Escala de gravidade:  
  (99/100)

Vírus ransomware Globe Imposter. Como remover ? (Guia de desinstalação)

Linas Kiguolis de escrito por... - - | Digite: Ransomware
12

Apresentando a família em crescendo do vírus Globe Imposter

Globe Imposter virus

O vírus Globe Imposter é um vírus cripto-ransomware malicioso que imita o famoso ransomware Globe e codifica ficheiros de computador para que os extorcionistas possam vender a chave de desencriptação aos seus donos e ganhar algum dinheiro. Assim que acaba de encriptar os ficheiros, o vírus marca-os com extensões de ficheiro expecíficas.

Dependendo na versão do vírus, o malware GlobeImposter pode anexar ficheiros com as seguintes extensões:

.goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[byd@india.com]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[btc2017@india.com] and .skunk.

Relatos repetitivos das vítimas atacadas por estes vírus demonstram que os programadores do ransomware alteram continuamente os seus contactos de detalhe e providenciam diferentes endereços de e-mail ou ButMessage nas notas de resgate (este documentos podem estar identificados como HOW_OPEN_FILES.hta, how_to_back_files.html, RECOVER-FILES.html, !back_files!.html, #HOW_DECRYPT_FILES#.html) incluindo:

  • write_me_[btc2017@india.com],
  • 511_made@cyber-wizard.com,
  • btc.me@india.com
  • chines34@protonmail.ch
  • decryptmyfiles@inbox.ru
  • garryweber@protonmail.ch
  • keepcalmpls@india.com
  • happydaayz@aol.com
  • strongman@india.com
  • support24@india.com
  • support24_02@india.com
  • oceannew_vb@protonmail.com
  • asnaeb7@india.com
  • asnaeb7@yahoo.com
  • i-absolutus@bigmir.net
  • laborotoria@protonmail.ch
  • filesopen@yahoo.com
  • openingfill@hotmail.com
  • crypt@troysecure.me
  • troysecure@yandex.by
  • troysecure@yahoo.com

Uma vez que os programadores de malware nem sempre são nomes às suas criações maliciosas, a comunidade tecnológica muitas vezes rotula as mesmas com o nome das extensões ou endereços de e-mail usadas para a comunicação com as vítimas. Não obstante, para tornar as coisas mais simples, estes parasitas são chamados de Globe Impostor ou Fake Globe. Devemos apontar que apesar do facto de estes vírus serem apenas cópias das versões do parasita oficial, não significa que são menos destrutivos.

O vírus Fake Globe consegue encriptar ficheiros tão bem quanto qualquer outro ransomware que tenha sido desenvolvido de raiz. Considerando que existem numerosas variantes deste ransomware, apenas podemos dizer que certos vírus tendem a usar as cifras RSA e AES que a maioria dos ransomware usam nos seus ataques . Embora algumas versões do malware possam ser desencriptadas, as restantes permanecem extremamente perigosas.

Os peritos em segurança da Emsisoft conseguiram criar uma ferramenta de desencriptação para o ransomware: um desencriptador gratuito para o GlobeImposter que ajuda as vítimas do ransomware a recuperar os seus ficheiros e a restaurar a ordem nos seus computadores . No momento em que escrevemos, esta ferramenta de resgate já foi descarregada mais de 11844 vezes o que apenas prova que o parasita está a propagar-se rapidamente e todos devem tomar uma ação para proteger os seus dispositivos conta o mesmo.

Já é muito tarde para tomar quaisquer medidas preventivas. Deve ir para baixo para descarregar o desencriptador e aprender como remover o Globe Imposter do seu computador. Sugerimos que use um software antivírus de boa reputação como o Reimage para consertar o seu dispositivo de forma apropriada.

O GlobeImposter imita todas as principais características do vírus Globe original. Anexa certas extensões de ficheiro aos ficheiros encriptados e deixa ficheiros .html ou .hta com as direções de pagamento do resgate em cada pasta afetada no seu computador. As boas notícias são que o vírus normalmente não distorce os nomes originais dos ficheiros, pelo que podem ser facilmente geridos após a desencriptação do vírus.

Deve sempre ter em mente que os programadores do vírus irão usar táticas de medo para desviar a atenção dos utilizadores de outras alternativas de recuperação de dados. Portanto, deve sempre verificar primeiro se os analistas de vírus não inventaram um desencriptador gratuito. Neste caso específico, tem sorte, porque será capaz de recuperar os seus ficheiros e concluir a remoção do Globe Imposter sem enfrentar consequências graves.

Variantes do Globe Imposter atualmente ativas:

Vírus GlobeImposter 2.0

Outra má, ainda que ligeiramente melhorada cópia do ransomware Globe. Esta versão específica anexa extensões .FIX aos ficheiros das vítimas que encripta primeiro com um poderoso algoritmo de encriptação, tornando-os ilegíveis.

As estratégias de infiltração do vírus variam das campanhas de spam para descargas drive-by ou anúncios enganadores. Virtualmente não existe forma de saber quando o vírus irá atacar. Embora o GlobeImpostor original tenha sido desencriptado com sucesso, os peritos em malware não conseguiram repetir o sucesso com a versão 2.0, e o parasita permanece desencriptável.

É por isso que é sempre uma boa ideia manter cópias de segurança dos seus ficheiros mais importantes algures, onde o guião malicioso de ransomware não consiga alcancá-los e encriptá-los. Desta forma, terá sempre o plano secundário de recuperação no caso dos seus dados ficarem corrompidos.

Versão GlobeImposter German

Para alcançar mais vítimas, os programadores de ransomware adaptam muitas vezes as criações a países alvo específicos e falam com os utilizador na sua língua nativa.

A versão Alemã do ransomware é um exemplo perfeito desta estratégia: a nota de resgate com explicações para recuperar os ficheiros encriptado é apresentada em Alemão. Os criminosos exigem 0.5 Bitcoin pela chave de desencriptação dos dados. Após o dinheiro ser transferido, é pedido Às vítimas que enviem uma captura de ecrã da transação para um endereço de e-mail indicado: decryptmyfiles@inbox.ru.

Mas mesmo o cumprimento de todas as exigências dos criminosos não garante que os ficheiros sejam recuperados. Os extorcionistas são imprevisíveis e podem simplesmente desvanecer com o dinheiro. É por isso que recomendamos que se mantenha seguro e proceda com a eliminação da versão GlobeImposter German.

Vírus KeepCalm

O vírus encripta os ficheiros e anexa aos mesmo as extensões .keepcalm que é onde o vírus obtém o seu nome, O parasita corre um forte guião de encriptação para tornar os ficheiros da vítima ilegíveis e depois oferece-se para desencriptar os ficheiros se a vítima estiver disposta a pagar um considerável quantia de dinheiro.

Os extorcionistas dão uma descrição mais detalhada da recuperação dos dados na nota de resgate chamada HOW_TO_BACK_FILES.html. Essencialmente, as vítimas têm de contactar os criminosos através do endereço de e-mail keepcalmpls@india.com. A imagem de ecrã do pagamento do resgate e o ID pessoal têm de ser enviados para este e-mail para se receber a ferramenta de desencriptação. Infelizmente, não é o que normalmente acontece.

Pelo contrário, os criminosos tendem a desaparecer assim que têm dinheiro nos seus bolsos, deixando as vítimas de mãos atadas com um monte de informação desencriptável. Neste caso, tudo o que pode fazer é remover o KeepCalm do dispositivo infetado e evitar a encriptação de alguma outra forma mais segura.

Vírus Wallet GlobeImposter

No início de Maio de 2017, uma nova versão do falso vírus Globe foi detetada. Desta vez, usa as extensões de ficheiro .wallet de forma a parodiar o ransomware Dharma, conhecido por usar a extensão de ficheiro .wallet para marcar ficheiros encriptados.

O ransomware deixa a nota de resgate how_to_back_files.html no ambiente de trabalho, que contém o ID da vítima e o endereço BitMessage dos criminosos em caso da vítima querer contactá-los: BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U[@]bitmessage.ch.

