什么是GlobeImposter?
GlobeImposter是一种仿冒Purge(Globe)勒索软件的勒索软件类型的病毒 。渗透后,GlobeImposter加密各种文件并追加:“ 。[[email protected]] .bkc ”,“ .IGAMI ”,“。tabufa ”,“ .FIT ”,“ .ANAMI ”,“ .crypted_bizarrio @ pay4me_in ”, “ .FORESTGUST ”,“ 。[[email protected]] ”,“ .BOOTY ”,“ .ONYX ”,“ .MARK ”,“ .emilysupp ”,“ .ALCO2 + ”,“ .ALCO4 + ”,“ .BUNNY + ”,“ .CRAZY + ”,“ .LIN +“,” .CHAK2 “,” .SEXY3 “,. suddentax ”,“ 。$ MENTOS $ ”,“ .DREAM ”,“ .crypted! ”,“ .FREEMAN ”,“ .waiting4keys ”,“ 。[Traher @ Dr [ .Com ] “,”。Nutella “,”。encencenc “,”。DIZEL “,”。Codificado “,”。Ipcrestore “,”。PANDA “,”。BIG1 “,”。SEXY “,”。kimchenyn “, “ 。AK47 ”,“。rrr ”,“ ... doc ”,“。restorefile ”,“.CHAK ”,‘ 林 ’,‘ .Chartogy ’, “ .POHU ”, “ .crypt_fereangos @ airmail_cc ”,“{[email protected]} BIT ”, “ .TRUE ”, “ .VYA ”,“ 。pliNGY “ ” .ñ1crypt “, ” .foSTE “,‘ .YAYA ’,‘ .nWcrypt ’, ” .needkeys “, ” 0.490 “, ” 0.4035 “, ” .f41o1 “, ” 0.911 “,” 。clinTON “,” ..txt “,”.BUSH “,” .illNEST “,” .write_on_email,“ .needdecrypt ”,“ .reaGAN ”,“ .zuzya ”,“ .granny ”,“ .zuzya ”,“ .UNLIS ”,“ .LEGO ”,“ .NIGGA ”,“ .0402 ”,“ .trump ” ,“ .BONUM ”,“ .rumblegoodboy ”,“ ..txt ”,“ .ACTUM ”,“ .492 ”,“ .astra ”,“ .coded ”,“ .mtk118 ”,“ .cryptch ”,“ 。PLIN “,” .sea “,” .help “,” ..726 “,”.RECT “,” .ocean “,” .rose “,” .GLAD “,” .725 “,” 。[[email protected]] cryptall “,” .write_me_ [[email protected]] “,” 。 BRT92 “,” p1crypt “,”。MAKB “,”。skunk “,”。au1crypt “,”。GOTHAM “,”。s1crypt “,”。GORO “,”。707 “,”。3ncrypt3d “,。626,.blcrypt,。blscrypt ,.nopasaran,“ .xyrpottim228 @ ya.ru ”,“.VAPE “ ” .crypt “, ” .pscrypt “, ” .oni “, ” .pizdosik “,”[[email protected]] “,” [[email protected]] “” 。 GRAF,.fix,.virginprotection,.WRITE_US,.MIXI,.HAPP,.troy,.write_us_on_email,.PRIAPOS,.515、. nCrypt “,” 。hNcrypt ”,“。medal ”,“。paycyka ”,“。2cXpCihgsVxB3 ”,“.vdul ”,“。keepcalm ”,“。legally ”,“。crypt ”,“。wallet ”或“ .pizdec”扩展名到每个加密文件的名称。例如,“ sample.jpg ”重命名为“ sample” .jpg.crypt “继成功加密,GlobeImposter创建一个HTA文件(” HOW_OPEN_FILES.hta “),将它包含加密文件的每个文件夹中。在这种勒索软件商店的一些较新的变种他们的赎金要求苛刻的消息 how_to_back_files.html,READ_this_FILE。 html,Read_ME.html,!SOS!.html,here_your_files!.html,!back_files!.html,#DECRYPT_FILES#.html,READ_IT.html或!your_files !.html文件。此外,GlobeImposter将打开一个弹出窗口。
