Globe Ransomware - Hoe te verwijderen?

 

De ransomware, die zichzelf Globe noemt, is gewoon een andere ransomware van de maand, welke, net zoals PokemonGo, ontworpen werd door de één of andere weirdo die ergens rondhangt in een zweem van populaire cultuur. Dit specifieke ransomware virus is gebaseerd op de populaire Purge serie, die een apocalyptische visie van het hedendaags postmodernisme verteld of, met andere woorden, – de postmoderne samenleving van de hedendaagse wereld. Het Globe ransomware virus werd ontdekt door Emsisoft cyber beveiligingsonderzoeker xXToffeeXx. We nodigen je uit om het volgende te lezen om meer te weten te komen deze smerige cyber dreiging.

Over de Globe Ransomware

De Globe cryptomalware marcheert op de tonen van een andere drummer, en relateert niet aan de rest van de hedendaagse ransomware virussen, omdat het een Blowfish code gebruikt i.p.v. het populaire AES codering algoritme. Ondanks het feit dat in de losgeldbrief staat dat het je data beschadigt met een standaard asymmetrische codering. De manier waarop het zijn losgeldbrief toont verschilt ook van deze van andere recente crypto-malwares. In tegenstelling tot de conventionele virussen van dit type, die je een tekst en html bestand tonen met de losgeldbrief, toont het Globe virus de losgeldbrief in HTA of HTML. Nadat het klaar is, zal je bureaubladachtergrond er als volgt uitzien:

Het is een How_to_decrypt_your_files.jpg bestand dat je oorspronkelijke bureaubladachtergrond vervangt. Wat interessant is, is dat als je sandbox software (het isoleren van programma’s van het besturingssysteem om te vermijden dat er ongewenste data wijzigingen plaatsvinden) op je systeem hebt draaien, het proces dat opgestart wordt door de Globe ransomware, het msiscan.exe uitvoeringsbestand, gestopt wordt tijdens de initiële stage. Als je echter geen sandbox hebt, zal de ransomware beginnen met het versleutelen van je data. Het richt zich op je gebruikersprofiel, lokale schijven, gedeelde netwerkmappen en, tenslotte, zal ook de bureaublad map versleuteld worden en wordt bovenstaande afbeelding getoond. De bestanden met de volgende extensie vormen het doelwit:

