Allvarlighets skala:  
  (99/100)

Globe Imposter ransomware. Hur tar man bort? (Avinstallera guide)

av Linas Kiguolis - - | Typ: Gisslanprogram

Introduktion till den växande virusfamiljen Globe Imposter

Globe Imposter virus

Globe Imposter-viruset är ett skadlig krypto-ransomware som imiterar det ökända Globe ransomware och krypterar datorns filer så att utpressarna kan sälja en dekrypteringsnyckel som behövs för att låsa upp filerna . När krypteringen är klar, lägger viruset till särskilda filändelser på de krypterade filerna. 

Beroende på virusversion, lägger GlobeImposter till någon av följande filändelse:

.goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[byd@india.com]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[btc2017@india.com] och .skunk.

Upprepade rapporter från offer som har angripts av dessa virus visar att utvecklarna av detta ransomware ständigt ändrar sina kontaktuppgifter och anger olika e-post- eller BitMessage-adresser i ransom-meddelandena (dessa dokument kan heta HOW_OPEN_FILES.hta, how_to_back_files.html, RECOVER-FILES.html, !back_files!.html, #HOW_DECRYPT_FILES#.html), såsom:

  • write_me_[btc2017@india.com],
  • 511_made@cyber-wizard.com,
  • btc.me@india.com
  • chines34@protonmail.ch
  • decryptmyfiles@inbox.ru
  • garryweber@protonmail.ch
  • keepcalmpls@india.com
  • happydaayz@aol.com
  • strongman@india.com
  • support24@india.com
  • support24_02@india.com
  • oceannew_vb@protonmail.com
  • asnaeb7@india.com
  • asnaeb7@yahoo.com
  • i-absolutus@bigmir.net
  • laborotoria@protonmail.ch
  • filesopen@yahoo.com
  • openingfill@hotmail.com
  • crypt@troysecure.me
  • troysecure@yandex.by
  • troysecure@yahoo.com

Då virusutvecklarna inte alltid namnger sina virus, brukar virusen få namn efter de filändelser eller mejladresser som används. Dessa parasiter kallas dock för Globe Impostor eller Fake Globe. Vi måste poängtera att även om dessa virus bara är kopierade versioner, är de fortfarande skadliga. 

Fake Globe-viruset kan kryptera filer lika bra som andra ransomware. Med tanke på att det finns otaliga varianter av detta ransomware, kan vi bara säga så mycket som att vissa virus tenderar att använda RSA- och AES-chiffer för sin kryptering vilket är vanligt bland ransomware . Medan vissa virusversioner kan dekrypteras, är resten extremt farliga. 

Säkerhetsexperterna från Emsisoft har lyckats att skapa en gratis GlobeImposter-dekrypterare, så att offer kan återställa sina filer och reparera sina datorer . I skrivande stund, har programmet redan laddats ner runt 12 000 gånger, vilket bara visar på hur snabbt viruset sprider sig. Alla bör vidta åtgärder för att skydda sig mot det. 

Om du redan har drabbats av viruset, skrolla neråt för att ladda ner dekrypteraren och lära dig om hur du tar bort Globe Imposter från din dator. Vi föreslår att du använder ett ansett antivirusprogram såsom Reimage för att fixa din enhet ordentligt.  

GlobeImposter imiterar alla huvudfunktioner hos Globe-viruset. Det lägger till vissa filändelser på de krypterade filerna och placerar en .html- eller .hta-fil i varje mapp med angripna filer, med instruktioner om hur man betalar lösensumman. Den goda nyheten är att viruset normalt sett inte modifierar de ursprungliga filnamnen, vilket gör det enklare att hitta filerna efter att viruset har dekrypterats. 

Du bör också tänka på att virusutvecklarna använder skrämseltaktik för att avleda användarens uppmärksamhet från andra återställningsmetoder. Så du ska alltid först kontrollera om virusforskarna har utvecklat en gratis dekrypterare. I just det här fallet har du tur, eftersom du kommer att kunna återtälla dina filer och ta bort Globe Imposter utan några allvarliga konsekvenser. 

Aktuella Globe Imposter-varianter:

GlobeImposter 2.0-viruset. Detta är ytterligare en dåligt gjord, men dock något förbättrad, kopia av Globe ransomware. Den krypterar offrets filer med en stark krypteringsalgoritm och lägger sedan till filändelsen .FIX på de krypterade filerna. 

