сообщение на oceannew_vb@protonmail.com для получения инструкций по расшифровке файлов.

В настоящий момент ни один из доступных дешифровщиков не может дешифровать эти файлы, поэтому резервное копирование данных является единственным способом восстановить ваши файлы.

Файл-расширение .coded вирус. Неудивительно, что вирус появляется с другим расширением файла, на этот раз — .coded. Традиционно, после изменения используемого расширения файла, создатель вредоносного ПО также меняет адрес электронной почты. Эта CODED GlobeImposter версия использует электронные адреса decoder_master@aol.com и decoder_master@india.com для связи с жертвами вымогателя.

Файл-расширение .astra вирус. Ясно, что в этом вирусе нет исключительных особенностей. Он просто использует разные расширения файлов для маркировки зашифрованных записей, поэтому его иногда называют вирус-вымогателем Astra. Чтобы предоставить жертве рекомендации по восстановлению данных, он создает и сохраняет сообщение в here_your_files!.html файле (известном как записка о выкупе). На момент написания статьи нет инструментов дешифрования. Единственный способ восстановить файлы — это использовать резервные копию.

Добавление .f41o1 расширения после завершения процесса шифрования. Более того, эта версия также представляет графический пользовательский интерфейс — READ_IT.html. Он не указывает конкретный адрес электронной почты, а вместо этого предоставляет специфический .onion адрес для жертв, желающих продолжить восстановление данных. Преступники также предлагают приобрести их дешифровщик. Предполагается, что жертвы получат дополнительные инструкции в течение 48 часов. Напомним еще раз, что даже если программное обеспечение расшифровывает файлы, оно может работать как шпионская программа, которая может облегчить ваш будущий взлом.

Обновление 15 сентября 2017. Как обычно, каждый месяц появляется несколько новых вариантов GlobeImposter. Самые последние: .YAYA .needkeys, .[d7516@ya.ru].foSTE, .490.ILLNEST, .SKUNK, .nWcrypt. Хотя добавляемые расширения отличаются друг от друга, критических модификаций вредоносного ПО нет.

Разработчики продолжают тему президентов США. В одном из последних выпусков зашифрованные файлы помечены .reaGAN расширением и предлагается адрес электронной почты Ronald_Reagan@derpymail.org для контактных целей. Кроме того, другая версия не только добавляет другое расширение — .911 — но также отображает требования на !SOS!.html странице.

К счастью, текущие версии обнаруживаются, как: Win32/Ergop.ATrojan.Purgen.ba Generic.Ransom.GlobeImposter. 56A888, и т.д. Однако исполнители действуют более коварно. Эти версии маскируются под cmd.exe (притворяясь командной строкой), btm1.exe,  encv.exe, и подобные исполняемые файлы, которые используются законными приложениями. После заражения вредоносная программа запускает дополнительные команды: ADVAPI32.dll, KERNEL32.dll,SHLWAPI.dll,USER32.dll и ole32.dll.

Интересно, что разработчики GlobeImposter объединяются, чтобы повысить распространение вредоносного ПО через спам. Один из образцов работает через VBS скрипт и скрывается под INV-000913.vbs или аналогичным именем поддельного файла, счета. Другое издание вируса ловит пользователей на поврежденных хостах, таких как errorkpoalsf.top/(…). Кроме того, разработчики также добавили Nemucod троянца в рекламную кампанию.

Обновление 14 августа 2017. Различные версии GlobeImposter вымогателя появляются и быстро исчезают. Менее чем через неделю (начиная с 8 августа) разработчики вредоносных программ представили новые версии вымогателя, которые добавляли к зашифрованным файлам .txt, .BONUM, .trump, .rumblegoodboy, .0402, .JEEP, .GRAFF, .MIXI или .ACTUM расширение. Как всегда, никакие выдающиеся улучшения или обновления эти версии не приносят.

Некоторые версии по-разному называют примечание о выкупе — например, вирус 0402 использует !SOS!.html, а расширение-файла .txt вирус использует для заметки Read_ME.html имя. До сих пор не было обнаружено инструментов дешифрования для этих версий.