aet,afp,agd1,agdl,ai,aif,aiff,aim,aip,ais,ait,ak,al,allet,amf,amr,amu,amx,amxx,ans,aoi,ap,ape,api,apj,apk,apnx,arc,arch00,ari,arj,aro,arr,arw,as,as3,asa,asc,ascx,ase,asf,ashx,asm,asmx,asp,aspx,asr,asset,asx,automaticdestinations-ms,avi,avs,awg,azf,azs,azw,azw1,azw3,azw4,b2a,back,backup,backupdb,bad,bak,bank,bar,bay,bc6,bc7,bck,bcp,bdb,bdp,bdr,bfa,bgt,bi8,bib,bic,big,bik,bin,bkf,bkp,bkup,blend,blob,blp,bmc,bmf,bml,bmp,boc,bp2,bp3,bpk,bpl,bpw,brd,bsa,bsk,bsp,btoa,bvd,c,cag,cam,camproj,cap,car,cas,cat,cbf,cbr,cbz,cc,ccd,ccf,cch,cd,cdf,cdi,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cdx,ce1,ce2,cef,cer,cert,cfg,cfp,cfr,cgf,cgi,cgm,cgp,chk,chml,cib,class,clr,cls,clx,cmf,cms,cmt,cnf,cng,cod,col,con,conf,config,contact,cp,cpi,cpio,cpp,cr2,craw,crd,crt,crw,crwl,crypt,crypted,cryptra,cs,csh,csi,csl,cso,csr,css,csv,ctt,cty,cue,cwf,d3dbsp,dac,dal,dap,das,dash,dat,database,dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbf,dbfv,db-journal,dbx,dc2,dc4,dch,dco,dcp,dcr,dcs,dcu,ddc,ddcx,ddd,ddoc,ddrw,dds,default,dem,der,des,desc,design,desklink,dev,dex,dfm,dgc,dic,dif,dii,dim,dime,dip,dir,directory,disc,disk,dit,divx,diz,djv,djvu,dlc,dmg,dmp,dng,dob,doc,docb,docm,docx,dot,dotm,dotx,dox,dpk,dpl,dpr,drf,drw,dsk,dsp,dtd,dvd,dvi,dvx,dwg,dxb,dxe,dxf,dxg,e4a,edb,efl,efr,efu,efx,eip,elf,emc,emf,eml,enc,enx,epk,eps,epub,eql,erbsql,erf,err,esf,esm,euc,evo,ex,exf,exif,f90,faq,fcd,fdb,fdr,fds,ff,ffd,fff,fh,fhd,fla,flac,flf,flp,flv,flvv,for,forge,fos,fpenc,fpk,fpp,fpx,frm,fsh,fss,fxg,gam,gdb,gfe,gfx,gho,gif,gpg,gray,grey,grf,groups,gry,gthr,gxk,gz,gzig,gzip,h,h3m,h4r,hbk,hbx,hdd,hex,hkdb,hkx,hplg,hpp,hqx,htm,html,htpasswd,hvpl,hwp,ibank,ibd,ibz,ico,icxs,idl,idml,idx,ie5,ie6,ie7,ie8,ie9,iff,iif,iiq,img,incpas,indb,indd,indl,indt,ink,inx,ipa,iso,isu,isz,itdb,itl,itm,iwd,iwi,jac,jar,jav,java,jbc,jc,jfif,jge,jgz,jif,jiff,jnt,jpc,jpe,jpeg,jpf,jpg,jpw,js,json,jsp,just,k25,kc2,kdb,kdbx,kdc,kde,key,kf,klq,kmz,kpdx,kwd,kwm,laccdb,lastlogin,lay,lay6,layout,lbf,lbi,lcd,lcf,lcn,ldb,ldf,lgp,lib,lit,litemod,lngttarch2,localstorage,log,lp2,lpa,lrf,ltm,ltr,ltx,lua,lvivt,lvl,m,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,mag,man,map,mapimail,max,mbox,mbx,mcd,mcgame,mcmeta,mcrp,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdc,mddata,mdf,mdl,mdn,mds,mef,menu,meo,mfw,mic,mid,mim,mime,mip,mjd,mkv,mlb,mlx,mm6,mm7,mm8,mme,mml,mmw,mny,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,mp3,mp4,mp4v,mpa,mpe,mpeg,mpg,mpq,mpqge,mpv2,mrw,mrwref,mse,msg,msi,msp,mts,mui,mxp,myd,myi,nav,ncd,ncf,nd,ndd,ndf,nds,nef,nfo,nk2,nop,now,nrg,nri,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,ntl,number,nvram,nwb,nx1,nx2,nxl,nyf,oab,obj,odb,odc,odf,odg,odi,odm,odp,ods,odt,oft,oga,ogg,oil,opd,opf,orf,ost,otg,oth,otp,ots,ott,owl,oxt,p12,p7b,p7c,pab,pack,pages,pak,paq,pas,pat,pbf,pbk,pbp,pbs,pcd,pct,pcv,pdb,pdc,pdd,pdf,pef,pem,pfx,php,pkb,pkey,pkh,pkpass,pl,plb,plc,pli,plus_muhd,pm,pmd,png,po,pot,potm,potx,ppam,ppd,ppf,ppj,pps,ppsm,ppsx,ppt,pptm,pptx,prc,prel,prf,props,prproj,prt,ps,psa,psafe3,psd,psk,pspimage,pst,psw6,ptx,pub,puz,pwf,pwi,pwm,pxp,py,qba,qbb,qbm,qbr,qbw,qbx,qby,qcow,qcow2,qdf,qed,qel,qic,qif,qpx,qt,qtq,qtr,r00,r01,r02,r03,r3d,ra,ra2,raf,ram,rar,rat,raw,rb,rdb,rdi,re4,res,result,rev,rgn,rgss3a,rim,rll,rm,rng,rofl,rpf,rrt,rsdf,rsrc,rsw,rte,rtf,rts,rtx,rum,run,rv,rvt,rw2,rwl,rwz,rzk,rzx,s3db,sad,saf,safe,sas7bdat,sav,save,say,sb,sc2save,sch,scm,scn,scx,sd0,sd1,sda,sdb,sdc,sdf,sdn,sdo,sds,sdt,search-ms,sef,sen,ses,sfs,sfx,sgz,sh,shar,shr,shw,shy,sid,sidd,sidn,sie,sis,sldm,sldx,slk,slm,slt,sme,snk,snp,snx,so,spd,spr,sql,sqlite,sqlite3,sqlitedb,sqllite,sqx,sr2,srf,srt,srw,ssa,st4,st5,st6,st7,st8,stc,std,sti,stm,stt,stw,stx,sud,suf,sum,svg,svi,svr,swd,swf,switch,sxc,sxd,sxg,sxi,sxm,sxw,syncdb,t01,t03,t05,t12,t13,tar,tax,tax2013,tax2014,tbk,tbz2,tch,tcx,tex,text,tg,tga,tgz,thm,thmx,tif,tiff,tlg,tlz,toast,tor,torrent,tpu,tpx,trp,ts,tu,tur,txd,txf,txt,uax,udf,uea,umx,unity3d,unr,unx,uop,uot,upk,upoi,url,usa,usx,ut2,ut3,utc,utx,uu,uud,uue,uvx,uxx,val,vault,vbox,vbs,vc,vcd,vcf,vdf,vdi,vdo,ver,vfs0,vhd,vhdx,vlc,vlt,vmdk,vmf,vmsd,vmt,vmx,vmxf,vob,vp,vpk,vpp_pc,vsi,vtf,w3g,w3x,wab,wad,wallet,war,wav,wave,waw,wb2,wbk,wdgt,wks,wm,wma,wmd,wmdb,wmmp,wmo,wmv,wmx,wotreplay,wow,wpd,wpe,wpk,wpl,wps,wsh,wtd,wtf,wvx,x11,x3f,xf,xis,xl,xla,xlam,xlc,xlk,xll,xlm,xlr,xls,xlsb,xlsm,xlsx,xlt,xltm,xltx,xlv,xlw,xlwx,xml,xpi,xps,xpt,xqx,xsl,xtbl,xvid,xwd,xxe,xxx,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp,cry,a

Er worden in totaal 995 bestandstypes geviseerd. Hier wordt de ‘‘.purge’’ extensie aan hun bestandsnaam extensie toegevoegd. Als je dus bijvoorbeeld een bestand hebt genaamd ‘‘Book.pdf’’, zal dit nadat de Globe encoder zijn vuil werkje uitvoerde, ‘‘Book.pdf.purge’’ zijn, wat je onmogelijk kan lezen. Als de data versleuteld werd, wordt het How_to_restore_files.hta bestand in die aangetaste map geplaatst. Dit bestand beevat de losgeldbrief, die het volgende zegt:

Een How_to_restore_files autorun bestand zal ook worden aangemaakt, zodat het bericht automatisch getoond wordt als je Windows opent. Het contact mailadres in het bericht is powerbase@tutanota.com en het bit bericht adres voor het betalen van het losgeld is BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5. De grootte van het losgeld blijft onbekend. De hackers achter de Globe encrypter stellen dat het “een kleine vergoeding” is, als je hen mag geloven. Je krijgt één week om de betaling uit te voeren en dan, zogenaamd, de unieke decoderingssleutel ontvangen. Als er een week voorbij ging, wordt je bedreigd met het voor goed verliezen van je bestanden. Men vermeldt ook dat hoe langer je wacht, hoe meer je moet betalen.

Een ander interessant punt is dat de Globe ransomware een debug modus heeft, die je toelaat het programma te beheren. De modus moet echter geopend worden door het toevoegen van de volgende registerwaarde – HKCUSoftwareGlobe “debug” = “YES”. Dus, de aangetaste gebruikers kunnen geen gebruik maken van deze eigenschap van. Het kan enkel gebruikt worden door beveiligingsonderzoekers om te analyseren hoe de ransomware werkt.

Hoe wordt de Globe Ransomware Verspreid?

De manieren waarop het Globe file-encrypting virus verspreidt wordt zijn nog steeds niet duidelijk. We kunnen speculeren dat het verspreid wordt via geïnfecteerde spam mails en hun bijlagen of dat de lading van deze crypto malware gedownload wordt door een exploit kit, na het ontdekken van kwetsbaarheden in je besturingssysteem, als je een dubieus domein bezoekt of op gehackte legitieme sites terechtkomt. Maar dit zou louter hypothetisch zijn. Meer nog omdat we weten dat de Globe encoder wil opvallen tussen de ransomwares.

Hoe bestanden decoderen die versleuteld werden door de Globe Ransomware?

Helaas is het decoderen van bestanden die versleuteld werden door de Globe crypto malware momenteel onmogelijk. Deze malware verwijdert Shadow Volume Kopieën en schakelt het Windows Startup Repair uit met de volgende commando’s:

vssadmin.exe Delete Shadows /All /Quiet

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Desalniettemin zijn cyber beveiligingsonderzoekers niet van plan om zomaar de strijd op te geven. Het uitvoeringsbestand van het Globe virus werd succesvol geïsoleerd en ondergaat verdere analyse. We hopen je snel resultaten te kunnen voorleggen. Gebruik ondertussen je back-up als je er eentje hebt natuurlijk. Gebruik data recovery software zoals Recuva, R-Studio, PhotoRec, Kaspersky, etc., als je geen back-up hebt en niet kan wachten tot de decoder uitgebracht wordt. Doe dit laatste pas nadat je de geïnfecteerde schijf kopieerde en de malware verwijderde met een professioneel automatisch malware verwijdering tool zoals Reimage, Spyhunter of Malwarebytes. Het verwijderen van het virus met deze tools zorgt ervoor dat je systeem volledig nagekeken en gereinigd word. Je kan ook de handmatige verwijderingshandleiding voor Globe ransomware, welke we gratis voorzien, volgen. Zie hieronder.


Automatische tools Globe Ransomware verwijderen

 

Andere hulpmiddelen

 
  0   0
    Spyhunter
  0   0
    Malwarebytes’ Anti-Malware
 
Opmerking: Reimage proef levert detectie van parasieten zoals Globe Ransomware en helpt bijde verwijdering ervan gratis.Je kunt gedetecteerde bestanden, processen en registervermeldingen verwijderen uzelf ofaanschaf van een volledige versie.  We might be affiliated with some of these programs. Full information is available in disclosure

Hoe Globe Ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Globe Ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van Globe Ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Globe Ransomware.


3. Herstel door Globe Ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Globe Ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

 

Globe Ransomware schermafbeeldingen

 
     

About the author

 
november 11, 2016 07:23, november 11, 2016 07:23
   
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *