Ta bort viruset Globe Imposter (Borttagningsguide) - sep 2017 uppdatering
Globe Imposter Borttagningsguide för virus
Vad är Globe Imposter ransomware?
Introduktion till den växande virusfamiljen Globe Imposter
Globe Imposter-viruset är ett skadlig krypto-ransomware som imiterar det ökända Globe ransomware och krypterar datorns filer så att utpressarna kan sälja en dekrypteringsnyckel som behövs för att låsa upp filerna . När krypteringen är klar, lägger viruset till särskilda filändelser på de krypterade filerna.
Beroende på virusversion, lägger GlobeImposter till någon av följande filändelse:
.goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[byd@india.com]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[btc2017@india.com] och .skunk.
Upprepade rapporter från offer som har angripts av dessa virus visar att utvecklarna av detta ransomware ständigt ändrar sina kontaktuppgifter och anger olika e-post- eller BitMessage-adresser i ransom-meddelandena (dessa dokument kan heta HOW_OPEN_FILES.hta, how_to_back_files.html, RECOVER-FILES.html, !back_files!.html, #HOW_DECRYPT_FILES#.html), såsom:
- write_me_[btc2017@india.com],
- 511_made@cyber-wizard.com,
- btc.me@india.com
- chines34@protonmail.ch
- decryptmyfiles@inbox.ru
- garryweber@protonmail.ch
- keepcalmpls@india.com
- happydaayz@aol.com
- strongman@india.com
- support24@india.com
- support24_02@india.com
- oceannew_vb@protonmail.com
- asnaeb7@india.com
- asnaeb7@yahoo.com
- i-absolutus@bigmir.net
- laborotoria@protonmail.ch
- filesopen@yahoo.com
- openingfill@hotmail.com
- crypt@troysecure.me
- troysecure@yandex.by
- troysecure@yahoo.com
Då virusutvecklarna inte alltid namnger sina virus, brukar virusen få namn efter de filändelser eller mejladresser som används. Dessa parasiter kallas dock för Globe Impostor eller Fake Globe. Vi måste poängtera att även om dessa virus bara är kopierade versioner, är de fortfarande skadliga.
Fake Globe-viruset kan kryptera filer lika bra som andra ransomware. Med tanke på att det finns otaliga varianter av detta ransomware, kan vi bara säga så mycket som att vissa virus tenderar att använda RSA- och AES-chiffer för sin kryptering vilket är vanligt bland ransomware . Medan vissa virusversioner kan dekrypteras, är resten extremt farliga.
Säkerhetsexperterna från Emsisoft har lyckats att skapa en gratis GlobeImposter-dekrypterare, så att offer kan återställa sina filer och reparera sina datorer . I skrivande stund, har programmet redan laddats ner runt 12 000 gånger, vilket bara visar på hur snabbt viruset sprider sig. Alla bör vidta åtgärder för att skydda sig mot det.
Om du redan har drabbats av viruset, skrolla neråt för att ladda ner dekrypteraren och lära dig om hur du tar bort Globe Imposter från din dator. Vi föreslår att du använder ett ansett antivirusprogram såsom FortectIntego för att fixa din enhet ordentligt.
Globe Imposter ransomware kommer i en rad olika former och språk. Nedan ser du några exempel på detta ransomware.
GlobeImposter imiterar alla huvudfunktioner hos Globe-viruset. Det lägger till vissa filändelser på de krypterade filerna och placerar en .html- eller .hta-fil i varje mapp med angripna filer, med instruktioner om hur man betalar lösensumman. Den goda nyheten är att viruset normalt sett inte modifierar de ursprungliga filnamnen, vilket gör det enklare att hitta filerna efter att viruset har dekrypterats.
Du bör också tänka på att virusutvecklarna använder skrämseltaktik för att avleda användarens uppmärksamhet från andra återställningsmetoder. Så du ska alltid först kontrollera om virusforskarna har utvecklat en gratis dekrypterare. I just det här fallet har du tur, eftersom du kommer att kunna återtälla dina filer och ta bort Globe Imposter utan några allvarliga konsekvenser.