Самые новые варианты вредоносной программы

.GRANNY файл-расширение вирус является одним из вариантов GlobeImposter, который был обнаружен в августе. Как обычно, он распространяется в виде трояна, который, скорее всего, будет находиться на поврежденных игровых сайтах или торрентах.

В отличие от некоторых из последних версий GlobeImposter, паразит представляет свой независимый интерфейс. Жертвам говорят связаться с преступниками через crazyfoot_granny@aol.com или crazyfoot_granny@india.com. Киберпреступники предлагают дешифрование одного файла, чтобы заработать доверие пользователей.

.Trump расширение вредоносной угрозы — еще один заслуживающий упоминания недавно появившийся образец. Вредоносная программа запускает довольно простой интерфейс с необычно длинным идентификационным адресом жертвы. Кроме того, мошенники предлагают пользователям связаться с ними через Donald_Trump@derpymail.org и happydaayz@aol.com. Как и в предыдущих случаях, преступники не указали конкретную сумму денег, но вместо этого побуждали пользователей напрямую связываться с ними.

Вредоносное расширение {saruman7@india.com}.BRT92 снова поражает небольшими изменениями в своих доменах электронной почты. Теперь исполнители поставляют  требования в #DECRYPT_FILES#.html файле. Как и в других вариантах, рэкетиры призывают приобрести их декодер и предлагают бесплатную услугу дешифрования одного файла.

Хотя само расширение эксплуатировалось прежде, теперь мошенники перешли на адрес saruman@india.com. Тенденция к вдохновению из художественной литературы, поп-культуры или просто случайной повседневной жизни подразумевает, что мошенники не могут быть организованной бандой кибер-злодеев. Тем не менее, скорость новых вариантов вредоносных программ, безусловно, указывает на их настойчивость.

Другое August GlobeImposter издание включает варианты, которые добавляют .D2550A49BF52DFC23F2C013C5, .zuzya, .LEGO, .UNLIS. Никаких существенных изменений в функциях работы и методах распространения не обнаружено.

С началом учебного года разработчики вредоносных программ GlobeImposter снова бомбардируют пользователей серией новых образцов. Кибер-преступники, похоже, не теряют чувство юмора. Один из вариантов добавляет .clinTON расширение и указывает для связи Bill_Clinton@derpymail.org адрес.

18 октября 2017 года комплект Rig эксплойт (RIGEK) был замечен в распространении версии Globe Imposter которая добавляет .4035 расширение через взломанные веб-сайты.. После шифрования данных он отправляет заметку о выкупе в READ_IT.html файле, там жертв просят заплатить выкуп, чтобы получить обратный доступ к своим файлам.

Позже исследователи обнаружили еще одну вымогателя, добавляющую .doc расширение к целевым файлам. Вредоносная программа блокирует данные с помощью сильного шифра и предоставляет примечание о выкупе в Read___ME.html файле.

В конце октября была замечена новая версия GlobeImposter, добавляющая расширения .apk расширение. Исполняемый код программы распространяется как apkcrypt.exe файл. Как только этот файл запускается в системе, вирус начнет процедуру шифрования данных. После успешного шифрования он поставляет примечание о выкупе в Note Filename: support.html, где жертвам предлагается передать биткоины взамен на восстановления данных.

Напомним, что бесплатный GlobeImposter дешифровщик может помочь вам декодировать файлы, если эта кибер-угроза взяла контроль над вашими файлами.

Разработчики также обновляют методы распространения вымогателя

GlobeImposter вымогатель использует традиционную технологию распространения вредоносных программ и распространяется с помощью вредоносного спама. Другие известные векторы атаки являются загрузка вредоносных объявлений и комплектные файлы.

Как и большинство вымогателей, этот вариант маскирует свою разрушительную нагрузку в законную программу или файлWindows, чтобы потенциальные жертвы не подозревали, что они загружают на свои компьютеры вредоносные угрозы.

Для защиты системы от атак вредоносных программ требуется достойное и актуальное антивирусное программное обеспечение, кроме того, мы рекомендуем найти некоторое внешнее хранилище для хранения копий ваших файлов. Вы можете использовать флэш-накопители, внешние жесткие диски или любые другие устройство, которое вы предпочитаете. Просто не забудьте оставить его отключенным от вашего компьютера!

Обновление 23 мая 2017 года. Вымогатель продолжает изменять свои методы атаки и, согласно последним сообщениям, этот вредоносный вирус распространяется Blank Slate спамом, который нес и несет ответственность за распространение Cerber.

Оказывается, вредоносные файлы приходят упакованными в ZIP-архивах, названными случайным набором символов, например, 8064355.zip. При распаковке и запуске .js или .jse файл внутри подключается к определенному домену и загружает из него вымогателя.

Преступники обычно регулярно переключают домены, на которых размещается вымогатель, но в настоящее время известными доменами являются newfornz[.]top, pichdollard[.]top и 37kddsserrt[.]pw.

Обновление 1 августа 2017 года: спам кампания New Globe Imposter (скорее всего, основанная на ботнете Necurs) с новыми предметными именами была замеченной. Ниже вы найдете список адресов электронной почты с тематическими заголовками и вложенные файлы, связанные с распространением Fake Globe:

  • donotreply@jennieturnerconsulting.co.uk   —   Payment Receipt_72537   —   P72537.zip
  • donotreply@ritson.globalnet.co.uk   —   Payment 0451   —   P0451.zip
  • donotreply@vintageplanters.co.uk   —   Payment Receipt#039   —   P039.zip
  • donotreply@bowker61.fastmail.co.uk   —   Receipt 78522   —   P78522.zip
  • donotreply@satorieurope.co.uk   —   Receipt#6011   —   P6011.zip
  • donotreply@npphotography.co.uk   —   Payment-59559   —   P59559.zip
  • donotreply@anytackle.co.uk   —   Receipt-70724   —   P70724.zip
  • donotreply@gecko-accountancy.co.uk   —   Receipt#374   —   P374.zip
  • donotreply@corbypress.co.uk   —   Payment Receipt#03836   —   P03836.zip
  • donotreply@everythingcctv.co.uk   —   Payment_1479   —   P1479.zip

Согласно malware-traffic-analysis.net, который створил этот список, zip-файлы содержат vbs файлы, которые несут вредоносную нагрузку.

Кроме того, в кампанию спама были добавлены новые темы, распространяющие FakeGlobe как .js-файл. Будьте осторожны с сообщениями электронной почты, которые называются  “Прикрепленное голосовое сообщение” или “Отсканированное изображение”.

Обновление 20 сентября 2017 года. В начале осени 2017 года GlobeImposter был замечен в распространении через массовую кампанию вымогателя, которая в основном была связана с печально известным Locky вымогателем. Эксперты TrendMicro указали, что вредоносные домены, используемые для загрузки вымогателя на компьютер жертвы, поставляют FakeGlobe и Locky вымогателя по очереди. Следовательно, это означает, что скомпрометированный домен может несколько часов поставлять Globe Imposter, а затем переключиться на продвижение Locky и наоборот.

Спам-кампании, распространяющие вредоносное ПО для жертв, предоставляют в теле сообщения вредоносные ссылки, предлагающие просмотреть счет в интернете. Нажав на ссылку, загрузится .7z файл, который также прикрепляется к письму. Файл в архиве настроен для подключения к удаленным доменам и загрузки Locky или GlobeImposter вируса.

Согласно NoVirus.uk экспертам, это не единственный тип вредоносных писем, который используется мошенниками для проталкивания вымогателя. Они также отправляют тысячи писем без сообщения и прикрепляют .doc файл вместо архива. Файл doc содержит набор макросов, предназначенных для загрузки вымогателя с удаленного сервера. Как только жертва закрывает файл, скрипт активируется автоматически через Auto Close VBA макрос.

Обновление 18 октября 2017. Исследователи обнаружили, что набор Rig эксплойтов распространяет одну из версий Globe Imposter, которая добавляет файл- расширение .4035. Вредоносная программа распространяется через взломанные веб-сайты. Таким образом, пользователям рекомендуется избегать подозрительных и опасных веб-сайтов, чтобы избежать атаки.

Обновление 17 ноября 2017 года. Прошел месяц – ожили новые версии GlobeImposter вируса. Наконец, разработчики решили внести больше изменений, чем просто изменить имя добавленных расширений и адресов электронной почты.

Теперь они немного изменили способ шифрования конфигурации. Теперь ключ шифрования более сложный. Это было сделано, предположительно, для того, чтобы утруднить процесс создания инструмента дешифрования. Авторы также изменили примечание о выкупе — теперь требования предъявляются в #HOW_DECRYPT_ALL#.html.

За исключением этих незначительных изменений, никаких других значительных изменений не видно. Угроза Globe Imposter продолжает развлекать себя и ИТ-специалистов случайными расширениями файлов. Хотя используются некоторые из старых расширений файлов, появились и новые.

Одно из них, .kimchenyn, насмешливо относится к лидеру Северной Кореи Ким Чен-уну. Другое расширение, .panda, возможно, относится к последней версии банковского трояна Zeus Panda. Другая версия Globe Imposter относится к популярному голливудскому актеру — Колину Фаррелу, поскольку оно добавляет .colin_farrel@aol.com расширение. Похоже, что это вредоносное ПО может обеспечить полное понимание интересов и личности исполнителя (ов) до тех пор, пока не будет полностью уничтожено.<

Продукты, которые мы вам рекомендуем на нашем сайте, могут быть связаны с нами. Подробнее в лицензионном соглашении. Загружая любое Антишпионское ПО для удаления Вирус-вымогатель Globe Imposter, вы соглашаетесь с политика конфиденциальности и ползьовательское соглашение.
Сделать!
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Совместимость с OS X
Что делать, если не удалось?
Если вы провалили удаление инфекции Reimage, задайте вопрос нашей команде поддержки и предоставьте столько деталей, сколько возможно.
Reimage рекомендуется для деинсталляции Вирус-вымогатель Globe Imposter. Бесплатное сканирование позволит Вам проверить заражен Ваш ПК или нет. Если хотите удалить вредоносные программы, то Вам нужно купить средство для удаления вредоносного ПО - лицензионную копию Reimage.

Более подробную информацию об этой программе можно получить из обзора Reimage.

Более подробную информацию об этой программе можно получить из обзора Reimage.
Reimage в средствах массовой информации
Reimage в средствах массовой информации

Руководство по ручному удалению вируса Globe Imposter:

Удалите Globe Imposter, используя Safe Mode with Networking

Reimage - это средство для обнаружения вредоносных программ.
Вам нужно приобрести полную версию для удаления киберинфекций.
Более подробная информация о Reimage.

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Safe Mode with Networking Выберите 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking. Выберите 'Enable Safe Mode with Networking'
  • Шаг 2: Удалить Globe Imposter

    Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Globe Imposter.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите Globe Imposter, используя System Restore

Reimage - это средство для обнаружения вредоносных программ.
Вам нужно приобрести полную версию для удаления киберинфекций.
Более подробная информация о Reimage.

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Command Prompt Выберите 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt. Выберите 'Enable Safe Mode with Command Prompt'
  • Шаг 2: Восстановите Ваши системные файлы и настройки
    1. После появления окна Command Prompt, введите cd restore и щелкните Enter Введите 'cd restore' без кавычек и нажмите 'Enter'
    2. Теперь введите rstrui.exe и снова нажмите Enter.. Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
    3. После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Globe Imposter. После этого нажмите Next. В появившемся окне 'System Restore' выберите 'Next' Выберите Вашу точку восстановления и щелкните 'Next'
    4. Теперь щелкните Yes для начала восстановления системы. Щелкните 'Yes' и начните восстановление системы
    После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с убедитесь, что удаление рошло успешно.

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Globe Imposter и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware

О авторе

Linas Kiguolis
Linas Kiguolis

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Источник: https://www.2-spyware.com/remove-globe-imposter-ransomware-virus.html

Руководство по удалению на другом языке