Globe Ransomware - Come rimuovere?

 

Il ransomware chiamato Globe, è un altro ransomware di questo mese, che, come PokemonGo, è stato sviluppato da stramboidi che vivono nella cultura popolare come gli zingari abitano in caverne che chiamano casa. Questo particolare ransomware si basa sulla popolare serie Purges, che racconta un’apocalittica visione de postmodernismo di oggi o, in altre parole la società postmoderna del mondo di oggi. Il virus Globe ransomware è stato scoperto dal ricercatore per la sicurezza informatica di Emsisoft, xXToffeeXx. Ti invitiamo a leggere attentamente quanto sotto per conoscere tutto su questa minaccia informatica.

Su Globe Ransomware

Globe cryptomalware marcia al ritmo di un differente tamburo, e non si associa con il resto dei moderni ransomware che utilizzano il cifratore Blowfish al posto del popolare algoritmo di cifratura AES. Nonostante il fatto che la nota di riscatto dica che danneggerà i dati della vittima con una cifratura asimmetrica standard. Il modo con cui viene visualizzata la nota di riscatto è anch’essa differente dal modo in cui i più recenti crypto-malware mostrano il loro messaggio. Diversamente dai convenzionali virus di questo tipo, che presentano alle vittime un file di testo e uno html, Globe virus visualizzerà la nota HTA o HTML. Dopo che avrà finito lo sfondo del tuo desktop, avrà quest’aspetto:

Il file How_to_decrypt_your_files.jpg verrà sostituito allo sfondo originale del tuo desktop. Una nota interessante è che, se avessi dei software sandbox (programmi che s’isolano dal sistema operativo per prevenire modifiche ai dati indesiderate) in esecuzione sul tuo sistema operativo, il processo iniziato dal payload di Globe ransomware, ovvero l’eseguibile msiscan.exe, verrà terminato al suo stato iniziale. Se invece non avessi alcun sandbox, il ransomware inizierà a cifrare i tuoi dati. Mirerà al profilo dell’utente, ai dischi locali, alle cartelle condivise in rete e infine alle cartelle del desktop che verranno cifrare visualizzando l’immagine presentata sopra. I file, aventi le seguenti estensioni, saranno presi di mira:

