Table des matières
Apprenez à faire face à l’attaque GlobeImposter 2.0 Ransomware et essayer de récupérer des fichiers cryptés sans payer une rançon Bitcoin pour les auteurs.
L’environnement de logiciels malveillants crypto s’est développé assez complexe pour produire des retombées et même des imposteurs qui imitent l’apparence et la sensation de certains brins de virus populaires. L’échantillon appelé GlobeImposter 2.0 n’est pas seulement un imitateur de la jonque du globe de la rançon prolifique, mais il est en train d’être l’un des plus répandus et les plus dangereux des souches malveillantes de cryptage de fichiers dans la nature. Bien qu’il soit considéré comme une imitation de la famille célèbre Globe Ransomware, il peut avoir déjà surperformé le prototype en termes de la base de la victime et la diversité de ses tactiques. L’opinion selon laquelle une imitation est toujours Lamer que l’original ne semble pas s’appliquer dans ce cas.
Suite de la plupart des distributeurs de rançon, les architectes de la campagne GlobeImposter 2.0 ont choisi de s’en tenir à malspam comme la principale méthode de livraison de charge utile. Les e-mails piégés à regarder dehors ont tendance à être camouflés comme des factures. Le fichier zip ou rar incorporé, lorsqu’il est déballé, contient un objet vbs ou js endommagé qui télécharge le code de perpétration sur l’ordinateur en un clin d’œil et dans les coulisses.
Cette phase de l’incursion est terminée, le virus GlobeImposter 2.0 traverse les volumes de disque local et les partages réseau pour les données qui peuvent être signalées comme potentiellement importantes. Au cours de cette reconnaissance, il ignore les éléments liés au système comme les exe pour garantir des performances Windows stables. Le rachat utilise ensuite la norme cryptographique RSA-2048 de la clé publique pour verrouiller toutes les entrées repérées lors de l’analyse qui correspondent à une liste de formats prédéfinis.
Parallèlement à la modification de la structure profonde des données personnelles de la victime, le parasite sous-joint une nouvelle extension à chaque fichier biaisé. Les chaînes ajoutées sont généralement composées de 4 ou 5 caractères. La liste des extensions que l’infection a récemment utilisé pour l’imperfection des fichiers proies comprend. 726,. 725,. 0402,. Trump,. zuzya,. Sea,. Ocean,. crypt,. pscrypt,. rose,. unlis,. Granny,. Coded,. LEGO,. cryptall,. plin,. write_us,. {saruman7@india.com}. BRT92, et. {asnaeb7@india.com}. BRT92. Les noms de fichier d’origine ne changent pas et simplement obtenir l’un des ci-dessus, ou un autre, chaîne apposée à la fin. Notez qu’il peut y avoir un point supplémentaire avant l’extension. Par exemple, une entrée nommée Sunrise. bmp deviendra Sunrise. bmp.. 726 ou similaire.
L’interaction entre GlobeImposter 2.0 et l’utilisateur en proie à la peste est établie via les soi-disant notes de sauvetage. Dans ce cas, ce sont des documents nommés Recover-files. html qui apparaissent sur le bureau et à l’intérieur des dossiers avec des fichiers chiffrés. Le nom peut en outre contenir une chaîne correspondant à l’extension de fichier concaténée, en supposant une forme comme Recover-Files-726. html. Le contenu est écrit en anglais médiocre, ce qui est un indice suggérant que les acteurs de la menace ne sont pas anglophones natifs. La partie Alert du texte va, « vos fichiers sont cryptés! Pour la récupération de données besoins décrypteur. Les criminels contraindre la victime à cliquer sur le bouton « Oui, je veux acheter », ce qui conduit à une page Tor conçu spécifiquement pour le rachat de ses fichiers par la rançon. Le montant est quelque part autour de 0,35 BTC, qui vaut environ $1 500 au moment de cette écriture. Pour prouver que le décryptage est faisable du tout, les criminels offrent à la victime de restaurer 1 fichier gratuitement.
Suivre les instructions des attaquants est une pente glissante. Le risque est élevé qu’ils ne fourniront jamais la clef privée de RSA avec le logiciel de décryptage même dans le cas où le paiement est soumis. Donc, la première chose sur une victime de faire la liste est de vérifier si les solutions de contournement ci-dessous peuvent faire l’affaire et au moins restaurer certains fichiers.
La suppression automatique du ransomware GlobeImposter 2.0
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers GlobeImposter 2.0
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restaurer des fichiers cryptés par GlobeImposter 2.0
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier GlobeImposter 2.0 crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez si le ransomware GlobeImposter 2.0 a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.
Télécharger le suppresseur du logiciel de rançon GlobeImposter 2.0