勒索病毒GlobeImposter家族最新变种分析,中了GlobeImposter勒索病毒如何处理?
作者:互联网
什么是GlobeImposter勒索病毒?
GlobeImposter是一种仿冒Purge(Globe)勒索病毒类型的病毒 。***后,GlobeImposter加密各种文件并追加:“ 。[blellockr@godzym.me] .bkc ”,“ .IGAMI ”,“。tabufa ”,“ .FIT ”,“ .ANAMI ”,“ .crypted_bizarrio @ pay4me_in ”, “ .FORESTGUST ”,“ 。[dsupport@protonmail.com] ”,“ .BOOTY ”,“ .ONYX ”,“ .MARK ”,“ .emilysupp ”,“ .ALCO2 + ”,“ .ALCO4 + ”,“ .BUNNY + ”,“ .CRAZY + ”,“ .LIN +“,” .CHAK2 “,” .SEXY3 “,. suddentax ”,“ 。$ MENTOS $ ”,“ .DREAM ”,“ .crypted! ”,“ .FREEMAN ”,“ .waiting4keys ”,“ 。[Traher @ Dr [ .Com ] “,”。Nutella “,”。encencenc “,”。DIZEL “,”。Codificado “,”。Ipcrestore “,”。PANDA “,”。BIG1 “,”。SEXY “,”。kimchenyn “, “ 。AK47 ”,“。rrr ”,“ ... doc ”,“。restorefile ”,“.CHAK ”,‘ 林 ’,‘ .Chartogy ’, “ .POHU ”, “ .crypt_fereangos @ airmail_cc ”,“{jeepdayz@aol.com} BIT ”, “ .TRUE ”, “ .VYA ”,“ 。pliNGY “ ” .ñ1crypt “, ” .foSTE “,‘ .YAYA ’,‘ .nWcrypt ’, ” .needkeys “, ” 0.490 “, ” 0.4035 “, ” .f41o1 “, ” 0.911 “,” 。clinTON “,” ..txt “,”.BUSH “,” .illNEST “,” .write_on_email,“ .needdecrypt ”,“ .reaGAN ”,“ .zuzya ”,“ .granny ”,“ .zuzya ”,“ .UNLIS ”,“ .LEGO ”,“ .NIGGA ”,“ .0402 ”,“ .trump ” ,“ .BONUM ”,“ .rumblegoodboy ”,“ ..txt ”,“ .ACTUM ”,“ .492 ”,“ .astra ”,“ .coded ”,“ .mtk118 ”,“ .cryptch ”,“ 。PLIN “,” .sea “,” .help “,” ..726 “,”.RECT “,” .ocean “,” .rose “,” .GLAD “,” .725 “,” 。[tramkal@protonmail.ch] cryptall “,” .write_me_ [btc2017@india.com] “,” 。 BRT92 “,” p1crypt “,”。MAKB “,”。skunk “,”。au1crypt “,”。GOTHAM “,”。s1crypt “,”。GORO “,”。707 “,”。3ncrypt3d “,。626,.blcrypt,。blscrypt ,.nopasaran,“ .xyrpottim228 @ ya.ru ”,“.VAPE “ ” .crypt “, ” .pscrypt “, ” .oni “, ” .pizdosik “,”[File-Help1@Ya.Ru] “,” [aezakmi@india.com] “” 。 GRAF,.fix,.virginprotection,.WRITE_US,.MIXI,.HAPP,.troy,.write_us_on_email,.PRIAPOS,.515、. nCrypt “,” 。hNcrypt ”,“。medal ”,“。paycyka ”,“。2cXpCihgsVxB3 ”,“.vdul ”,“。keepcalm ”,“。legally ”,“。crypt ”,“。wallet ”或“ .pizdec”扩展名到每个加密文件的名称。例如,“ sample.jpg ”重命名为“ sample” .jpg.crypt “继成功加密,GlobeImposter创建一个HTA文件(” HOW_OPEN_FILES.hta “),将它包含加密文件的每个文件夹中。在这种勒索软件商店的一些较新的变种他们的赎金要求苛刻的消息 how_to_back_files.html,READ_this_FILE。 html,Read_ME.html,!SOS!.html,here_your_files!.html,!back_files!.html,#DECRYPT_FILES#.html,READ_IT.html或!your_files !.html文件。此外,GlobeImposter将打开一个弹出窗口。
有数十种类似于GlobeImposter的勒索软件,包括 Satan,Cerber和 HakunaMatata。-这些只是许多例子。所有人都有相同的行为-他们加密文件并提出赎金要求。它们之间只有两个主要区别:1)使用的加密类型,以及 2)赎金的大小。分配方法也相同。犯罪分子使用垃圾邮件(恶意附件),对等(P2P)网络(torrent,eMule等),第三方软件下载源(免费文件托管和免费软件下载网站等)来传播勒索软件类型的恶意软件,假冒的软件更新程序和***。因此,在打开从可疑/无法识别的电子邮件接收的文件以及从非官方来源下载软件时,请务必谨慎。
威胁摘要: | |
名称 | GlobeImposter病毒 |
威胁类型 | 勒索软件,加密病毒,文件柜 |
检测名称 | Avast(FileRepMalware),BitDefender(Generic.Ransom.GlobeImposter.817E85C2),ESET-NOD32(Win32 / Filecoder.FV的变体),卡巴斯基(HEUR:Trojan.Win32.Generic) |
病征 | 无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名,例如my.docx.locked。要求赎金的消息显示在您的桌面上。网络罪犯要求支付赎金(通常以比特币支付)以解锁您的文件。 |
分配方式 | 受感染的电子邮件附件(宏),洪流网站,恶意广告。 |
损伤 | 所有文件均已加密,未经勒索无法打开。可以将其他密码窃取***和恶意软件感染与勒索软件感染一起安装。 |
使您安装的应用程序保持最新,并使用合法的防病毒/反间谍软件套件也很重要。但是请注意,网络罪犯经常使用第三方更新工具来利用软件错误/缺陷来感染系统。因此,仅使用官方更新程序更新您的应用程序。计算机安全的关键是谨慎。
中了GlobeImposter家族勒索病毒文件怎么恢复?
此类勒索病毒属于:GlobeImposter家族 ,目前暂时不支持解密
1.如果文件不急需,可以先备份等***被抓或良心发现,自行发布解密工具
2.如果文件急需,可以扫码添加服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案,或者寻求其它第三方解密服务。
标签:文件,加密,GlobeImposter,html,勒索,病毒 来源: https://blog.51cto.com/u_15171376/2714579