Supprimer Globe Imposter virus (Guide de suppression) - Août 2017 mise à jour

Quel est Le virus rançongiciel Globe Imposter?

Présentation de la famille en plein essor du virus Globe Imposter

Le virus Globe Imposter est un virus crypto-rançongiciel malveillant qui imite l'infâme rançongiciel Globe / Globe ransomware et encode les fichiers pour que les malfaiteurs puissent vendre la clé de décryptage à leurs propriétaires et gagner de l'argent . Une fois que le chiffrement des fichiers est effectué, le virus les marque avec des extensions de fichiers spécifiques.

Selon la version du virus, le logiciel malveillant GlobeImposter peut ajouter des fichiers avec les extensions suivantes:

.goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[byd@india.com]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[btc2017@india.com] and .skunk.

Les rapports habituels des victimes attaquées par ce virus montrent que les développeurs de ce rançongiciel changent continuellement leurs coordonnées et fournissent des adresses électroniques ou BitMessage différentes dans les notes de rançon (ces documents peuvent être étiquetés HOW_OPEN_FILES.hta, how_to_back_files.html, RECOVER-FILES.html, !back_files!.html, #HOW_DECRYPT_FILES#.html) y compris :

• write_me_[btc2017@india.com],
• 511_made@cyber-wizard.com,
• btc.me@india.com
• chines34@protonmail.ch
• decryptmyfiles@inbox.ru
• garryweber@protonmail.ch
• keepcalmpls@india.com
• happydaayz@aol.com
• strongman@india.com
• support24@india.com
• support24_02@india.com
• oceannew_vb@protonmail.com
• asnaeb7@india.com
• asnaeb7@yahoo.com
• i-absolutus@bigmir.net
• laborotoria@protonmail.ch
• filesopen@yahoo.com
• openingfill@hotmail.com
• crypt@troysecure.me
• troysecure@yandex.by
• troysecure@yahoo.com

Étant donné que les développeurs de logiciels malveillants ne donnent pas toujours des noms à leurs créations malveillantes, la communauté des experts informatique les nomment souvent d'après les extensions ou les adresses des courriers électroniques utilisés pour la communication avec les victimes. Néanmoins, pour rendre les choses plus simples, ce parasite a été appelé Globe Impostor ou Fake Globe. Nous voulons souligner que, malgré le fait que ces virus ne sont que des versions de la copie du parasite original, cela ne supprime en rien leur caractère destructeur.

Le virus Fake Globe peut crypter les fichiers aussi rapidement que n'importe quel autre rançongiciel développé à partir de rien. Étant donné qu'il existe de nombreuses variantes de ce rançongiciel, nous pouvons tout seulement dire que certains virus ont tendance à utiliser les chiffrements RSA et AES que la plupart des rançongiciels utilisent dans leurs attaques . Bien que certaines versions de ce logiciel malveillant peuvent être déchiffrées, le reste demeure extrêmement dangereux.

Les experts en sécurité d'Emsisoft ont réussi à créer un outil de décryptage de ce rançongiciel – un décrypteur gratuit de Globe Imposter qui permet aux victimes de ce rançongiciel de récupérer leurs fichiers et de rétablir le bon état de leurs ordinateurs . Au moment de la rédaction de cet article, cet outil de sauvetage a déjà été téléchargé environ 11844 fois, ce qui ne fait que prouver que le parasite se répand rapidement et que tout le monde devrait prendre des mesures pour protéger ses appareils contre cette menace.

S'il est déjà trop tard pour que vous puissiez prendre des mesures préventives, reportez-vous au bas de cet article pour télécharger le décrypteur et apprendre comment supprimer Globe Imposter de votre ordinateur. Nous suggérons d'utiliser un logiciel antivirus de renom comme FortectIntego pour réparer correctement votre appareil.

Le virus rançongiciel Globe se présente sous différentes formes et langues. Vous pouvez voir quelques exemples de ce rançongiciel ci-dessous.

Globe Imposter calque toutes les principales caractéristiques du virus Globe original. Il ajoute certaines extensions de fichiers aux fichiers chiffrés et dépose un fichier .html ou .hta avec les instructions de paiement de rançon à chaque dossier affecté sur l'ordinateur. La bonne nouvelle est que le virus ne déforme généralement pas les noms de fichiers originaux, de sorte qu'ils peuvent être facilement gérés après que le virus soit décrypté.

Vous devez également garder à l'esprit que les développeurs de ce virus utiliseront les tactiques démoralisantes pour détourner l'attention des utilisateurs sur d'autres alternatives de récupération de données. Donc, vous devriez toujours vérifier en premier si les analystes en virus n'ont pas trouvé un décrypteur gratuit. Dans ce cas particulier, vous avez de la chance, car vous pourrez récupérer vos fichiers et compléter la suppression de Globe Imposter sans subir de conséquences graves.