Aktuella Globe Imposter-varianter:
GlobeImposter 2.0-viruset. Detta är ytterligare en dåligt gjord, men dock något förbättrad, kopia av Globe ransomware. Den krypterar offrets filer med en stark krypteringsalgoritm och lägger sedan till filändelsen .FIX på de krypterade filerna.
Dess spridningsmetoder varierar från skräppostkampanjer till drive-by-nedladdningar eller bedrägliga annonser. Det går aldrig veta när viruset slår till. Även om det ursprungliga GlobeImposter kunde dekrypteras, lyckades inte virusforskarna upprepa samma succé med version 2.0, så denna parasit kan fortfarande inte dekrypteras.
Därför är det bra att lagra säkerhetskopior av dina viktigaste filer någonstans dit det skadliga ransomware-skriptet inte kan nå och kryptera dem. På så sätt har du alltid en nödplan ifall din data skulle krypteras.
GlobeImposter German version (tysk version). För att nå ännu fler potentiella offer, anpassar ransomware-utvecklare ofta sina virus till specifika länder och språk.
Denna tyska version av viruset är ett perfekt exempel på en sådan strategi. Ransom-meddelandet med instruktioner om hur man återställe de krypterade filerna är skrivet på tyska. Bedragarna begär 0.5 Bitcoin i utbyte mot en dekrypteringsnyckel. När offren har betalat, uppmanas de att skicka en skärmdump av transaktionen till en angiven adress – decryptmyfiles@inbox.ru.
Men även om man betalar, finns det ingen garanti för att filerna kommer att återställas. Bedragarna är oföursägbara och kan helt enkelt försvinna med pengarna. Därför ska du istället ta bort denna tyska version av GlobeImposter.
KeepCalm-viruset. Viruset krypterar filer med ett starkt krypteringsskript och lägger till filändelsen .keepcalm, Sedan erbjuder det att dekryptera filerna, men bara om offret är villigt att betala en stor summa pengar.
I virusets ransom-meddelande under filnamnet HOW_TO_BACK_FILES.html finns en närmare beskrivning av hur man återställer filerna. För att få dekrypteringsprogrammet, måste offren skicka en skärmdump på transaktionen samt det personliga ID-numret till mejladressen keepcalmpls@india.com. Dessvärre är det inte så här ”enkelt”.
Istället brukar bedragarna försvinna med pengarna så fort de har sett att de har kommit in, vilket lämnar offren åt sitt öde med en hög av odekrypterad information. Det enda som du kan göra nu är att ta bort KeepCalm och försöka att återställa filerna på något, säkrare, sätt.
Wallet GlobeImposter-viruset. I början av maj 2017 upptäcktes en ny version av det falska Globe-viruset. Denna använder filändelsen .wallet för att markera krypterade filer, men saken är den att denna filändelse brukar användas av Dharma ransomwarew, så man vill helt enkelt driva med detta virus.
Viruset placerar ransom-meddelandet how_to_back_files.html på skrivbordet, vilket innehåller offrets ID och bedragarnas BitMessage-adress i fall offret vill komma i kontakt med dem: BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U[@]bitmessage.ch.
Viruset raderar volymskuggkopior för att hindra offret från att återställa filer utan att betala lösensumman.
FIländelseviruset .s1crypt. Detta är ytterligare en ransomware-variant. I dess ransom-meddelande how_to_back_files.html informeras offret om krypteringen och vad som måste göras för att få tillbaka filerna.
För att dekryptera filerna, måste offret köpa en specifik dekrypterare som ska kosta 2 bitcoins. Det är dock inte säkert att detta program fungerar.
Vidare, tillhandahåller virusutvecklarenn tre ytterligare länkar för användare som inte vet hur man köper bitcoins. I händelse av tekniska problem, kan de kontakta utvecklaren på laboratoria@protonmail.ch.
Slutet på mejladressen antyder om att virusutvecklaren har registrerat adressen i Schweiz, men detta kan också vara en skenmanöver. Antivirusprogram kan komma aii identifiera viruset som Trojan.Generic.DB75052.
Filändelseviruset .au1crypt. Viruset fungerar som den tidigare versionens motpart. Även dess grafiska användarsnitt skiljer sig. ID-numret verkar vara ett resultat av en AES- och RSA-kryptering. Ransom-meddelandet, how_to_back_files.html, förklarar att användarens filer har krypterats på grund av ”ett säkerhetsproblem” på datorn.
Till skillnad från den förra versionen, som angav en bitcoin-adress, informerar denna version att användaren ska kontakta utvecklarna via summerteam@tuta.io och summerteam@india.com. Även om det verkar som att viruset snarare utgör ett ”sommarnöje” för hackarna, ska användare vara uppmärksamma.
För närvarande identifieras dess trojan som Variant.Adware.Graftor.lXzx.
Filändelseviruset .goro. Detta virus angriper användare främst via svaga fjärrskrivbordsprotokoll. Då denna version är helt ny, finns ännu ingen dekrypterare. Ransom-meddelandet med ytterligare instruktionerna finns i en .html-fil.
Du kan avsluta goro.exe via din ”Aktivitetshanterare”a för att avbryta virusprocessen. Denna version är kopplad till Wallet-viruset som till ransomware-familjen Dharma.
För närvarande identifierar de flesta säkerhetsprogram denna version som Trojan[Ransom]/Win32.Purgen, Arcabit Trojan.Ransom.GlobeImposter.1. E-postadressen Mk.goro@aol.com är ett annat tecken på att det handlar om detta virus.
Filändelseviruset .{email}.BRT92. Detta virus lägger till filändelsen .{email}.BRT92 på de krypterade filerna, precis som virusnamnet antyder. Ransom-meddelandet går under filnamnet #HOW_DECRYPT_FILES#.html
I detta meddelande har offret tillgetts ett personligt ID-nummer, vilket i stort sett är en kod som hjälper bedragarna att skilja mellan de olika offren.
Hackarna anger också två e-postadresser: asnaeb7@india.com och asnaeb7@yahoo.com.
Filändelseviruset .ocean. Denna version av Globe-viruset upptäcktes 2017. Viruset lägger till filändelsen .ocean och laddar ner ett ransom-meddelande under filnamnet !back_files!.html, i vilket offret uppmanas att betala lösensumman. För att återställa sina filer, måste offret kontakta bedragarna via oceannew_vb@protonmail.com.
Hackarna hävdar att priset på fildekrypteringen varierar beroende på hur snabbt offret tar kontakt med dem. Men det är aldrig en bra idé att samarbeta med kriminella, då det kan sluta med att du blir bedragen.
A1Lock-viruset. A1Lock är en av de mer lyckade versionerna av GlobeImposter-viruset. Det finns flera versioner av denna parasit och var och en av dem lägger till olika filändelser. För närvarande känner vi till varianter som använder filändelserna .rose, .troy och .707.
Ransom-meddelandet finns normalt sett i filerna How_to_back_files.html och RECOVER-FILES.html. Följande e-postadresser anges för kommunikation med virusutvecklarna: i-absolutus@bigmir.net, crypt@troysecure.me, troysecure@yandex.by och troysecure@yahoo.com.
Filändelseviruset .Write_me_[btc2017@india.com]. Om man ser till utformningen, skiljer sig denna version av Fake Globe från de flesta virusversionerna. Det fungerar dock på samma sätt: det krypterar filer och erbjuder köp av en dekrypterare. De offer som bestämmer sig för att betala för att få tillbaka sina filer, måste kontakta bedragarna på btc2017@india.com.
Att betala innebär en stor risk, eftersom bedragarna helt enkelt kan försvinna med pengarna. Sedan sitter du där med okrypterade .Write_me_[btc2017@india.com]-filer.
GlobeImposters spridningsmetoder
GlobeImposter ransomware använder traditionella spridningsmetoder, såsom skadlig skräppost, virussmittade annonser och drive-by-nedladdningar .
Som de flesta ransomware, gömmer detta virus sin skadliga nyttolast i program eller Windows-filer som ser legitima ut, så att man inte ska ana att man laddar ner skadliga filer.
För att skydda din dator mot virusattacker, behöver du ett tillförligt och uppdaterat antisabotageprogram. Vi rekommenderar också att du förvarar säkerhetskopior av dina filer på ett externt lagringsutrymme, såsom USB-minne, extern hårddisk eller annan önskad enhet. Glöm bara inte bort att hålla det bortkopplat från din dator!
Uppdatering den 23:e maj 2017: Viruset fortsätter att ändra sina spridningsmetoder. Enligt de senaste rapporterna, sprids det via Blank Slate-skräppost (tom sida), precis som i fallet med spridningen av Cerber.
Det har visat sig att de skadliga filerna ligger inpackade i .zip-mappar med namn som innehåller slumpmässiga siffror, till exempel 8064355.zip. När dessa packas upp och aktiveras, ansluter den .js- eller .jse-fil som finns inuti till en särskild domän varifrån viruset laddas ner.
Bedragarna tenderar att regelbundet ändra dessa domäner, men de vi känner till hittills är newfornz[.]top, pichdollard[.]top och 37kddsserrt[.]pw.
Uppdatering den 1:a augusti 2017: Man har upptäckt nya skadliga skräppostkampanjer (högst troligen baserade på botnätet Necurs) med nya ämnesrader. Nedan finner du en lista över e-postadresser, ämnesrader och bilagor som är kopplade till spridningen av Fake Globe:
- donotreply@jennieturnerconsulting.co.uk — Payment Receipt_72537 — P72537.zip
- donotreply@ritson.globalnet.co.uk — Payment 0451 — P0451.zip
- donotreply@vintageplanters.co.uk — Payment Receipt#039 — P039.zip
- donotreply@bowker61.fastmail.co.uk — Receipt 78522 — P78522.zip
- donotreply@satorieurope.co.uk — Receipt#6011 — P6011.zip
- donotreply@npphotography.co.uk — Payment-59559 — P59559.zip
- donotreply@anytackle.co.uk — Receipt-70724 — P70724.zip
- donotreply@gecko-accountancy.co.uk — Receipt#374 — P374.zip
- donotreply@corbypress.co.uk — Payment Receipt#03836 — P03836.zip
- donotreply@everythingcctv.co.uk — Payment_1479 — P1479.zip
Enligt webbsidan malware-traffic-analysis.net, som har sammanställt denna lista, innehåller zip-filerna vbs-filer som bär på den skadliga nyttolasten.
Vidare har nya ämnesrader adderats till de skräppostkampanjer som sprider FakeGlobe som en .js-fil. Var försiktig med mejl som har ämnesraden ”Voice Message Attached” eller ”Scanned Image”.
Bli av med GlobeImposter för gott
Om du har infekterats med Fake Globe-viruset, måste du vara mycket försiktig så att du inte skadar din dator ännu mer. Försök dig inte på en manuell borttagning om detta är första gången som du har att göra med denna typ av virus.
Virusutvecklarna kommer att försöka att göra det så svårt som möjligt för dig att ta bort Globe Imposter, genom att möjligen lägga ut olika fällor. Det är bara ansedda och starka säkerhetsprogram som kan komma runt dessa hinder och ta bort viruset från din dator.
Manuell Globe Imposter Borttagningsguide för virus
Utpressningsprogram: Manuell borttagning av utpressningsprogram (ransomware) i Felsäkert läge
Fake Globe är ett virus som inte kommer att försvinna från din dator utan en strid. Därför kan det komma att blockera ditt antivirusprogram eller annat säkerhetsprogram. Om detta händer, vänligen följ instruktionerna nedan.
Viktigt! →
Manuell borttagning kan vara för komplicerad för vanliga datoranvändare. Det krävs avancerade IT-kunskaper för att utföras korrekt (om viktiga systemfiler tas bort eller skadas kan det leda till att Windows totalt förstörs), och det kan också ta flera timmar att genomföra. Därför rekommenderar vi starkt att du istället använder den automatiska metoden som visas ovan.
Steg 1. Starta Felsäkert Läge med Nätverk
Manuell borttagning av skadeprogram bör utföras i felsäkert läge.
Windows 7 / Vista / XP
- Klicka på Start > Stäng av > Starta om > OK.
- När datorn blir aktiv börjar du trycka på F8-knappen (om det inte fungerar kan du prova F2, F12, Del, osv. – det beror på din moderkortsmodell) flera gånger tills du ser fönstret Avancerade startalternativ.
- Välj Felsäkert läge med Nätverk från listan.
Windows 10 / Windows 8
- Högerklicka på Start-knappen och välj Inställningar.
- Bläddra ner och välj Uppdatering & Säkerhet.
- Till vänster i fönstret väljer du Återhämtning.
- Bläddra nu nedåt för att hitta sektionen Avancerad start.
- Klicka på Starta om nu.
- Välj Felsök.
- Gå till Avancerade alternativ.
- Välj Inställningar för uppstart.
- Tryck på Starta om.
- Tryck nu på 5 eller klicka på 5) Aktivera felsäkert läge med nätverk.
Steg 2. Stäng av alla skumma processer
Windows Aktivitetshanteraren är ett användbart verktyg som visar alla processer som körs i bakgrunden. Om skadlig kod kör en process måste du stänga av den:
- Tryck Ctrl + Shift + Esc på tangentbordet för att öppna Windows Aktivitetshanteraren.
- Tryck på Fler detaljer.
- Bläddra ner till Bakgrundsprocesser och leta efter något misstänkt.
- Högerklicka och välj Öppna filplats.
- Gå tillbaka till processen, högerklicka och välj Avsluta aktivitet.
- Radera innehållet i den skadliga mappen.
Steg 3. Kontrollera start av programmet
- Ctrl + Shift + Esc på tangentbordet för att öppna Windows Aktivitetshanteraren.
- Gå till fliken Uppstart.
- Högerklicka på det misstänkta programmet och välj Inaktivera.
Steg 4. Radera virusfiler
Malware-relaterade filer kan finnas på olika ställen i din dator. Här finns instruktioner som kan hjälpa dig att hitta dem:
- Skriv in Diskrensning i Windows-sökningen och tryck på Enter.
- Välj den enhet du vill rensa (C: är din huvudenhet som standard och är troligtvis den enhet som innehåller skadliga filer).
- Bläddra i listan Filer som ska raderas och välj följande:
Temporary Internet Files
Downloads
Recycle Bin
Temporary files - Välj Rensa upp systemfiler.
- Du kan också leta efter andra skadliga filer som är gömda i följande mappar (skriv dessa sökord i Windows Sökbar och tryck på Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
När du är klar startar du om datorn i normalt läge.
Ta bort Globe Imposter med System Restore
Ransomware är allvarliga nätinfektioner, så därför låser de inte bara olika dokument utan blockerar också program, inklusive säkerhetsprogram. Om GlobeImposter stör din automatiska systemskanning, se följande instruktioner.
-
Steg 1: Starta om din dator i Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klicka på Start → Shutdown → Restart → OK.
- När din dator blir aktiv så trycker du F8 upprepade gånger tills du ser fönstret Advanced Boot Options.
- Välj Command Prompt från listan
Windows 10 / Windows 8- Tryck på knappen Power vid Windows inloggningsskärm. Tryck och håll nu ned Shift på ditt skrivbord och klicka på Restart..
- Välj nu Troubleshoot → Advanced options → Startup Settings och tryck avslutningsvis på Restart.
- När din dator blir aktiv så väljer du Enable Safe Mode with Command Prompt i fönstret Startup Settings.
-
Steg 2: Återställ dina systemfiler och inställningar
- När fönstret Command Prompt dyker upp så skriver du in cd restore och klickar Enter.
- Skriv nu in rstrui.exe och tryck på Enter igen..
- När ett nytt fönster dyker upp klickar du på Next och väljer en återställningspunkt från innan infiltrationen av Globe Imposter. Efter att ha gjort det klickar du på Next.
- Klicka nu på Yes för att starta systemåterställningen.
Bonus: Återställ din data
Guiden ovan ska hjälpa dig att ta bort Globe Imposter från din dator. För att återställa dina krypterade filer, rekommenderar vi dig att använda en detaljerad guide utfärdad av utanvirus.se-säkerhetsexperterDet är inte säkert att Emsisofts dekrypteringsprogram fungerar för dig, eftersom det endast kan dekryptera filer som har låsts av särskilda versioner av detta ransomware. Om det inte fungerar, testa någon av dessa alternativa metoder:
Om dina filer är krypterade genom Globe Imposter, finns flera sätt att återställa dem
Få hjälp av Data Recovery Pro
Detta dataåterställningsprogram har bevisats vara effektivt när det kommer till att reparera krypterade och raderade filer. Vi föreslår att du testar det.
- Ladda ner Data Recovery Pro;
- Följ anvisningarna i Installation av Data Recovery och installera programmet på din dator
- Öppna det och skanna din dator efter filer som är krypterade genom Globe Imposter-ransomware;
- Återställ dem
ShadowExplorer
Låt ShadowExplorer återställa dina filer med hjälp av volymskuggkopior. Dessvärre brukar ransomware radera volymskuggkopior och i så fall kan ShadowExplorer inte hjälpa dig.
- Ladda ner Shadow Explorer (http://shadowexplorer.com/);
- Använd en installationsguide för Shadow Explorer och installera denna applikation på din dator;
- Öppna programmet och gå igenom rullmenyn i det övre vänstra hörnet för att välja enheten för din krypterade data. Se vilka mappar som finns där;
- Högerklicka på den mapp som du vill återställa och välj “Export”. Du kan också välja var du vill att den ska lagras.
Gratis Globe Imposter-dekrypterare
Dina filer kan snabbt återställas med hjälp av Emisofts gratis Globe Imposter-dekrypterare.
Avslutningsvis så bör du tänka på skydd mot krypto-gisslanprogram. För att skydda din dator från Globe Imposter och andra gisslanprogram så ska du använda ett välrenommerat antispionprogram, såsom FortectIntego, SpyHunter 5Combo Cleaner eller Malwarebytes
Rekommenderat För Dig
Låt inte myndigheterna spionera på dig
Myndigheterna har många problemområden gällande att spåra användares information och spionera på invånare så du bör komma ihåg detta och lära dig mer om skuggig informationsinsamling. Undvik oönskad spårning från myndigheterna och spionering genom att bli helt anonym på nätet.
Du kan välja en annorlunda geografisk plats när du kopplar upp dig och få tillgång till vilket innehåll som helst, oavsett geografiska begränsningar. Du kan enkelt njuta av internetuppkopplingen utan risk av att bli hackad om du använder dig av en Private Internet Access VPN.
Ta kontroll över informationen som kan nås av styrelser och andra oönskade parter och surfa online utan att spioneras på. Även om du inte är inblandad i olagliga aktiviteter och litar på dina tjänster och plattformer så är det nödvändigt att aktivt skydda din integritet och ta försiktighetsåtgärder genom en VPN-tjänst.
Säkerhetskopiera filer för senare användning i fall malware-attacker uppstår
Mjukvaruproblems skapade av skadeprogram eller direkt dataförlust på grund av kryptering kan leda till problem med din enhet eller permanent skada. När du har ordentliga aktuella säkerhetskopior kan du enkelt ta igen dig om något sådant skulle hända och fortsätta med ditt arbete.
Det är viktigt att skapa uppdateringar för dina säkerhetskopior efter ändringar så att du kan fortsätta var du var efter att skadeprogram avbryter något eller skapar problem hos din enhet som orsakar dataförlust eller prestandakorruption.
När du har den senaste versionen av varje viktigt dokument eller projekt kan du undvika mycket frustration. Det är praktiskt när skadeprogram kommer från ingenstans. Använd Data Recovery Pro för systemåterställning.