Dess spridningsmetoder varierar från skräppostkampanjer till drive-by-nedladdningar eller bedrägliga annonser. Det går aldrig veta när viruset slår till. Även om det ursprungliga GlobeImposter kunde dekrypteras, lyckades inte virusforskarna upprepa samma succé med version 2.0, så denna parasit kan fortfarande inte dekrypteras. 

Därför är det bra att lagra säkerhetskopior av dina viktigaste filer någonstans dit det skadliga ransomware-skriptet inte kan nå och kryptera dem. På så sätt har du alltid en nödplan ifall din data skulle krypteras. 

GlobeImposter German version (tysk version). För att nå ännu fler potentiella offer, anpassar ransomware-utvecklare ofta sina virus till specifika länder och språk.

Denna tyska version av viruset är ett perfekt exempel på en sådan strategi. Ransom-meddelandet med instruktioner om hur man återställe de krypterade filerna är skrivet på tyska. Bedragarna begär 0.5 Bitcoin i utbyte mot en dekrypteringsnyckel. När offren har betalat, uppmanas de att skicka en skärmdump av transaktionen till en angiven adress – decryptmyfiles@inbox.ru.

Men även om man betalar, finns det ingen garanti för att filerna kommer att återställas. Bedragarna är oföursägbara och kan helt enkelt försvinna med pengarna. Därför ska du istället ta bort denna tyska version av GlobeImposter.

KeepCalm-viruset. Viruset krypterar filer med ett starkt krypteringsskript och lägger till filändelsen .keepcalm, Sedan erbjuder det att dekryptera filerna, men bara om offret är villigt att betala en stor summa pengar. 

I virusets ransom-meddelande under filnamnet HOW_TO_BACK_FILES.html finns en närmare beskrivning av hur man återställer filerna. För att få dekrypteringsprogrammet, måste offren skicka en skärmdump på transaktionen samt det personliga ID-numret till mejladressen keepcalmpls@india.com. Dessvärre är det inte så här ”enkelt”.

Istället brukar bedragarna försvinna med pengarna så fort de har sett att de har kommit in, vilket lämnar offren åt sitt öde med en hög av odekrypterad information. Det enda som du kan göra nu är att ta bort KeepCalm och försöka att återställa filerna på något, säkrare, sätt. 

Wallet GlobeImposter-viruset. I början av maj 2017 upptäcktes en ny version av det falska Globe-viruset. Denna använder filändelsen .wallet för att markera krypterade filer, men saken är den att denna filändelse brukar användas av Dharma ransomwarew, så man vill helt enkelt driva med detta virus. 

Viruset placerar ransom-meddelandet how_to_back_files.html på skrivbordet, vilket innehåller offrets ID och bedragarnas BitMessage-adress i fall offret vill komma i kontakt med dem: BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U[@]bitmessage.ch.

Viruset raderar volymskuggkopior för att hindra offret från att återställa filer utan att betala lösensumman.

FIländelseviruset .s1crypt. Detta är ytterligare en ransomware-variant. I dess ransom-meddelande how_to_back_files.html informeras offret om krypteringen och vad som måste göras för att få tillbaka filerna. 

För att dekryptera filerna, måste offret köpa en specifik dekrypterare som ska kosta 2 bitcoins. Det är dock inte säkert att detta program fungerar. 

Vidare, tillhandahåller virusutvecklarenn tre ytterligare länkar för användare som inte vet hur man köper bitcoins. I händelse av tekniska problem, kan de kontakta utvecklaren på laboratoria@protonmail.ch.

Slutet på mejladressen antyder om att virusutvecklaren har registrerat adressen i Schweiz, men detta kan också vara en skenmanöver. Antivirusprogram kan komma aii identifiera viruset som Trojan.Generic.DB75052. 

Filändelseviruset .au1crypt. Viruset fungerar som den tidigare versionens motpart. Även dess grafiska användarsnitt skiljer sig. ID-numret verkar vara ett resultat av en AES- och RSA-kryptering. Ransom-meddelandet, how_to_back_files.html, förklarar att användarens filer har krypterats på grund av ”ett säkerhetsproblem” på datorn. 

Till skillnad från den förra versionen, som angav en bitcoin-adress, informerar denna version att användaren ska kontakta utvecklarna via summerteam@tuta.io och summerteam@india.com. Även om det verkar som att viruset snarare utgör ett ”sommarnöje” för hackarna, ska användare vara uppmärksamma. 

För närvarande identifieras dess trojan som Variant.Adware.Graftor.lXzx.

Filändelseviruset .goro. Detta virus angriper användare främst via svaga fjärrskrivbordsprotokoll. Då denna version är helt ny, finns ännu ingen dekrypterare. Ransom-meddelandet med ytterligare instruktionerna finns i en .html-fil.

Du kan avsluta goro.exe via din ”Aktivitetshanterare”a för att avbryta virusprocessen. Denna version är kopplad till Wallet-viruset som till ransomware-familjen Dharma.

För närvarande identifierar de flesta säkerhetsprogram denna version som Trojan[Ransom]/Win32.Purgen, Arcabit Trojan.Ransom.GlobeImposter.1. E-postadressen  Mk.goro@aol.com är ett annat tecken på att det handlar om detta virus. 

Filändelseviruset .{email}.BRT92. Detta virus lägger till filändelsen .{email}.BRT92 på de krypterade filerna, precis som virusnamnet antyder. Ransom-meddelandet går under filnamnet #HOW_DECRYPT_FILES#.html 

I detta meddelande har offret tillgetts ett personligt ID-nummer, vilket i stort sett är en kod som hjälper bedragarna att skilja mellan de olika offren.

Hackarna anger också två e-postadresser: asnaeb7@india.com och asnaeb7@yahoo.com.

Filändelseviruset .ocean. Denna version av Globe-viruset upptäcktes 2017. Viruset lägger till filändelsen .ocean och laddar ner ett ransom-meddelande under filnamnet !back_files!.html, i vilket offret uppmanas att betala lösensumman. För att återställa sina filer, måste offret kontakta bedragarna via oceannew_vb@protonmail.com.

Hackarna hävdar att priset på fildekrypteringen varierar beroende på hur snabbt offret tar kontakt med dem. Men det är aldrig en bra idé att samarbeta med kriminella, då det kan sluta med att du blir bedragen. 

A1Lock-viruset. A1Lock är en av de mer lyckade versionerna av GlobeImposter-viruset. Det finns flera versioner av denna parasit och var och en av dem lägger till olika filändelser. För närvarande känner vi till varianter som använder filändelserna .rose, .troy och .707.

Ransom-meddelandet finns normalt sett i filerna How_to_back_files.html och RECOVER-FILES.html. Följande e-postadresser anges för kommunikation med virusutvecklarna: i-absolutus@bigmir.net, crypt@troysecure.me, troysecure@yandex.by och troysecure@yahoo.com.

Filändelseviruset .Write_me_[btc2017@india.com]. Om man ser till utformningen, skiljer sig denna version av Fake Globe från de flesta virusversionerna. Det fungerar dock på samma sätt: det krypterar filer och erbjuder köp av en dekrypterare. De offer som bestämmer sig för att betala för att få tillbaka sina filer, måste kontakta bedragarna på btc2017@india.com.

Att betala innebär en stor risk, eftersom bedragarna helt enkelt kan försvinna med pengarna. Sedan sitter du där med okrypterade .Write_me_[btc2017@india.com]-filer. 

GlobeImposters spridningsmetoder

GlobeImposter ransomware använder traditionella spridningsmetoder, såsom skadlig skräppost, virussmittade annonser och drive-by-nedladdningar .

Som de flesta ransomware, gömmer detta virus sin skadliga nyttolast i program eller Windows-filer som ser legitima ut, så att man inte ska ana att man laddar ner skadliga filer. 

För att skydda din dator mot virusattacker, behöver du ett tillförligt och uppdaterat antisabotageprogram. Vi rekommenderar också att du förvarar säkerhetskopior av dina filer på ett externt lagringsutrymme, såsom USB-minne, extern hårddisk eller annan önskad enhet. Glöm bara inte bort att hålla det bortkopplat från din dator! 

Uppdatering den 23:e maj 2017: Viruset fortsätter att ändra sina spridningsmetoder. Enligt de senaste rapporterna, sprids det via Blank Slate-skräppost (tom sida), precis som i fallet med spridningen av Cerber.

Det har visat sig att de skadliga filerna ligger inpackade i .zip-mappar med namn som innehåller slumpmässiga siffror, till exempel 8064355.zip. När dessa packas upp och aktiveras, ansluter den .js- eller .jse-fil som finns inuti till en särskild domän varifrån viruset laddas ner. 

Bedragarna tenderar att regelbundet ändra dessa domäner, men de vi känner till hittills är newfornz[.]top, pichdollard[.]top och 37kddsserrt[.]pw.

Uppdatering den 1:a augusti 2017: Man har upptäckt nya skadliga skräppostkampanjer (högst troligen baserade på botnätet Necurs) med nya ämnesrader. Nedan finner du en lista över e-postadresser, ämnesrader och bilagor som är kopplade till spridningen av Fake Globe:

  • donotreply@jennieturnerconsulting.co.uk   —   Payment Receipt_72537   —   P72537.zip
  • donotreply@ritson.globalnet.co.uk   —   Payment 0451   —   P0451.zip
  • donotreply@vintageplanters.co.uk   —   Payment Receipt#039   —   P039.zip
  • donotreply@bowker61.fastmail.co.uk   —   Receipt 78522   —   P78522.zip
  • donotreply@satorieurope.co.uk   —   Receipt#6011   —   P6011.zip
  • donotreply@npphotography.co.uk   —   Payment-59559   —   P59559.zip
  • donotreply@anytackle.co.uk   —   Receipt-70724   —   P70724.zip
  • donotreply@gecko-accountancy.co.uk   —   Receipt#374   —   P374.zip
  • donotreply@corbypress.co.uk   —   Payment Receipt#03836   —   P03836.zip
  • donotreply@everythingcctv.co.uk   —   Payment_1479   —   P1479.zip

Enligt webbsidan malware-traffic-analysis.net, som har sammanställt denna lista, innehåller zip-filerna vbs-filer som bär på den skadliga nyttolasten. 

Vidare har nya ämnesrader adderats till de skräppostkampanjer som sprider FakeGlobe som en .js-fil. Var försiktig med mejl som har ämnesraden ”Voice Message Attached” eller ”Scanned Image”. 

Bli av med GlobeImposter för gott

Om du har infekterats med Fake Globe-viruset, måste du vara mycket försiktig så att du inte skadar din dator ännu mer. Försök dig inte på en manuell borttagning om detta är första gången som du har att göra med denna typ av virus. 

Virusutvecklarna kommer att försöka att göra det så svårt som möjligt för dig att ta bort Globe Imposter, genom att möjligen lägga ut olika fällor. Det är bara ansedda och starka säkerhetsprogram som kan komma runt dessa hinder och ta bort viruset från din dator. 

Vi kan vara anslutna med produkterna vi rekommenderar på sidan. All information finns i vårt Användaravtal Genom att ladda ner någon av Anti-spionprogrammen för att ta bort Globe Imposter ransomware, så accepterar du våran integritetspolicy och våra användarvillkor.
gör det nu!
Ladda ner
Reimage (borttagare) Nöjdhets-
Garanti
Ladda ner
Reimage (borttagare) Nöjdhets-
Garanti
Kompatibel med Microsoft Windows Kompatibel med OS X
Vad ska man göra om det misslyckas?
Om du misslyckades med att ta bort infektionen med Reimage, skicka en fråga, till vår support och beskriv problemet så detaljerat som möjligt.
Reimage rekommenderas för att avinstallera Globe Imposter ransomware. Gratisskannern möjliggör för dig att kolla huruvida din PC är infekterad eller inte. Om du behöver ta bort skadeprogram måste du köpa den licensierade versionen av skadeprogramsborttagaren Reimage.
Mer information om detta program kan hittas i recensionen av Reimage.
Omnämningar i pressen om Reimage

Manuell Globe Imposter Borttagningsguide för virus:

Ta bort Globe Imposter med Safe Mode with Networking

Fake Globe är ett virus som inte kommer att försvinna från din dator utan en strid. Därför kan det komma att blockera ditt antivirusprogram eller annat säkerhetsprogram. Om detta händer, vänligen följ instruktionerna nedan.

  • Steg 1: Starta om din dator i Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicka på Start Shutdown Restart OK.
    2. När din dator blir aktiv så trycker du F8 upprepade gånger tills du ser fönstret Advanced Boot Options.
    3. Välj Safe Mode with Networking från listan Välj 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Tryck på knappen Power vid Windows inloggningsskärm. Tryck och håll nu ned Shift på ditt skrivbord och klicka på Restart..
    2. Välj nu Troubleshoot Advanced options Startup Settings och tryck avslutningsvis på Restart.
    3. När din dator blir aktiv så väljer du Enable Safe Mode with Networking i fönstret Startup Settings. Välj 'Enable Safe Mode with Networking'
  • Steg 2: Ta bort Globe Imposter

    Logga in på ditt infekterade konto och starta webbläsaren. Ladda ner Reimage eller ett annat legitimt antispionprogram. Uppdatera det innan du kör en full systemskanning och tar bort skadliga filer som tillhör ditt gisslanprogram och slutför borttagningen av Globe Imposter

Om ditt gisslanprogram blockerar Safe Mode with Networking så kan du prova en annan metod.

Ta bort Globe Imposter med System Restore

Ransomware är allvarliga nätinfektioner, så därför låser de inte bara olika dokument utan blockerar också program, inklusive säkerhetsprogram. Om GlobeImposter stör din automatiska systemskanning, se följande instruktioner.

  • Steg 1: Starta om din dator i Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicka på Start Shutdown Restart OK.
    2. När din dator blir aktiv så trycker du F8 upprepade gånger tills du ser fönstret Advanced Boot Options.
    3. Välj Command Prompt från listan Välj 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Tryck på knappen Power vid Windows inloggningsskärm. Tryck och håll nu ned Shift på ditt skrivbord och klicka på Restart..
    2. Välj nu Troubleshoot Advanced options Startup Settings och tryck avslutningsvis på Restart.
    3. När din dator blir aktiv så väljer du Enable Safe Mode with Command Prompt i fönstret Startup Settings. Välj 'Enable Safe Mode with Command Prompt'
  • Steg 2: Återställ dina systemfiler och inställningar
    1. När fönstret Command Prompt dyker upp så skriver du in cd restore och klickar Enter. Skriv in 'cd restore' utan citationstecken och tryck 'Enter'
    2. Skriv nu in rstrui.exe och tryck på Enter igen.. Skriv in 'rstrui.exe' utan citationstecken och tryck 'Enter'
    3. När ett nytt fönster dyker upp klickar du på Next och väljer en återställningspunkt från innan infiltrationen av Globe Imposter. Efter att ha gjort det klickar du på Next. När fönstret 'System Restore' dyker upp så väljer du 'Next' Välj din återställningspunkt och klicka 'Next'
    4. Klicka nu på Yes för att starta systemåterställningen. Klicka på 'Yes' och starta systemåterställningen
    Så fort du har återställt ditt system till ett tidigare stadium, ladda ner och skanna din dator med Reimage och se till att borttagningen av Globe Imposter lyckas.

Bonus: Återställ din data

Guiden ovan ska hjälpa dig att ta bort Globe Imposter från din dator. För att återställa dina krypterade filer, rekommenderar vi dig att använda en detaljerad guide utfärdad av utanvirus.se-säkerhetsexperter

Det är inte säkert att Emsisofts dekrypteringsprogram fungerar för dig, eftersom det endast kan dekryptera filer som har låsts av särskilda versioner av detta ransomware. Om det inte fungerar, testa någon av dessa alternativa metoder:  

Om dina filer är krypterade genom Globe Imposter, finns flera sätt att återställa dem

Få hjälp av Data Recovery Pro

Detta dataåterställningsprogram har bevisats vara effektivt när det kommer till att reparera krypterade och raderade filer. Vi föreslår att du testar det.

  • Ladda ner Data Recovery Pro (http://utanvirus.se/download/data-recovery-pro-setup.exe);
  • Följ anvisningarna i Installation av Data Recovery och installera programmet på din dator
  • Öppna det och skanna din dator efter filer som är krypterade genom Globe Imposter-ransomware;
  • Återställ dem

ShadowExplorer

Låt ShadowExplorer återställa dina filer med hjälp av volymskuggkopior. Dessvärre brukar ransomware radera volymskuggkopior och i så fall kan ShadowExplorer inte hjälpa dig. 

  • Ladda ner Shadow Explorer (http://shadowexplorer.com/);
  • Använd en installationsguide för Shadow Explorer och installera denna applikation på din dator;
  • Öppna programmet och gå igenom rullmenyn i det övre vänstra hörnet för att välja enheten för din krypterade data. Se vilka mappar som finns där;
  • Högerklicka på den mapp som du vill återställa och välj “Export”. Du kan också välja var du vill att den ska lagras.

Gratis Globe Imposter-dekrypterare

Dina filer kan snabbt återställas med hjälp av Emisofts gratis Globe Imposter-dekrypterare.

Avslutningsvis så bör du tänka på skydd mot krypto-gisslanprogram. För att skydda din dator från Globe Imposter och andra gisslanprogram så ska du använda ett välrenommerat antispionprogram, såsom Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus eller Malwarebytes Anti Malware

Om utvecklaren

Linas Kiguolis
Linas Kiguolis

Om denna gratis borttagningsguide hjälpte dig och du är nöjd med vår tjänst, vänligen överväg att göra en donation för att hålla denna tjänst vid liv. Även små summor kommer uppskattas.

Kontakta Linas Kiguolis
Om företaget Esolutions

Borttagning guider på andra språk