Les variantes actuelles et actives de Globe Imposter :

Le virus Globe Imposter 2.0

C'est une autre copie mal faite, mais légèrement améliorée, du rançongiciel Globe. Cette version particulière ajoute les extensions .FIX aux fichiers de la victime qu'elle crypte d'abord avec un puissant algorithme de cryptage, les rendant illisibles.

Les stratégies d'infiltration du virus varient des campagnes anti-spam aux téléchargements par lecteur ou aux annonces trompeuses. Il n'y a pratiquement aucun moyen de savoir quand le virus va frapper. Bien que le virus Globe Imposter d'origine ait été déchiffré avec succès, les experts en logiciels malveillants n'ont pas réussi à répéter leur succès avec la version 2.0, et ce parasite reste encore inébranlable.

C'est pourquoi il est toujours recommandé de conserver des sauvegardes de vos fichiers les plus importants quelque part, où le script malveillant de ce rançongiciel ne pourrait pas les atteindre et les crypter. De cette façon, vous aurez toujours un plan de récupération de sauvegarde au cas où vos données seraient corrompues.

Globe Imposter version allemande

Pour atteindre plus de victimes, les développeurs des rançongiciels adaptent souvent leurs créations malveillantes pour cibler des pays spécifiques en s'adressant aux utilisateurs dans leur langue maternelle.

La version allemande de ce rançongiciel est un exemple parfait illustrant cette stratégie: la note de rançon comportant des explications sur la façon de récupérer les fichiers cryptés est présentée en allemand. Les criminels demandent 0,5 Bitcoin pour la clé de récupération des données. Une fois l'argent transféré, les victimes doivent envoyer une capture d'écran de la transaction à une adresse électronique indiquée – decryptmyfiles@inbox.ru.

Mais même l'observance de toutes les demandes des criminels ne garantit pas que les fichiers seront récupérés. Ces arnaqueurs sont imprévisibles et peuvent carrément disparaître avec votre argent. C'est pour cette raison que nous recommandons de se mettre en sécurité en effectuant l'élimination de la version allemande de Globe Imposter de préférence.

Le virus KeepCalm

Ce virus crypte les fichiers et leur ajoute les extensions .keepcalm, ce qui lui a valu son nom. Le parasite exécute un script de cryptage puissant pour rendre les fichiers de la victime illisibles et propose ensuite de déchiffrer les fichiers seulement si la victime est disposée à payer une somme considérable.

Les extorqueurs donnent une description plus détaillée de la récupération des données dans la note de rançon appelée HOW_TO_BACK_FILES.html. /COMMENT_RÉCUPÉRER_LES_FICHIERS.html. En fait, les victimes doivent contacter les criminels par l'adresse courriel keepcalmpls@india.com. La capture d'écran du paiement de la rançon ainsi que l'identifiant (ID) personnel doivent être envoyés à cette adresse pour pouvoir recevoir l'outil de décryptage. Malheureusement, ce n'est pas ce qui se passe généralement.

Au contraire, les criminels ont tendance à prendre la clé des champs dès qu'ils reçoivent l'argent dans leurs poches, laissant les victimes coincées avec un tas d'informations non décryptables. Si vous vous retrouvez dans une telle situation, tout ce que vous pouvez faire, c'est de supprimer KeepCalm du périphérique infecté et de contourner le cryptage d'une autre façon, plus sécuritaire.

Le virus Wallet Globe Imposter

Au début de mai 2017, une nouvelle version du faux virus Globe a été détectée. Cette fois, il utilise les extensions de fichier .wallet pour usurper l'identité du rançongiciel Dharma, qui est connu pour marquer les fichiers cryptés avec l'extension de fichier .wallet .

Le rançongiciel dépose la note de rançon how_to_back_files.html sur le bureau, laquelle contient l'identifiant de la victime et l'adresse BitMessage des criminels au cas où la victime voudrait les joindre – BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U [@] bitmessage.ch.

Le virus supprime les copies masquées de volume pour empêcher la victime de restaurer leurs fichiers sans payer la rançon.

Le virus d'extension de fichier .s1crypt

Ce parasite sert de variante supplémentaire pour ce rançongiciel. Il présente ses exigences dans la note de rançon how_to_back_files.html. Il informe également les utilisateurs que tous leurs documents et données ont été chiffrés.

Pour décrypter leurs fichiers, les victimes doivent acheter un décodeur spécifique qui coûte apparemment 2 bitcoins. Inutile de préciser que cet outil n'augmente pas les chances de récupération des données.

Par ailleurs, les développeurs fournissent également trois liens supplémentaires pour les utilisateurs qui ne savent pas comment acheter des bitcoins. En cas de difficultés techniques, ils peuvent contacter l'auteur par laboratoria@protonmail.ch.

