GlobeImposter-Ransomware-Virus Entfernen

-
 0
Typ: Erpressersoftware(Ransomware)
 

Varianten der Ransomware GlobeImposter verbreiten sich großflächig und ahmen die ältere und überlegene Version der Globe-Infektion nach. Als Erstes fällt einem die Lösegeldforderung ins Auge, die in einem ähnlichen Stil verfasst ist. Jedoch sind unterschiedliche E-Mail-Adressen angegeben. Aus den Kontaktinformationen lässt sich also schließen, dass einige Varianten nicht von denselben Leuten stammen: Im Lauf des Jahres 2017 haben die Autoren der GlobeImposter-Versionen folgende E-Mail-Adressen hinterlassen: chines34@protonmail.ch, btc2017@india.com, oceannew_vb@protonmail.com.

Das Neueste über die Ransomware GlobeImposter

Seit dem Sommer 2017 schießen Versionen der GlobeImposter-Kryptoviren wie die Pilze aus dem Boden. Eine davon hat die Datei-Endung .skunk mit svchost.exe als Nutzlast. Darüber wurde festgestellt, dass die Endung .gotham zu den zwielichtigen Entwicklern des FakeGlobe-Virus gehört. Die Variante A1Lock wurde schnell als Teil dieser Viren-Familie enttarnt: Sie hinterließ die Endung .707 für die verschlüsselten Daten. Eine weitere Variante des FakeGlobe-Schädlings fügte die Endung .[email].BRT92 an und fordert das Lösegeld in HOW_DECRYPT_FILES#.html.


Globe Imposter virus


Laut einem alarmierenden News-Artikel (PSCrypt is based on FakeGlobe), basiert PSCrypt-Ransomware auf dem Datei-Encoder von GlobeImposter. Anscheinend wurde der Kryptovirus FakeGlobal als RaaS (Ransomware as a service) verkauft).

Man hat herausgefunden, dass die Ransomware GlobeImposter ihren Schwung besonders durch MalSpam erhalten hat (Malware traffic analysis), der sich gegen Personen aus den Vereinigten Staaten und der Europäischen Union gerichtet hat. Zusätzlich hat das Necurs-Botnet die Verbeitung der FakeGlobe-Ransomware unterstützt. Necurs war bereits in die Verbreitung von Locky verwickelt. Einige Security-Forscher haben darauf hingewiesen, dass diese beiden Viren über doppelte Spam-Kampagnen unter die Leute gebracht werden (Locky and FakeGlobe).

Wir sind leider noch lange nicht fertig. Wir konnten außerdem Varianten identifizieren, die .f**k_you_ av_we_are_not_globe_fake, .write_me_[btc2017@india.com] anhängen. Als lustiges Detail am Rande bemerkten wir, dass eine ältere Version von GlobeImposter die Endung .ocean benutzte, eine der neueren jedoch .sea anfügte. Im August fanden wir Endungen wie .mtk118, .492 und .coded. Obwohl es danach aussieht, dass wir niemals alle Spuren aufzählen können, sehen wir dennoch Licht am Ende des Tunnels.

Es sind außerdem Versionen von GlobeImposter aufgetaucht, die ID-Nummern las Endungen verwenden. Jedoch gibt es mehr Varianten, die dieselben Endungen für alle Opfer anhängen. So wurden zum Beispiel im August folgende Endungen entdeckt: .ACTUM, .BONUM, .NIGGA, .rumblegoodboy und .0402. Es gab sogar eine unanständige Endung namens .f*ck, mit Sternchen statt dem Buchstaben. Zusätzlich sind folgende weitere Endungen aufgetreten: .GRANNY, .UNLIS, .LEGO, .zuzya, .needdecrypt, .write_on_email, .911, .f41o1, .YAYA, .needkeys, .nWcrypt.


Globe Imposter variants

Dann haben sich die Hacker entschieden, die Namen von Präsidenten zu nutzen und diese in ihre Ransomware-Infektionen einzubauen. Deshalb gibt es Endungen wie .ReaGan, .BUSH, .Bill_Clinton@derpymailorg, und .reaGAN. Es wurde betont, dass man sich über diese GlobeImposter schlau machen sollte, was erklärt, dass diese Varianten nicht aufhören aufzutauchen und für längere Zeit eine Bedrohung bleiben werden (Facts about FakeGlobe).


Globe Imposter .rose

Betrachtung der unterschiedlichen Samples des FakeGlobe-Virus

Es ist ziemlich schwierig, all die Erweiterungen zu zählen, die GlobeImposter an die Dateien anhängt, die er mittels Verschlüsselung zerstört. Eines der jüngsten Beispiele ist die Endung .help. Diese Variante ist seit dem 2. August aktiv und sie trägt encm3.exe als Nutzlast.

Seit dem 1. August gibt es eine weitere Variante mit der Endung .726. Die gleiche Variante war bereits seit einiger Zeit aktiv, fügte jedoch stattdessen .725 an und pflanzte die Datei RECOVER-FILES-726.html ein, die vom Standardbrowser des Opfers geöffnet werden sollte.

Am 31. Juli tauchte eine weitere Variante der FakeGlobe-Malware auf und sie gab sich an der Endung .ocean zu erkennen sowie der Datei !back_files!.html. Ungefähr zur selben Zeit, wurden Malspam-Kampagnen festgestellt, deren ausführbare Dateien als Nutzlast die GlobeImposter auf die Rechner schleusten. Das Necurs-Botnet war eines der Werkzeuge, das erfolgreich verwendet wurde, um diese Spam-Mails zu verteilen.


Globe Imposter emails

In manchen Fällen wandten die Hacker wenig Mühe auf, um die Nutzer von der Echtheit der Mails zu überzeugen. Es sieht danach aus, als ob leere Mails ohne Text verschickt worden sind, nur mit einem Attachment. Obwohl einige Mails durchaus glaubwürdig sein können, sollten Mails ohne jeglichen Text sofort die Alarmglocken schrillen lassen.

Eine Variante von GlobeImposter namens A1Lock konnte auch identifiziert werden und sie erreichte die Nutzer durch die Nutzlast KSSOIFUSIOHRQW.exe. Sie fügte die Endung .rose an und pflanzte die Datei „how_to_back_files.html“ ein. Diese Variante hob sich von den anderen ab, da ihre Html-Datei eine Nachricht erschienen ließ, die sich von den bisher besprochenen Varianten unterschied. Aufgefallen ist uns außerdem das Sample i-absolutus@bigmir.net-A, das als Endung {email}.BRT92 anhängt und bereits in freier Wildbahn aufgetreten ist, zusammen mit der Datei #HOW_DECRYPT_FILES#.html.

Entschlüsselung dieser Kryptoviren

Bevor Sie die mögliche Methode zu Rettung Ihrer Dateien anwenden, sollten sie zunächst die Malware loswerden, unter dem Ihr System gerade zu leiden hat. Jede Malware bekämpfende Anwendung wird Ihnen dabei behilflich sein, aber wir legen Ihnen dazu Reimage ans Herz. Wenn Sie das versäumen, wird der Krypto-Virus wiederholt Ihre Dateien verschlüsseln. Falls sich Ihr System über RDP infiziert hat, sollen Sie die Passwörter für alle Nutzer ändern.

Eine der ersten Varianten von GlobeImposter fügte die Endung .crypt an. Diese Version kann mit dem Emsisoft Decrypter dechiffriert werden. Andere Varianten könnten damit vielleicht auch zu knacken sein, aber Sie müssen sich genau an die Anleitung des Anbieters halten. Falls das nicht funktioniert, schlagen wir ihnen vor, andere Alternativen zu probieren. Einige davon diskutieren wir im nächsten Abschnitt.

Welche Strategien wenden Ransomware-Schädlinge zur Verbreitung an?

Diese Sorte von Krypto-Viren wird hauptsächlich durch Spam-Mails mit Attachments verbreitet. Natürlich könnten auch andere Strategien zur Anwendung kommen, aber es handelt sich um die am meisten vorherrschende Taktik. Es wurde beobachtet, dass die Nutzlasten über unsichere Webseiten oder sogar Online-Reklame ausgeliefert wurden. Ungeschützte Remote-Desktop-Protokolle gerieten in manchen Fällen auch ins Visier. Wenn Sie gegen den Schrecken immun sein wollen, den Ransomware mit sich bringt, sollten Sie versuchen, Ihre Dateien auf Online-Speicher hochzuladen oder zu anderen Orten, die Ihnen als alternative Quelle für Ihre Dateien dienen können.

Wenn die Versionen auf Ihrer Festplatte verschlüsselt werden, ist es wichtig, Kopien davon zu besitzen. Man muss es eigentlich nicht besonders betonen, aber öffnen Sie niemals Nachrichten von E-Mail-Adressen, die Sie nicht kennen. Und schließlich möchten wir Sie daran erinnern, dass einige Krypto-Viren über die sozialen Netzwerke verbreitet werden.


Programme zur automatischen Entfernung von GlobeImposter-Ransomware-Virus

 
 
Hinweis: Reimage findet Parasiten wie GlobeImposter-Virus und hilft Ihnen dabei, diese kostenlos zu entfernen.Sie können die entdeckten Dateien, Prozesse und Registry-Einträge selbst entfernen oder die Vollversion des Programms kaufen.  We might be affiliated with some of these programs. Full information is available in disclosure

Wie entferne ich GlobeImposter-Ransomware-Virus mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem GlobeImposter-Virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von GlobeImposter-Ransomware-Virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit GlobeImposter-Virus in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von GlobeImposter-Ransomware-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht GlobeImposter-Virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

     
 
 
November 8, 2017 08:31, November 8, 2017 08:31
 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.