aet,afp,agd1,agdl,ai,aif,aiff,aim,aip,ais,ait,ak,al,allet,amf,amr,amu,amx,amxx,ans,aoi,ap,ape,api,apj,apk,apnx,arc,arch00,ari,arj,aro,arr,arw,as,as3,asa,asc,ascx,ase,asf,ashx,asm,asmx,asp,aspx,asr,asset,asx,automaticdestinations-ms,avi,avs,awg,azf,azs,azw,azw1,azw3,azw4,b2a,back,backup,backupdb,bad,bak,bank,bar,bay,bc6,bc7,bck,bcp,bdb,bdp,bdr,bfa,bgt,bi8,bib,bic,big,bik,bin,bkf,bkp,bkup,blend,blob,blp,bmc,bmf,bml,bmp,boc,bp2,bp3,bpk,bpl,bpw,brd,bsa,bsk,bsp,btoa,bvd,c,cag,cam,camproj,cap,car,cas,cat,cbf,cbr,cbz,cc,ccd,ccf,cch,cd,cdf,cdi,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cdx,ce1,ce2,cef,cer,cert,cfg,cfp,cfr,cgf,cgi,cgm,cgp,chk,chml,cib,class,clr,cls,clx,cmf,cms,cmt,cnf,cng,cod,col,con,conf,config,contact,cp,cpi,cpio,cpp,cr2,craw,crd,crt,crw,crwl,crypt,crypted,cryptra,cs,csh,csi,csl,cso,csr,css,csv,ctt,cty,cue,cwf,d3dbsp,dac,dal,dap,das,dash,dat,database,dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbf,dbfv,db-journal,dbx,dc2,dc4,dch,dco,dcp,dcr,dcs,dcu,ddc,ddcx,ddd,ddoc,ddrw,dds,default,dem,der,des,desc,design,desklink,dev,dex,dfm,dgc,dic,dif,dii,dim,dime,dip,dir,directory,disc,disk,dit,divx,diz,djv,djvu,dlc,dmg,dmp,dng,dob,doc,docb,docm,docx,dot,dotm,dotx,dox,dpk,dpl,dpr,drf,drw,dsk,dsp,dtd,dvd,dvi,dvx,dwg,dxb,dxe,dxf,dxg,e4a,edb,efl,efr,efu,efx,eip,elf,emc,emf,eml,enc,enx,epk,eps,epub,eql,erbsql,erf,err,esf,esm,euc,evo,ex,exf,exif,f90,faq,fcd,fdb,fdr,fds,ff,ffd,fff,fh,fhd,fla,flac,flf,flp,flv,flvv,for,forge,fos,fpenc,fpk,fpp,fpx,frm,fsh,fss,fxg,gam,gdb,gfe,gfx,gho,gif,gpg,gray,grey,grf,groups,gry,gthr,gxk,gz,gzig,gzip,h,h3m,h4r,hbk,hbx,hdd,hex,hkdb,hkx,hplg,hpp,hqx,htm,html,htpasswd,hvpl,hwp,ibank,ibd,ibz,ico,icxs,idl,idml,idx,ie5,ie6,ie7,ie8,ie9,iff,iif,iiq,img,incpas,indb,indd,indl,indt,ink,inx,ipa,iso,isu,isz,itdb,itl,itm,iwd,iwi,jac,jar,jav,java,jbc,jc,jfif,jge,jgz,jif,jiff,jnt,jpc,jpe,jpeg,jpf,jpg,jpw,js,json,jsp,just,k25,kc2,kdb,kdbx,kdc,kde,key,kf,klq,kmz,kpdx,kwd,kwm,laccdb,lastlogin,lay,lay6,layout,lbf,lbi,lcd,lcf,lcn,ldb,ldf,lgp,lib,lit,litemod,lngttarch2,localstorage,log,lp2,lpa,lrf,ltm,ltr,ltx,lua,lvivt,lvl,m,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,mag,man,map,mapimail,max,mbox,mbx,mcd,mcgame,mcmeta,mcrp,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdc,mddata,mdf,mdl,mdn,mds,mef,menu,meo,mfw,mic,mid,mim,mime,mip,mjd,mkv,mlb,mlx,mm6,mm7,mm8,mme,mml,mmw,mny,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,mp3,mp4,mp4v,mpa,mpe,mpeg,mpg,mpq,mpqge,mpv2,mrw,mrwref,mse,msg,msi,msp,mts,mui,mxp,myd,myi,nav,ncd,ncf,nd,ndd,ndf,nds,nef,nfo,nk2,nop,now,nrg,nri,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,ntl,number,nvram,nwb,nx1,nx2,nxl,nyf,oab,obj,odb,odc,odf,odg,odi,odm,odp,ods,odt,oft,oga,ogg,oil,opd,opf,orf,ost,otg,oth,otp,ots,ott,owl,oxt,p12,p7b,p7c,pab,pack,pages,pak,paq,pas,pat,pbf,pbk,pbp,pbs,pcd,pct,pcv,pdb,pdc,pdd,pdf,pef,pem,pfx,php,pkb,pkey,pkh,pkpass,pl,plb,plc,pli,plus_muhd,pm,pmd,png,po,pot,potm,potx,ppam,ppd,ppf,ppj,pps,ppsm,ppsx,ppt,pptm,pptx,prc,prel,prf,props,prproj,prt,ps,psa,psafe3,psd,psk,pspimage,pst,psw6,ptx,pub,puz,pwf,pwi,pwm,pxp,py,qba,qbb,qbm,qbr,qbw,qbx,qby,qcow,qcow2,qdf,qed,qel,qic,qif,qpx,qt,qtq,qtr,r00,r01,r02,r03,r3d,ra,ra2,raf,ram,rar,rat,raw,rb,rdb,rdi,re4,res,result,rev,rgn,rgss3a,rim,rll,rm,rng,rofl,rpf,rrt,rsdf,rsrc,rsw,rte,rtf,rts,rtx,rum,run,rv,rvt,rw2,rwl,rwz,rzk,rzx,s3db,sad,saf,safe,sas7bdat,sav,save,say,sb,sc2save,sch,scm,scn,scx,sd0,sd1,sda,sdb,sdc,sdf,sdn,sdo,sds,sdt,search-ms,sef,sen,ses,sfs,sfx,sgz,sh,shar,shr,shw,shy,sid,sidd,sidn,sie,sis,sldm,sldx,slk,slm,slt,sme,snk,snp,snx,so,spd,spr,sql,sqlite,sqlite3,sqlitedb,sqllite,sqx,sr2,srf,srt,srw,ssa,st4,st5,st6,st7,st8,stc,std,sti,stm,stt,stw,stx,sud,suf,sum,svg,svi,svr,swd,swf,switch,sxc,sxd,sxg,sxi,sxm,sxw,syncdb,t01,t03,t05,t12,t13,tar,tax,tax2013,tax2014,tbk,tbz2,tch,tcx,tex,text,tg,tga,tgz,thm,thmx,tif,tiff,tlg,tlz,toast,tor,torrent,tpu,tpx,trp,ts,tu,tur,txd,txf,txt,uax,udf,uea,umx,unity3d,unr,unx,uop,uot,upk,upoi,url,usa,usx,ut2,ut3,utc,utx,uu,uud,uue,uvx,uxx,val,vault,vbox,vbs,vc,vcd,vcf,vdf,vdi,vdo,ver,vfs0,vhd,vhdx,vlc,vlt,vmdk,vmf,vmsd,vmt,vmx,vmxf,vob,vp,vpk,vpp_pc,vsi,vtf,w3g,w3x,wab,wad,wallet,war,wav,wave,waw,wb2,wbk,wdgt,wks,wm,wma,wmd,wmdb,wmmp,wmo,wmv,wmx,wotreplay,wow,wpd,wpe,wpk,wpl,wps,wsh,wtd,wtf,wvx,x11,x3f,xf,xis,xl,xla,xlam,xlc,xlk,xll,xlm,xlr,xls,xlsb,xlsm,xlsx,xlt,xltm,xltx,xlv,xlw,xlwx,xml,xpi,xps,xpt,xqx,xsl,xtbl,xvid,xwd,xxe,xxx,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp,cry,a