HTA文件包含赎金消息。与其他勒索软件类型的病毒相比,该消息简短,仅声明文件已加密,必须支付1比特币的赎金才能恢复它们。其他勒索软件提供详细信息,例如加密算法的类型,付款时限,解密指令等。因此,目前尚不知道GlobeImposter使用哪种类型的密码。无论如何,没有唯一密钥的解密都是不可能的。网络犯罪分子将此密钥存储在远程服务器上,并鼓励受害者为之付费。尽管有这些要求,但您永远不应信任这些人。研究表明,尽管已付款,网络犯罪分子仍常常忽略受害者。付款并不保证您的文件将被解密。强烈建议您忽略所有要求付款或与这些人联系的请求。这样,您将支持他们的恶意业务。幸运的是,Emsisoft开发了一种工具,能够解密GlobeImposter破坏的文件(下面的下载链接),并且无需支付任何赎金。但是,如果您的计算机已感染了不可解密的勒索软件,只能通过从备份还原文件/系统来解决该问题。
鼓励用户支付赎金以解密其泄露数据的消息的屏幕截图:
有数十种类似于GlobeImposter的勒索软件,包括 Satan,Cerber和 HakunaMatata。-这些只是许多例子。所有人都有相同的行为-他们加密文件并提出赎金要求。它们之间只有两个主要区别:1)使用的加密类型,以及 2)赎金的大小。分配方法也相同。犯罪分子使用垃圾邮件(恶意附件),对等(P2P)网络(torrent,eMule等),第三方软件下载源(免费文件托管和免费软件下载网站等)来传播勒索软件类型的恶意软件,假冒的软件更新程序和木马。因此,在打开从可疑/无法识别的电子邮件接收的文件以及从非官方来源下载软件时,请务必谨慎。
| 威胁摘要: |
|
| 名称 |
GlobeImposter病毒 |
| 威胁类型 |
勒索软件,加密病毒,文件柜 |
| 检测名称 |
Avast(FileRepMalware),BitDefender(Generic.Ransom.GlobeImposter.817E85C2),ESET-NOD32(Win32 / Filecoder.FV的变体),卡巴斯基(HEUR:Trojan.Win32.Generic),完整列表(VirusTotal) |
| 病征 |
无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名,例如my.docx.locked。要求赎金的消息显示在您的桌面上。网络罪犯要求支付赎金(通常以比特币支付)以解锁您的文件。 |
| 分配方式 |
受感染的电子邮件附件(宏),洪流网站,恶意广告。 |
| 损伤 |
所有文件均已加密,未经勒索无法打开。可以将其他密码窃取木马和恶意软件感染与勒索软件感染一起安装。 |
使您安装的应用程序保持最新,并使用合法的防病毒/反间谍软件套件也很重要。但是请注意,网络罪犯经常使用第三方更新工具来利用软件错误/缺陷来感染系统。因此,仅使用官方更新程序更新您的应用程序。计算机安全的关键是谨慎。
使用.crypted的Globeimposter勒索软件的变体!加密文件的扩展名:
此勒索软件的一个变体,使用.707扩展名加密文件:
Globeimposter勒索软件Tor网站的外观:
使用.troy扩展名的Globeimposter勒索软件的变体,用于加密文件:
此勒索软件的一种变体,它使用.pscrypt扩展名来加密文件:
Globeimposter勒索软件变种,使用“ [email protected] ”电子邮件地址和“ .crypt ”扩展名来加密文件:
使用.hNcrypt扩展名的这种勒索软件的变体,用于加密文件:
Globeimposter的一种变体([email protected]电子邮件地址):
GlobeImposter的一种变体([email protected]电子邮件地址):
GlobeImposter德语版的屏幕快照(电子邮件地址:[email protected]):
此勒索软件的一种变体,它使用[email protected]电子邮件地址和.PRIAPOS扩展名来加密文件:
通过GlobeImposter加密的文件(扩展名为“ .crypt ”)的屏幕截图:
通过Globeimposter勒索软件(“ .txt ”扩展名)加密的文件的屏幕截图:
删除GlobeImposter勒索软件:
第1步
Windows XP和Windows 7用户:在安全模式下启动计算机。单击开始,单击关闭,单击重新启动,单击确定。在计算机启动过程中,多次按键盘上的F8键,直到看到Windows Advanced Option菜单,然后从列表中选择“带网络连接的安全模式”。
显示如何在“带网络安全模式”下启动Windows 7的视频:
Windows 8用户:启动Windows 8是具有网络连接的安全模式-转到Windows 8的“开始”屏幕,键入Advanced,在搜索结果中选择“设置”。单击高级启动选项,在打开的“常规PC设置”窗口中,选择高级启动。点击“立即重启”按钮。您的计算机现在将重新启动到“高级启动选项菜单”中。单击“疑难解答”按钮,然后单击“高级选项”按钮。在高级选项屏幕中,单击“启动设置”。点击“重启”按钮。您的PC将重新启动进入“启动设置”屏幕。按F5键以网络安全模式启动。
显示如何在“带网络的安全模式”下启动Windows 8的视频:
Windows 10用户:单击Windows徽标,然后选择电源图标。在打开的菜单中,按住键盘上的“ Shift”按钮的同时单击“重新启动”。在“选择选项”窗口中,单击“疑难解答”,然后选择“高级选项”。在高级选项菜单中,选择“启动设置”,然后单击“重新启动”按钮。在以下窗口中,您应该单击键盘上的“ F5”按钮。这将通过网络以安全模式重新启动操作系统。
该视频显示了如何在“带网络的安全模式”下启动Windows 10:
第2步
登录到感染了GlobeImposter病毒的帐户。启动您的Internet浏览器并下载合法的反间谍程序。更新反间谍软件并开始全面的系统扫描。删除所有检测到的条目。
如果无法通过网络以安全模式启动计算机,请尝试执行系统还原。
该视频显示了如何使用“带命令提示符的安全模式”和“系统还原”删除勒索软件病毒:
1.在计算机启动过程中,多次按键盘上的F8键,直到出现Windows“高级选项”菜单,然后从列表中选择“带命令提示符的安全模式”,然后按Enter。
2.加载命令提示符模式后,输入以下行:cd restore并按Enter。
3.接下来,键入以下行:rstrui.exe,然后按Enter。
4.在打开的窗口中,单击“下一步”。
5.选择一个可用的还原点,然后单击“下一步”(这将在GlobeImposter勒索软件病毒渗透到您的PC之前,将您的计算机系统还原到更早的时间和日期)。
6.在打开的窗口中,单击“是”。
7.将计算机还原到以前的日期后,请使用推荐的恶意软件清除软件下载并扫描您的PC,以消除任何剩余的GlobeImposter勒索软件文件。
要还原由该勒索软件加密的单个文件,请尝试使用Windows早期版本功能。仅当在受感染的操作系统上启用了系统还原功能时,此方法才有效。请注意,已知某些GlobeImposter变体会删除文件的卷影副本,因此此方法可能不适用于所有计算机。
要还原文件,请右键单击它,进入“属性”,然后选择“先前版本”选项卡。如果相关文件具有还原点,则选择它并单击“还原”按钮。
如果无法通过网络(或命令提示符)以安全模式启动计算机,请使用应急磁盘启动计算机。勒索软件的某些变体会禁用安全模式,从而使其删除变得复杂。对于此步骤,您需要访问另一台计算机。
要重新获得GlobeImposter加密文件的控制权,您还可以尝试使用名为Shadow Explorer的程序。有关如何使用此程序的更多信息,请参见此处。
以上就是此类勒索病毒的清除方法,但由于此类勒索病毒属于目前暂时不支持解密,所以对于此勒索病毒的中毒文件处理方案如下:
1.如果文件不急需,可以备份等黑客被抓或良心发现,自行发布解密工具
2.如果文件急需,可以自行联系黑客(有可能付款拿不到解密工具)
也可以发文件类型给我看看是否有其它解决方案。
另外,如果开启了远程桌面建议立即修改密码,最好设置长度为18位 大小写加字符加数字 最好每三个月更换一次密码;共享文件夹设置访问需要密码或者设置访问权限、不随意点击不明URl及邮件附件,避免此类问题的再次发生。
磐石安服-安全防护建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括:
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。