Alvorlighetsgrad:  
  (99/100)

Globe Imposter ransomware virus. Hvordan fjerne? (Avinstallasjonsguide)

av Linas Kiguolis - - | Type: Ransomware
12

Presenterer den voksende familien av Globe Imposter virus

Globe Imposter virus

Globe Imposter virus er et ondsinnet krypto-ransomware virus som etterligner den beryktede Globe ransomware og koder for datafiler, slik at utpressingene kan selge dekrypteringsnøkkelen til sine eiere og tjene penger . Når den er ferdig med å krypteringsfiler, markerer viruset dem med bestemte filutvidelser.

Avhengig av virus versjonen kan Globelmposter malware legge til filer med følgende utvidelser:

.goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[byd@india.com]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[btc2017@india.com] and .skunk.

Repeterende rapporter fra ofre angrepet av disse virusene viser at utviklere av ransomware kontinuerlig endrer kontaktinformasjonen og gir forskjellige e-post eller BitMessage adresser i løpesedler ( disse dokumentene kan merkes HOW_OPEN_FILES.hta, how_to_back_files.html, RECOVER-FILES.html, !back_files!.html, #HOW_DECRYPT_FILES#.html) inkludert:

  • write_me_[btc2017@india.com],
  • 511_made@cyber-wizard.com,
  • btc.me@india.com
  • chines34@protonmail.ch
  • decryptmyfiles@inbox.ru
  • garryweber@protonmail.ch
  • keepcalmpls@india.com
  • happydaayz@aol.com
  • strongman@india.com
  • support24@india.com
  • support24_02@india.com
  • oceannew_vb@protonmail.com
  • asnaeb7@india.com
  • asnaeb7@yahoo.com
  • i-absolutus@bigmir.net
  • laborotoria@protonmail.ch
  • filesopen@yahoo.com
  • openingfill@hotmail.com
  • crypt@troysecure.me
  • troysecure@yandex.by
  • troysecure@yahoo.com

Siden malwareutviklerene ikke alltid gir sine ondsinnede kreaksjoner navn, erker teknologiske fellesskap ofte etter utvidelsene eller e-postadressene som brukes til kommunikasjonen ed ofrene. Likevel gjør du det enklere, disse parasittene er kalt Globe Impostor eller Fake Globe. Vi bør påpeke at til tross for at disse virusene bare er en kopi av det opprinnelige viruset vil det fortsatt kunne utgjøre store ødeleggelser.

Fake Globe virus kan kryptere filer like så godt som alle andre ransomware som er utviklet fra grunnen av. Med tanke på at det finnes ange varianter av denne ransomware, kan vi bare si at enkelte virus har en tedens til å bruke RSA g AES chipers som de fleste ransomware bruker i angrepene sine . Mens noen versjoner av malware kan dekrypteres, orblir resten ekstremt usikkert og farlig.

Sikkerhetseksperter fra Emsoft har lyktes med å skape et dekryptert til ransomware – en gratis GlobeImposter dekryptert som hjelper ransomware ofrene til å gjenopprette sine filer og gjenopprette sine filer og gjennopprette orden på datamaskinen . For øyeblikket har dette redningsverktøyet blitt lastet ned over 11844 ganger, som bare viser at parasitten sprer seg raskt, og alle bør ta tiltak for å beskytte sine enheter mot det.

Hvis det allerede er for sent for deg å ta noen forebyggende tiltak, bøt du bla nedover for å laste ned dekrypteren og lære å fjerne Globe Imposter fra datamaskinen. Vi foreslår at du bruker et anerkjent antivirusprogram somReimage for å reparere enheten din ordentlig.

GlobeImposter etterligner alle de viktigste funksjonene i det orginale Globe viruset. Den legger til bestemte filutvidelser i krypterte filer og slipper .html eller .hta fil med løsing for betalingsbeløpet til hver berørte mappe på datamaskinen. Den gode nyheten er at viruset vanligvis ikke forvrenger opprinnelige filnavn, slik at de lett kan håndteres etter at viruset er dekryptert.

Du bør også huske på at virusutviklerne vil bruke skremmende taktikk for å avverge brukerens oppmerksomhet fra andre datautvinningsalternativer. Så du bør alltid skjekke om virusanalytikerne først har gitt ut en gratis dekrypter. I dette tilfellet er du heldig, fordi du vil kunne gjenopprette filene dine og fullføre Globe Imposterfjerning uten å møte på alvorlige konsekvenser.

Aktive Globe Imposter varianter:

GlobeImposter 2.0 virus

En annen dårlig laget, men litt forbedret kopi av Globe ransomware. Denne spsielle versjonen legger til .FIX utvidelser til pfrene som den først krypterer med en kraftig krypteringsalgoritme, som gjør dem uleselige.

Virusinfiltreringsstrategiene varierer fra spamkampanjene til å kjøre ved nedlastinger eller villende annonser. Det er nesten ingen måte å vite når viruset kommer til å treffe. Selv o den originale GlobeImposter ble dekryptert, klarte ikke malware eksperter på gjenta suksessen med versjon 2.0 og denne parasitten er fortsatt underkrypterbar.

Derfor er det alltid en god ide å ha sikkerhetskopier av dine viktige dokumenter et sted hvor det skadelige ransomwareskriptet ikke kan nå og kryptere dem På denne måten vil du alltid ha sikkerhetskopier dersom dataene dine skulle bli skadet.

GlobeImposter German verson

For å nå flere ofre, tilpasser ransomare utviklere ofte sine ondsinnede kreaksjoner for å målrette mot bestemte land og snakke med brukerne på sitt morsmål.

German ransomware versjonen er et perfekt eksempel på en slik strategi: Ransom-notatet med forklaringer på hvordan du gjenoppretter de krypterte filene presenteres på tysk. De kriminielle krever 0.5 Bitcoin for å gjenopprettingsnökkelen. Etter at pengene er overført, må oftene sende et skjermbilde av transaksjonen til en angitt e-postadresse – decryptmyfiles@inbox.ru.

Men selv ferdigstillelsen av alle kriminelle krav garanterer ikke at filene vil bli gjenopprettet. Utpressingen er uforutsigbare og kan rett og slett forsvinne med alle pengene uten og gi deg noen ting. Det er derfor vi anbefaler å holde seg trygge og utføre GlobeImposter German versjon eliminering i stedet.

KeepCalm virus

Viruset krypterer og legger til dem .keepcalm forlengelse som er hvor viruset får navnet sitt fra. Parasitten kjører et sterkt krypteringsskript for å gjøre ofrets filer uleselige og tilbyr deretter å dekryptere filene hvis bare ofrene er villige til å betale en betydelig sum av penger.

Extortionists gi en mer detaljert beskrivelse av data utvinning i løsningen notatet kalt HOW_TO_BACK_FILES.html. Ofrene må kontakte kjeltringene via e-post adressen – keepcalmpls@india.com. Tilbakemeldingsløsningen for løsepenger sammen med personlig ID må sendes til denne e-posten for å motta dekrypteringsverktøyet. Dessverre er dette ikke hva som normalt skjer.

På motsatt side har de kriminelle en tendens til å forsvinne så snart de har pengene, og etterlatter ofrene med masse ukryptar inforasjon. Isåfall er den eneste tingen du kan gjøre er å fjerne KeepCalm fra enheten og å utføre krypteringen på andre, sikrere måter.

Wallet GlobeImposter virus

I begynnelsen av mai 2017 ble det oppdaget en ny versjon av det falske Globe viruset. Denne gangen den so bruker .wallet filutvidelser for å spoof Dharma ransomare so er kjent for å bruke .wallet filutvidelse for å markere krypterte filer.

Ransomware legger igjen how_to_back_files.html løsepenge notat på desktopen, som inneholder ofrets ID og kriminelle BitMessage adresse, i det tillfelle at oferet ønsker å nå ut til dem –BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U[@]bitmessage.ch.

Viruset sletter volumskyggekopoer for å hindre at offeret gjenoppretter filer uten å betale løsepenger.

.s1crypt file extension virus

Denne parasitten tjener som en annen variant av ransoware. Det presenterer kravene i how_to_back_files.html løsepenge krav. Det informerer også brukerne om at alle deres dokumenter og data er kryptert.

For å dekryptere filer, skal ofrene kjøpe den bestemte dekoderen so angivelig koster 2 Bitcons. Unødvendig å si at verktøyet ikke øker endringene av datagjenoppretting.

I tillegg gir utviklerne også tre ekstra koblinger for brukere som ikke er klar over hvordan an kan kjøpe Bitcoins. Ved tekniske vaskeligheter kan de kontakte gjerningsmannen via laboratoria@protonmail.ch.

Avslutningen av e-posten kan type på at de cyberkriinelle kan ha registrert domene på Sveits territorium. Men dette kan bare være en avlednings teknikk. Antivirusverktøy kan identifisere malware som Trojan.Generic.DB75052. 

.au1crypt filutvidelsesvirus

Malware fungerer som motstykke til tidligere versjon. Dens GUI er også forskjellig. IDen ser ut som et resultat av AES og RSA kryptografi. Tilbakebetalingskortet, how_to_back_files.html, forklarer at brukerfiler har blitt kryptert på grun av «et sikkerhetsproblem med datamaskinen».

I motsetning til den tidligere versonen. Som anav bitcoins adresen instruerer denne versjonen brukere til å kontakte cyberkriminelle via summerteam@tuta.io og summerteam@india.com. Selv om det ser ut som at malware er en «sommerunderholdning» bør alle i det virtuelle samfunnet være årvåken.

For øyeblikket er dens trojan identifisert som Variant.Adware.Graftor.lXzx.

.goro filutvidelsesvirus

Virust retter seg spesielt mot ofre via svake eksterne skrivebordsprotokoller (RDP). Siden versjonen er helt ny, er det ikke noen dekrypter utgitt ennå. Utviklerne brukte også lignende .html løsekrav for instruksjoner.

Du kan avslutte oppgaven goro.exe i oppgaveledelsen for å avbryte malwareprosessen. Denne versonen er også knyttet til Wallet viruset fra Dharma ransomware familien

For øyeblikket er denne variasjonen påvisbar som Trojan[Ransom]/Win32.Purgen, Arcabit Trojan.Ransom.GlobeImposter.1 ved flertalls sikkerhetsapplikasjoner. Mk.goro@aol.com e-postadresse er en annen indikator for denne versjonen.

.{email}.BRT92 filutvidelsesvirus

Dette viruset gjør hva navnet antyder – legger til .{email}.BRT92 utvidelser til krypterte filer. I tillegg til den nye utvidelsen tåler denne oppfølgingen av Globe viruset sin løsepris notat via #HOW_DECRYPT_FILES#.html fil.

På denne html siden er ofre utstyrt med et personlid ID-nummer som i utgangspunktet er en kode som hjelper gjerningsmennene å skille mellom sine ofre.

Hackerene har to e-post adresser asnaeb7@india.com og asnaeb7@yahoo.com for ¨kunne ha kontakt med ofrene sine.

.ocean filutvidelsesvirus

Denne Globe virus versjonen dukket opp i 2017. Viruset legger til .ocean utvidelser og slipper et notat som heter !back_files!.html for å kreve betaling. For å hente filene sine må ofrene kontakte de kriminelle via oceannew_vb@protonmail.com e-post adresse.

Hackerene hevder at prisen på fildekryptering vil avhenge av hvor raskt offeret klarer å kontakte dem. Likevel er samarbeid med kriminelle aldri et godt alternativ, ettersom du kan ende opp med å bli svindlet.

A1Lock virus

A1Lock er en av de mest vellykkede versjonene av GlobeImposter viruset . Det finnes flere versjoner av denne parasitten, og hver av dem legger til filer med forskjellige utvidelser. Vi vet for tiden om varianter som bruker .rose, .troy og .707 utvidelser.

Løsepengekravet etterspørsel er vanligvis oppført i dokumentene merket How_to_back_files.html og RECOVER-FILES.html. For kommunikasjon med ofrene angir kriminelle følgende adresser: i-absolutus@bigmir.net, crypt@troysecure.me, troysecure@yandex.by and troysecure@yahoo.com.

.Write_me_[btc2017@india.com] filutvidelsesvirus

Når man ser på designet er denne versjonen av Fake Globe forskjellig fra de andre virusversjonene. Likevel fungerer det på den samme måten: krypterer filer og tilbud for å skaffe betalt dekoder. Ofre som er villige til å betale for sine filer må kontake kriminelle via btc2017@india.com e-post adresse.

Risikoen her er stor fordi de kriminelle er frie til å forsvinne etter at ofrene har betalt for dekrypteringen. På denne måten, filer som parasitten markerer med .Write_me_[btc2017@india.com] utvidelser kan forbli på denne måten for alltid. 

Vektorer av GlobeImposter infiltrasjon

GlobeImposter ransomware bruker tradisjonell distribusjonsteknologi for malware og sprer seg via ondsinnet spam. Andre kjente angrepsvektorer er malware-ladede annonser og nedlastinger .

Som de fleste ransomware forklarer denne variante sin destruktive yttelast under legitime utseende programmer eller Windows filer, slik at de potensielle ofrene ikke ville mistenke at de laster ned ondsinede filer på sine datamaskiner.

For å beskytte systemet mot ondsinnede angrep, er det nødvendig med en anstendig og oppdatert anti malware programvare. Dessuten anbefaler vi at du finner en ekstern lagringsplass for å beholde kopier av filene dine Du kan bruke tommelstasjoner, eksterne harddisker eller en annen enhet du foretrekker. Bare ikke glem å koble den fra datamaskinen din.

Oppdatert 23. mai, 2017. Ransomware fortsetter å forandre angrepsteknikkene og iflkge de nyeste raportene blir dette skadelige viruset presset av Blank Slate malsoamsom var og er ansvarlig for Cerbers distribusjon.

Det viser seg at ondsinnede filer kom pakket inn i .zip-arkiver som er oppkalt med et løsesumsett med tegn, for eksempel 8064355.zip. Når utpakket og utført kobler .js eller .jse filen innvending til et bestemt domene og laster ned ransomware fra det.

Kriminelle pleier regelmessig bytte domener som er vert for ransomware, men for tiden kjente domener er newfornz[.]top, pichdollard[.]top og 37kddsserrt[.]pw.

Oppdatert 1. august, 2017: Ny Globe Imposter malspam kampanje (mest sannsynlig basert på Necurs botnet) med nye fagnavn er blitt oppdaget. Nedenfor finner du en liste med e-podtadresser, emnetitler og vedleggsfiler assosiert med Fake Globe distribusjon:

  • donotreply@jennieturnerconsulting.co.uk   —   Payment Receipt_72537   —   P72537.zip
  • donotreply@ritson.globalnet.co.uk   —   Payment 0451   —   P0451.zip
  • donotreply@vintageplanters.co.uk   —   Payment Receipt#039   —   P039.zip
  • donotreply@bowker61.fastmail.co.uk   —   Receipt 78522   —   P78522.zip
  • donotreply@satorieurope.co.uk   —   Receipt#6011   —   P6011.zip
  • donotreply@npphotography.co.uk   —   Payment-59559   —   P59559.zip
  • donotreply@anytackle.co.uk   —   Receipt-70724   —   P70724.zip
  • donotreply@gecko-accountancy.co.uk   —   Receipt#374   —   P374.zip
  • donotreply@corbypress.co.uk   —   Payment Receipt#03836   —   P03836.zip
  • donotreply@everythingcctv.co.uk   —   Payment_1479   —   P1479.zip

I følge malware-traffic-analysis.net nettsiden som fulgte denne listen, inneholder zip filene vbs filer som bærer skadelig nyttelast.

Dessuten er det lagt til nye fagtitler i spam kampanjen som distribuerer FakeGlobe som .js fil. Vær forsiktig med e-post meldinger som begynner med «Voice Message Attached, eller «Scanned Image». 

Forslag til en komplett GlobeImposter virus fjerning

I tillfelle du er infisert med Fake Globe viruset, bør du være veldig forsiktig så du ikke ødelegger datasystemet ditt enda mer. Ikke prøv virusfjerning hvis dette er ditt første møte med et slikt virus.

Virusutviklerne vil førsøke å fjerne GLobe Impostr fjerning så vanskelig om mulig, og muligens legge igjen mange feller. Kun anerkjente og kraftige sikkerhetsprogrammer kan fungere rundt disse hindringene og fjerne Globe Imposer virus fra det ødelagte systemet som slitter det fra roten.

Vi samarbeider med utviklerne av noen av produktene som nevnes på nettsiden vår. Les mer om dette i Bruksavtalen. Ved å laste ned noen av antispyware-programmene for å slette Globe Imposter ransomware virus godtar du vårt personvern og vår bruksavtale.
Gjør det nå!
Last ned
Reimage (fjerner) Fornøyd-
garanti
Last ned
Reimage (fjerner) Fornøyd-
garanti
Kompatibel med Microsoft Windows Kompatibel med OS X
Hva gjør jeg hvis det mislykkes?
Hvis du ikke klarer å fjerne infeksjonen ved bruk av Reimage, bes du om å sende inn et spørsmål til kundestøtte med så mange detaljer som mulig.
Reimage er anbefalt for avinstallering av Globe Imposter ransomware virus. Gratisskanneren lar deg sjekke om PC-en din er infisert eller ikke. Dersom du trenger å fjerne malware må du kjøpe den lisensierte versjonen av verktøyet Reimage.
Mer informasjon om dette programmet finnes i anmeldelsen av Reimage.
Presseomtaler om Reimage

Manuell Globe Imposter fjerningsguide for virus:

Fjern Globe Imposter ved hjelp av Safe Mode with Networking

Fake Globe virus er et virus som ikke vil forlate den infiserte datamaskinen uten en kamp. Dermed kan det blokkere antivirusprogrammet eller andre sikkerhetsprogrammer fra å kjøre. I tillfelle dette skjer, følg instruksjonene nedenfor.

  • Steg 1: Start datamaskinen på nytt i Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klikk Start Shutdown Restart OK.
    2. Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
    3. Velg Safe Mode with Networking fra listen Velg 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
    2. Velg deretter Troubleshoot Advanced options Startup Settings og trykk Restart.
    3. Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Networking i Startup Settings-vinduet. Velg 'Enable Safe Mode with Networking'
  • Steg 2: Fjerne Globe Imposter

    Logg inn på den infiserte kontoen og start nettleseren. Last ned Reimage eller et annet legitimt antispionvare-program. Oppdater det før du kjører et fullstendig systemskann og fjerner ondsinnede filer som tilhører ransomware-programmet og fullfør fjerning av Globe Imposter.

Dersom ransomware-programmet blokkerer Safe Mode with Networking, kan du prøve følgende metode.

Fjern Globe Imposter ved hjelp av System Restore

Ransomware parasitter er alvorlige cyberinfeksjoner, slik at de ikke kan låse forskjellige dokumenter på den infiserte datamaskinen, men blokkerer applikasjoner også. Sikkerhetsprogramvare er et unntak. Hvis GlobeImposter forstyrrer den automatiske systemskanningen, skjekk ut følgende instruksjoner.

  • Steg 1: Start datamaskinen på nytt i Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klikk Start Shutdown Restart OK.
    2. Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
    3. Velg Command Prompt fra listen Velg 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
    2. Velg deretter Troubleshoot Advanced options Startup Settings og trykk Restart.
    3. Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Command Prompt i Startup Settings-vinduet. Velg 'Enable Safe Mode with Command Prompt'
  • Steg 2: Gjenopprett systemfilene og innstillingene
    1. Så snart Command Prompt-vinduet dukker opp, angir du cd restore og klikker Enter. Skriv inn 'cd restore' uten hermetegn og trykk 'Enter'
    2. Skriv inn rstrui.exe og trykk Enter igjen.. Skriv inn 'rstrui.exe' uten hermetegn og trykk 'Enter'
    3. Når et nytt vindu dukker opp, klikker du Next og velger et gjennopprettingspunkt før infiltreringen av Globe Imposter. Etter å ha gjort dette, klikker du på Next. Når 'System Restore'-vinduet dukker opp, velger du 'Next' Velg gjenopprettingspunktet ditt og klikk 'Next'
    4. Klikk Yes for å starte systemgjenoppretting. Klikk 'Yes' og start systemgjenoppretting
    Så snart du gjenoppretter systemet til en tidligere dato, bør du laste ned og skanne datamaskinen med Reimage og sørge for at fjerning av Globe Imposter er fullført.

Bonus: Gjenopprett dataene dine

Veiledningen som presenteres ovenfor er ment å hjelpe deg med å fjerne Globe Imposter fra datamaskinen din. For å gjenopprette de krypterte filene anbefaler vi at du bruker en detaljert veiledning laget av sikkerhetsekspertene hos viruset.no.

Det leverte dekrypteringsverktÿet fra Emisoft kan ikke fungere for deg fordi det er i stand til å dekryptere filer som er låst av visse versjoner av denne ransom gruppen. Hvis det ikke hjelper deg å rule dataene tilbake til sin opprinnelige tilstand, foreslår vi at du prøver et av de alternative alternativenene:

Hvis filene dine krypteres av Globe Imposter kan du bruke flere ulike metoder for å gjenopprette dem:

Få hjelp fra Data Recovery Pro

Denne datagjenopprettingsporgravaren viste seg å være effektiv når det gjaldt ødelagte eller slettede filer. Vi foreslår at du prlver dette verktøyet for å gjenopprette filene dine.

  • Last ned Data Recovery Pro (http://viruset.no/download/data-recovery-pro-setup.exe);
  • Følg stegene i installasjonsveiledningen til Data Recovery og installer programmet på datamaskinen din;
  • Kjør programmet og skann datamaskinen din etter filer kryptert av Globe Imposter ransomware;
  • Gjenopprett dem.

ShadowExplorer triks

La ShadowExplorer gjøre trikset og gjenopprette filene dine ved å bruke Volume Shadow kopier. Dessverre søker ransomware virus etter å slette Volum Shadow kopier, vis de lykkes i dette kan ikke ShadowExplorer hjelpe deg.

  • Last ned Shadow Explorer (http://shadowexplorer.com/);
  • Følg installasjonsveiledningen til Shadow Explorer og installer programmet på datamaskinen din;
  • Kjør programmet og gå til nedtrekksmenyen i øvre venstre hjørne for å velge disken som inneholder de krypterte filene. Sjekk hvilke mapper det er;
  • Høyreklikk på mappen du ønsker å gjenopprette og velg “Export”. Du kan også velge hvor du ønsker å lagre filene.

Free Globe Imposter dekryptor

Filene dine kan raskt gjenopprettes hvis du bruker Free Globe Imposter dekrypter fra Emsisoft. 

Til slutt bør du alltid tenke på beskyttelse mot crypto-ransomware. For å beskytte datamaskinen din mot Globe Imposter og annet ransomware bør du benytte en vel ansett anti-spionvare, som Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus eller Malwarebytes Anti Malware.

Om forfatteren

Linas Kiguolis
Linas Kiguolis

Dersom denne kostnadsfrie fjerningsveiledningen har hjulpet deg og du er fornøyd med vår tjeneste, ber vi deg om å vurdere å foreta en donasjon for å holde tjenesten ved like. Selv det minste beløp blir satt pris på.

Kilde: https://www.2-spyware.com/remove-globe-imposter-ransomware-virus.html

Veiledning for sletting på andre språk