In totale sono 995 i tipi di file a cui mira. Verrà allegata l’estensione “purge” al nome del file criptato. Quindi, se avessi un file nominato ‘‘Book.pdf’’, dopo che Globe encoder avrà fatto il suo sporco lavoro, diventerà ‘‘Book.pdf.purge’’, rendendolo impossibile da leggere. Quando i dati saranno cifrati, verrà inserito nelle cartelle colpite il file How_to_restore_files.hta. E’ un file contenente una nota di riscatto che recita la seguente:

Il file How_to_restore_files autorun verrà creato in modo tale che questo messaggio verrà visualizzato automaticamente ogni volta che l’utente di logga su Windows. L’indirizzo email di contatto contenuto nella nota sarà powerbase@tutanota.com mentre l’indirizzo bitmessage per il pagamento sarà BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5. L’importo del riscatto rimane al momento sconosciuta. Gli hacker dietro Globe encrypter la descrivono come una “piccola fee”, se volessi credere loro. Ti sarà data una settimana per trasferire il pagamento, e successivamente dovresti teoricamente ricevere la chiave univoca di cifratura. Se non avessi pagato dopo una settimana, verrai minacciato di perdere i tuoi file per sempre. Ti sarà anche detto che più tempo aspetti più alto sarà l’importo da pagare.

Un altro interessante punto è che Globe ransomware possiede una modalità di debug, che permette all’utente di controllare il programma. Si può avere accesso a questa modalità aggiungendo la seguente chiave di registro – HKCUSoftwareGlobe “debug” = “YES”. In questo modo, gli utenti colpiti non potranno utilizzare questa caratteristica di Globe. Potrà essere sfruttata solo dai ricercatori per la sicurezza per analizzare i modi in cui opera questo ransomware.

Come si diffonde Globe Ransomware?

I modi con cui Globe file-encrypting virus viene distribuito sono ancora oscuri. Possiamo immaginare che venga diffuso tramite email di spam infette e i loro allegati, oppure che i payload di questo cryptomalware venga scaricato da alcuni exploit kit, dopo aver rilevato le vulnerabilità del tuo sistema, oppure dopo la visita di domini discutibili o di un sito legittimo hackerato. Ma si tratta solo di ipotesi che mancano di prove. Inoltre, come sappiamo, Globe encoder vuole emergere dalla massa dei ransomware.

Come decifrare i file criptati da Globe Ransomware?

Sfortunatamente i dati criptati da Globe crypto malware non sono decifrabili al momento. Questo malware cancella le copie di volume Shadow e disabilita Windows Startup Repair con i seguenti comandi:

vssadmin.exe Delete Shadows /All /Quiet

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Nonostante ciò, i ricercatori per la sicurezza informatica non intendono deporre le loro armi e arrendersi a questa orribile creatura. L’eseguibile di Globe virus è stato estratto con successo e sottoposto ad analisi. Speriamo di avere aa breve dei risultati da presentarti. Nel frattempo utilizza il tuo backup, se ne avessi uno. Utilizza software di recupero dati come Recuva, R-Studio, PhotoRec, Kaspersky, etc., nel caso in cui non avessi alcun backup e non riuscissi ad aspettare il rilascio del decifratore. Quest’ultimo dovrà essere eseguito soltanto dopo che avrai creato una copia del tuo disco infettato e rimosso il malware con uno strumento di rimozione professionale, come Reimage, Spyhunter o Malwarebytes. Rimuovendo il virus con questi tool ti permetteranno di ispezionare al meglio il tuo sistema e di ripulirlo. Potrai anche seguire la guida per la rimozione manuale di Globe ransomware, te la offriamo gratuitamente. Dalle un’occhiata qui in basso.

Come rimuovere Globe Ransomware utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi

Per Windows 7 / Vista/ XP

● Start → Spegni → Riavvia → OK.

● Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.

● Scegli la Modalità Provvisoria con Prompt di Comandi.

Per Windows 8 / 10

● Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia.

● Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.

● Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.

2. Ripristinare i file di sistema e le impostazioni

● Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.

● Successivamente digita rstrui.exe e premi nuovamente invio.

● Clicca “Avanti” nelle finestre che appariranno.

● Seleziona uno dei punti di ripristino disponibili prima che Globe Ransomware si sia infiltrato nel tuo sistema e clicca su “Avanti”.

● Per avviare il ripristino di sistema clicca su "Si"

3. Rimozione complete di Globe Ransomware

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a Globe Ransomware.

4. Ripristino dei file corrotti da Globe Ransomware utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente Globe Ransomware cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

 

Strumenti di Globe Ransomware rimozione automatica

 

Altri strumenti

 
  0   0
    Malwarebytes Anti-Malware
 
  Scarica Reimage per Globe Ransomware rivelazioneNota: processo Reimage fornisce la rilevazione del parassita come Globe Ransomware e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

Globe Ransomware screenshots

 
Custom image 7734b09b for 3282
           
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *