勒索病毒GlobeImposter家族最新变种分析,中了GlobeImposter勒索病毒如何处理?
作者:互联网
什么是GlobeImposter勒索病毒?
GlobeImposter是一种仿冒Purge(Globe)勒索病毒类型的病毒 。***后,GlobeImposter加密各种文件并追加:“ 。[blellockr@godzym.me] .bkc ”,“ .IGAMI ”,“。tabufa ”,“ .FIT ”,“ .ANAMI ”,“ .crypted_bizarrio @ pay4me_in ”, “ .FORESTGUST ”,“ 。[dsupport@protonmail.com] ”,“ .BOOTY ”,“ .ONYX ”,“ .MARK ”,“ .emilysupp ”,“ .ALCO2 + ”,“ .ALCO4 + ”,“ .BUNNY + ”,“ .CRAZY + ”,“ .LIN +“,” .CHAK2 “,” .SEXY3 “,. suddentax ”,“ 。$ MENTOS $ ”,“ .DREAM ”,“ .crypted! ”,“ .FREEMAN ”,“ .waiting4keys ”,“ 。[Traher @ Dr [ .Com ] “,”。Nutella “,”。encencenc “,”。DIZEL “,”。Codificado “,”。Ipcrestore “,”。PANDA “,”。BIG1 “,”。SEXY “,”。kimchenyn “, “ 。AK47 ”,“。rrr ”,“ ... doc ”,“。restorefile ”,“.CHAK ”,‘ 林 ’,‘ .Chartogy ’, “ .POHU ”, “ .crypt_fereangos @ airmail_cc ”,“{jeepdayz@aol.com} BIT ”, “ .TRUE ”, “ .VYA ”,“ 。pliNGY “ ” .ñ1crypt “, ” .foSTE “,‘ .YAYA ’,‘ .nWcrypt ’, ” .needkeys “, ” 0.490 “, ” 0.4035 “, ” .f41o1 “, ” 0.911 “,” 。clinTON “,” ..txt “,”.BUSH “,” .illNEST “,” .write_on_email,“ .needdecrypt ”,“ .reaGAN ”,“ .zuzya ”,“ .granny ”,“ .zuzya ”,“ .UNLIS ”,“ .LEGO ”,“ .NIGGA ”,“ .0402 ”,“ .trump ” ,“ .BONUM ”,“ .rumblegoodboy ”,“ ..txt ”,“ .ACTUM ”,“ .492 ”,“ .astra ”,“ .coded ”,“ .mtk118 ”,“ .cryptch ”,“ 。PLIN “,” .sea “,” .help “,” ..726 “,”.RECT “,” .ocean “,” .rose “,” .GLAD “,” .725 “,” 。[tramkal@protonmail.ch] cryptall “,” .write_me_ [btc2017@india.com] “,” 。 BRT92 “,” p1crypt “,”。MAKB “,”。skunk “,”。au1crypt “,”。GOTHAM “,”。s1crypt “,”。GORO “,”。707 “,”。3ncrypt3d “,。626,.blcrypt,。blscrypt ,.nopasaran,“ .xyrpottim228 @ ya.ru ”,“.VAPE “ ” .crypt “, ” .pscrypt “, ” .oni “, ” .pizdosik “,”[File-Help1@Ya.Ru] “,” [aezakmi@india.com] “” 。 GRAF,.fix,.virginprotection,.WRITE_US,.MIXI,.HAPP,.troy,.write_us_on_email,.PRIAPOS,.515、. nCrypt “,” 。hNcrypt ”,“。medal ”,“。paycyka ”,“。2cXpCihgsVxB3 ”,“.vdul ”,“。keepcalm ”,“。legally ”,“。crypt ”,“。wallet ”或“ .pizdec”扩展名到每个加密文件的名称。例如,“ sample.jpg ”重命名为“ sample” .jpg.crypt “继成功加密,GlobeImposter创建一个HTA文件(” HOW_OPEN_FILES.hta “),将它包含加密文件的每个文件夹中。在这种勒索软件商店的一些较新的变种他们的赎金要求苛刻的消息 how_to_back_files.html,READ_this_FILE。 html,Read_ME.html,!SOS!.html,here_your_files!.html,!back_files!.html,#DECRYPT_FILES#.html,READ_IT.html或!your_files !.html文件。此外,GlobeImposter将打开一个弹出窗口。
有数十种类似于GlobeImposter的勒索软件,包括 Satan,Cerber和 HakunaMatata。-这些只是许多例子。所有人都有相同的行为-他们加密文件并提出赎金要求。它们之间只有两个主要区别:1)使用的加密类型,以及 2)赎金的大小。分配方法也相同。犯罪分子使用垃圾邮件(恶意附件),对等(P2P)网络(torrent,eMule等),第三方软件下载源(免费文件托管和免费软件下载网站等)来传播勒索软件类型的恶意软件,假冒的软件更新程序和***。因此,在打开从可疑/无法识别的电子邮件接收的文件以及从非官方来源下载软件时,请务必谨慎。
威胁摘要: | |
名称 |
GlobeImposter病毒 |
威胁类型 |
勒索软件,加密病毒,文件柜 |
检测名称 |
Avast(FileRepMalware),BitDefender(Generic.Ransom.GlobeImposter.817E85C2),ESET-NOD32(Win32 / Filecoder.FV的变体),卡巴斯基(HEUR:Trojan.Win32.Generic) |
病征 |
无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名,例如my.docx.locked。要求赎金的消息显示在您的桌面上。网络罪犯要求支付赎金(通常以比特币支付)以解锁您的文件。 |
分配方式 |
受感染的电子邮件附件(宏),洪流网站,恶意广告。 |
损伤 |
所有文件均已加密,未经勒索无法打开。可以将其他密码窃取***和恶意软件感染与勒索软件感染一起安装。 |
使您安装的应用程序保持最新,并使用合法的防病毒/反间谍软件套件也很重要。但是请注意,网络罪犯经常使用第三方更新工具来利用软件错误/缺陷来感染系统。因此,仅使用官方更新程序更新您的应用程序。计算机安全的关键是谨慎。
中了GlobeImposter家族勒索病毒文件怎么恢复?
此类勒索病毒属于:GlobeImposter家族 ,目前暂时不支持解密
1.如果文件不急需,可以先备份等***被抓或良心发现,自行发布解密工具
2.如果文件急需,可以扫码添加服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案,或者寻求其它第三方解密服务。
预防勒索病毒-日常防护建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括:
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
标签:文件,加密,GlobeImposter,html,勒索,软件,病毒 来源: https://blog.51cto.com/u_15171381/2754480