O vírus elimina as Cópia de Volume Sombra para impedir a vítima de restaurar os ficheiros sem pagar o resgate.

Vírus extensão de ficheiro .s1crypt

Este parasita serve como outra variação do ransomware. Apresenta as exigências na nota de resgate how_to_back_files.html. Informa também os utilizadores que todos os documentos e dados foram encriptados.

De forma a desencriptar os ficheiros, as vítimas devem comprar o descodificador específico que supostamente custa 2 bitcoins. Escusado será dizer que a ferramenta não aumenta as hipóteses de recuperação de dados.

Adicionalmente, os programadores também providenciam três atalhos adicionais para os utilizadores que não estão cientes de como comprar bitcoins. Em caso de dificuldades técnicas, têm de contactar o perpetrador através de laboratoria@protonmail.ch.

O final do e-mail poderá sugerir que o ciber-criminoso possa estar registado num domínio em território Suíço. Ainda assim, pode ser apenas uma distração. Ferramentas antivírus podem identificar o malware como Trojan.Generic.DB75052. 

Vírus extensão de ficheiro .au1crypt

O malware funciona como a contraparte da antiga versão. O seu GUI também difere. O ID parece ser o resultado da criptografia AES e RSA. A nota de resgate, how_to_back_files.html, explica que os ficheiros dos utilizadores foram encriptados devido a “um problema de segurança com o seu PC”.

Ao contrário da versão anterior, que indicava o endereço bitcoin, esta versão instrui os utilizadores a contactarem os ciber-criminosos através do e-mail summerteam@tuta.io e summerteam@india.com. Embora pareça que o malware é um “entretenimento de verão” para os hackers, membros da comunidade virtual devem permanecer vigilantes.

De momento, o seu Trojan é identificável como Variant.Adware.Graftor.lXzx.

Vírus extensão de ficheiro .goro

Este vírus visa especificamente as vítimas através de fracos Protocolos de Ambiente de Trabalho Remotos (RDP). Uma vez que a versão é ainda recente, ainda não existe um desencriptador. Os programadores também usaram uma nota de resgate .html para as instruções.

Pode exterminar a tarefa goro.exe no seu Gestor de Tarefas para interromper o processo malware. Esta versão está também associada à versão de vírus Waller da família ransomware Dharma.

De momento, esta variante é detetável como Trojan[Ransom]/Win32.Purgen, Arcabit Trojan.Ransom.GlobeImposter.1 pela maioria das aplicações de segurança. O endereço de e-mail Mk.goro@aol.com é outro indicador desta versão.

Vírus extensão de ficheiro .{email}.BRT92

Este vírus faz o que o seu nome sugere: adiciona as extensões .{email}.BRT92 aos ficheiros encriptados. Em adição à nova extensão, este seguimento do vírus Globe exibe a sua nota de resgate no ficheiro #HOW_DECRYPT_FILES#.html.

Nesta página html, é providenciado às vítimas o seu número ID pessoal, que é basicamente um código que ajuda os perpetradores a diferenciar as suas vítimas.

Os hackers indicam dois endereços de e-mail: asnaeb7@india.com e asnaeb7@yahoo.com para a comunicação com a vítima.

Vírus extensão de ficheiro .ocean

Esta versão das versões do vírus Globe apareceu em 2017. O vírus adiciona a extensão .ocean e deixa a nota !back_files!.html para exigir pagamento. De forma a recuperar os seus ficheiros, as vítimas devem têm de contactar os criminosos através do endereço de e-mail oceannew_vb@protonmail.com.

Os hackers alegam que o preço da desencriptação dos ficheiros irá depender do quão rápido a vítima conseguir contactá-los. Não obstante, colaborar com os criminosos nunca é uma boa opção pois pode acabar burlado.

Vírus A1Lock

O A1Lock é uma das versões mais bem sucedidas do vírus GlobeImposter. Existem várias versões deste parasita e cada uma anexa ficheiros com diferentes extensões. Atualmente sabemos de variantes que usam as extensões .rose, .troy e .707.

A exigência de resgate está normalmente listada nos documentos How_to_back_files.html e RECOVER-FILES.html. Para a comunicação com as vítimas, os criminosos indicam os seguintes endereços: i-absolutus@bigmir.net, crypt@troysecure.me, troysecure@yandex.by e troysecure@yahoo.com.

Vírus extensão de ficheiro .Write_me_[btc2017@india.com]

Olhando para o seu design, esta versão do Fake Globe difere da maioria das versões do vírus. Não obstante, funciona exatamente da mesma forma: encripta os ficheiros e pede que obtenha um descodificador pago. As vítimas que estão dispostas a pagar pelos seus ficheiros têm de contactar os criminosos através do endereço de e-mail btc2017@india.com.

O risco aqui é enorme porque os criminosos são livres de desaparecer depois das vítimas pagarem o desencriptador. Desta forma, os ficheiros que o parasita marca com as extensões .Write_me_[btc2017@india.com] permanecem para sempre desta forma. 

Vetores da infiltração do GlobeImposter

O ransomware GlobeImposter emprega uma técnica tradicional de distribuição de malware e propaga-se através de spam malicioso. Outros vetores de ataque conhecidos são anúncios carregados de malware e descargas drive-by .

Tal como a maioria do ransomware, esta variante ofusca a sua carga útil destrutiva sob programas aparentemente legítimos ou ficheiros Windows para que a potencial vítima não suspeite que está a descarregar ficheiros maliciosos para o seu computador.

Para proteger o sistema de ataques malware, é necessário um software anti-malware decente e atualizado. Além disso, recomendamos que encontre algum armazenador externo para manter cópias dos seus ficheiros. Pode usar pen-drives, HDD's externos ou qualquer outro dispositivo de prefira. Apenas não se esqueça de mantê-lo desligado do seu computador!

Atualizado a 23 de Maio de 2017. O ransomware continua a mudar as suas técnicas de ataque e de acordo com os últimos relatos, este vírus malicioso está a ser ajudando pelo malspam Blank Slate que foi e é responsável pela distribuição do Cerber.

Acontece que os ficheiros maliciosos vêm compactado em arquivos .zip nomeados com um conjunto aleatório de caracteres como, por exemplo, 8064355.zip. Quando descompactado e executado, o ficheiro .js ou .jse conecta-se a um certo domínio e descarrega ransomware a partir do mesmo.

Os criminosos tendem a alterar regularmente os domínios que tê, ransomware, mas os domínios de momento conhecidos são newfornz[.]top, pichdollard[.]top e 37kddsserrt[.]pw.

Atualizado a 1 de Agosto de 2017: Nova campanha malspam do Globe Imposter (muito provavelmente baseada no botnet Necurs) com novos nomes de assunto foi detetada. Abaixo irá encontrar uma lista de endereços de e-mail, títulos de assunto e ficheiros anexos associados com a distribuição Fake Globe:

  • donotreply@jennieturnerconsulting.co.uk   —   Payment Receipt_72537   —   P72537.zip
  • donotreply@ritson.globalnet.co.uk   —   Payment 0451   —   P0451.zip
  • donotreply@vintageplanters.co.uk   —   Payment Receipt#039   —   P039.zip
  • donotreply@bowker61.fastmail.co.uk   —   Receipt 78522   —   P78522.zip
  • donotreply@satorieurope.co.uk   —   Receipt#6011   —   P6011.zip
  • donotreply@npphotography.co.uk   —   Payment-59559   —   P59559.zip
  • donotreply@anytackle.co.uk   —   Receipt-70724   —   P70724.zip
  • donotreply@gecko-accountancy.co.uk   —   Receipt#374   —   P374.zip
  • donotreply@corbypress.co.uk   —   Payment Receipt#03836   —   P03836.zip
  • donotreply@everythingcctv.co.uk   —   Payment_1479   —   P1479.zip

De acordo com o website malware-traffic-analysis.net que compilou esta lista, os ficheiros zip contêm ficheiros vbs que transportam a carga útil maliciosa.

Além disso, novos títulos de assunto foram adicionadas à campanha spam que distribui o FakeGlobe como ficheiro .js. Tenha cuidado com e-mail que dizem “Voice Message Attached/Mensagem de Voz Anexa” ou “Scanned Image/Imagem Digitalizada”. 

Sugestões para uma remoção completa do vírus GlobeImposter

No caso de ter sido infetado pelo vírus Fake Globe, deve ter muito cuidado em não danificar ainda mais o sistema do seu computador. Não tente efetuar a remoção do vírus se é o seu primeiro encontro com o mesmo.

Os programadores do vírus tentarão tornar a remoção do Globe Imposter tão difícil quanto possível, deixando potencialmente várias armadilhas. Somente software de segurança bem reputado e poderoso pode trabalhar à volta destes obstáculos e remover o vírus Globe Imposter do sistema corrompido arrancando-o diretamente pela raíz.

Nós pode ser ligados com qualquer produto que recomendamos no site. Divulgação em nosso acordo de utilização completa. Ao baixar qualquer software Anti-spyware fornecido para remover Vírus ransomware Globe Imposter concorda com a nossa Política de privacidade e acordo de utilização..
faça agora!
Baixe
Reimage (software de remoção) Felicidade
garantida
Baixe
Reimage (software de remoção) Felicidade
garantida
Compatível com Microsoft Windows Compatível com OS X
O que fazer se falhou?
Se falhou na remoção da infeção utilizando o Reimage, submeta uma questão à nossa equipa de apoio e providencie o maior número de detalhes possível.
Reimage é recomendada para desinstalar o Vírus ransomware Globe Imposter. Scanner gratuito permite que você verifique se o seu PC está infectado ou não. Se você precisar remover malwares, você tem que comprar a versão licenciada do Reimage ferramenta remoção de malware.

Mais informações sobre esse programa podem ser encontradas em Reimage revisão.

Mais informações sobre esse programa podem ser encontradas em Reimage revisão.
Impressões de em Reimage
Impressões de em Reimage

Guia de remoção manual de virus Globe Imposter:

remover Globe Imposter usando Safe Mode with Networking

Reimage é uma ferramenta para detectar o malware.
Você vai precisar para comprar versão completa para remover as infecções.
Mais informações sobre Reimage.

O vírus é um vírus que não deixará o computador infetado sem dar luta. Portanto, poderá bloquear o antivírus ou outros programas de segurança. No caso disso acontecer, por favor siga as instruções abaixo.

  • Passo 1: Reinicie seu computador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Clique em Start Shutdown Restart OK.
    2. Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
    3. Selecionar Safe Mode with Networking da lista Selecionar 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
    2. Agora você pode selecionar Troubleshoot Advanced options Startup Settings e finalmente pressione Restart.
    3. quando o computador se torna ativo, selecione Enable Safe Mode with Networking de Startup Settings janela. Selecionar 'Enable Safe Mode with Networking'
  • Passo 2: Removendo o Globe Imposter

    Efetuar login em sua conta e infectados inicie o navegador. Download Reimage ou outras legítimas programa anti-spyware. Atualize-o antes de uma varredura completa do sistema e remover arquivos mal-intencionados que pertencem ao seu ransomware e completa Globe Imposter extracção.

Se o ransomware é bloquear Safe Mode with Networking, tente outro método.

remover Globe Imposter usando System Restore

Reimage é uma ferramenta para detectar o malware.
Você vai precisar para comprar versão completa para remover as infecções.
Mais informações sobre Reimage.

Os parasitas de ransomware são infeções cibernéticas graves, podendo não só bloquear vários documentos no computador infetado como também aplicações. O software de segurança não é exceção. Se o GlobeImposter estiver a interferir com o scan automático ao sistema, verifique as seguintes instruções.

  • Passo 1: Reinicie seu computador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Clique em Start Shutdown Restart OK.
    2. Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
    3. Selecionar Command Prompt da lista Selecionar 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
    2. Agora você pode selecionar Troubleshoot Advanced options Startup Settings e finalmente pressione Restart.
    3. quando o computador se torna ativo, selecione Enable Safe Mode with Command Prompt de Startup Settings janela. Selecionar 'Enable Safe Mode with Command Prompt'
  • Passo 2: Restaurar os arquivos e configurações de sistema
    1. Uma vez que a Command Prompt janela mostra, digite cd restore e clique em Enter. Digite 'cd restore' sem aspas e pressione 'Enter'
    2. Agora digite rstrui.exe e pressione Enter novamente.. Digite 'rstrui.exe' sem aspas e pressione 'Enter'
    3. Quando uma nova janela aparece, clique em Next e selecione o ponto de restauração que é antes da infiltração de Globe Imposter. Após fazer isso, clique em Next. Quando 'System Restore' janela mostra, selecionar 'Next' Selecione seu ponto de restauração e clique em 'Next'
    4. Agora clique em Yes para iniciar restauração do sistema. Clique em 'Yes' e iniciar restauração do sistema
    Depois de restaurar o seu sistema para uma data anterior, faça o download e analise o seu computador com Reimage e certifique-se de que Globe Imposter a remoção é realizada com sucesso.

Bonus: Recuperar os seus dados

O guia acima tem como objectivo remover Globe Imposter do seu computador. Para recuperar files encriptados, siga este guia preparado por semvirus.pt especialistas de segurança

A ferramenta de desencriptação providenciada pela Emsisoft poderá não funcionar para si porque é capaz de desencriptar apenas ficheiros bloqueados por certas versões deste grupo ransomware. No caso de não ajudar a reverter os seus dados para o estado original, sugerimos que tente uma das opções alternativas providenciadas:

Se os seus ficheiros estão encriptados por Globe Imposter, pode usar diversos metodos para os recuperar

Obtenha ajuda do Data Recovery Pro

Este software de recuperação de dados provou ser eficiente ao lidar com ficheiros corrompidos ou eliminados. Sugerimos que tente esta ferramenta para restaurar os seus ficheiros.

  • Download Data Recovery Pro (https://semvirus.pt/download/data-recovery-pro-setup.exe);
  • Siga os passos do setup de Data Recovery e instale este programa no seu computador
  • Execute e verifique o seu computador para encontrar os ficheiros encriptadas por Globe Imposter ransomware;
  • Repare-os

Truque ShadowExplorer

Deixe o ShadowExplorer fazer o truque e restaurar os seus ficheiros usando as Cópias de Volume Sombra. Infelizmente, os vírus ransomware procuram eliminá-las e no caso de conseguirem, o ShadowExplorer já não poderá ajudar.

  • Download Shadow Explorer (http://shadowexplorer.com/);
  • Siga as intruções de intalação de Shadow Explorer e instale esta aplicação no seu computador
  • Execute o programa e explore o menu no canto superior esquerdo ate encontrar o seu disco com os dados encriptados. Verifique que pastas estão lá.
  • Clique no butão direito do rato nas pastas que quer recuperar e selecione “Export”. Também pode selecionar onde quer guardar.

Desencriptador do Globe Imposter gratuito

Os seus ficheiros podem ser rapidamente recuperados se usar o Free Globe Imposter decryptor da Emsisoft. 

Por último, você deve sempre pensar sobre a protecção de crypto-ransomwares. A fim de proteger o seu computador a partir de Globe Imposter e outros ransomwares, use um anti-spyware respeitável, como Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus ou Malwarebytes Anti Malware

Sobre o autor

Linas Kiguolis
Linas Kiguolis

Se este guia de remoção livre ajudou você e você está satisfeito com o nosso serviço, por favor, considere fazer uma doação para manter este serviço vivo. Mesmo uma quantidade menor será apreciada.

Fonte: https://www.2-spyware.com/remove-globe-imposter-ransomware-virus.html

Guias de remoção em outras línguas