Les symboles finales de cet adresse email laisse croire que le cybercriminal concerné peut avoir un domaine enregistré sur le territoire de la Suisse. Encore une fois, cela peut tout ausi bien n'être qu'une diversion. Les outils antivirus peuvent identifier ce logiciel malveillant comme Trojan.Generic.DB75052.

Le virus d'extension de fichier .au1crypt

Ce maliciel fonctionne comme le pendant de l'ancienne version. Son interface graphique diffère également. L'identifiant semble être issu de la cryptographie AES et RSA. La note de rançon, how_to_back_files.html, explique que les fichiers des utilisateurs ont été chiffrés en raison d'un « problème de sécurité avec votre PC ».

Contrairement à l'ancienne version, qui indiquait l'adresse bitcoin, cette version oblige les utilisateurs à contacter les cybercriminels par l'adresse email summerteam@tuta.io et summerteam@india.com. Bien qu'il semble que le logiciel malveillant soit plutôt un « divertissement d'été » pour les pirates, la communauté virtuelle devrait rester vigilante.

En ce moment, ce cheval de Troie est identifiable à Variant.Adware.Graftor.lXzx.

Le virus d'extension de fichier .goro

Ce virus cible spécifiquement les victimes par le biais des protocoles de bureau à distance (RDP) faibles. Comme la version est encore nouvelle, il n'y a pas encore de décrypteur. Les développeurs utilisent également une note de rançon .html similaire pour donner des instructions.

Vous pouvez mettre fin à la tâche goro.exe sur votre Gestionnaire des tâches pour interrompre le processus du logiciel malveillant. Cette version est également associée à la version du Virus Wallet de la famille du rançongiciel Dharma.

À l'heure actuelle, cette variation est détectable en tant que Trojan [Ransom] /Win32.Purgen, Arcabit Trojan.Ransom.GlobeImposter.1 par la plupart d'applications de sécurité. L'adresse email Mk.goro@aol.com est un autre indicateur de cette version.

Le virus d'extension de fichier .{email}.BRT92

Ce virus fait ce que son nom suggère – il ajoute les extensions {email}.BRT92 aux fichiers chiffrés. En plus de la nouvelle extension, cet homologue du virus Globe affiche sa note de rançon par le fichier # HOW_DECRYPT_FILES # .html.

Sur cette page html, les victimes reçoivent un numéro d'identité personnel qui est essentiellement un code qui aide les auteurs à différencier leurs victimes.

Les pirates informatiques indiquent deux adresses emails asnaeb7@india.com et asnaeb7@yahoo.com pour communiquer avec la victime.

Le virus d'extension de fichier .ocean

C'est l'une des versions du virus Globe qui s'est manifestée en 2017. Le virus ajoute les extensions .ocean et dépose une note intitulée ! Back_files !. html pour demander le paiement. Pour récupérer leurs fichiers, les victimes doivent contacter les criminels à l'adresse email oceannew_vb@protonmail.com.

Les pirates prétendent que le prix du décryptage des fichiers dépend de la rapidité avec laquelle la victime parvient à les contacter. Néanmoins, collaborer avec les criminels n'est jamais une bonne option car vous risquez de vous faire arnaquer.

Le virus A1Lock

A1Lock est l'une des versions les plus réussies du virus Globe Imposter. Il existe plusieurs versions de ce parasite et chacune d'elles ajoute des extensions de fichiers différentes. Nous connaissons actuellement les variantes qui utilisent les extensions .rose, .troy et .707.

La demande de rançon est généralement énumérée dans les documents intitulés How_to_back_files.html et RECOVER-FILES.html. Pour communiquer avec les victimes, les criminels indiquent les adresses suivantes: i-absolutus@bigmir.net, crypt@troysecure.me, troysecure@yandex.by et troysecure@yahoo.com.

Le virus d'extension de fichier .Write_me_[btc2017@india.com]

De par son design, cette version de Fake Globe diffère de la plupart des versions du virus. Néanmoins, il fonctionne exactement de la même manière: il crypte les fichiers et propose d'obtenir un décodeur payant. Les victimes qui sont disposées à payer pour leurs dossiers doivent contacter les criminels à l'adresse électronique btc2017@india.com.

Le risque ici est énorme parce que les criminels sont libres de disparaître après que les victimes aient payé pour obtenir le décrypteur. Dès lors, les fichiers que le parasite a marqués avec les extensions .Write_me_ [btc2017@india.com] resteront à jamais codés.

Les vecteurs de l'infiltration de GlobeImposter

Le rançongiciel GlobeImposter emploie les techniques traditionnelles de distribution des logiciels malveillants et se répand par les spams malveillants. D'autres vecteurs d'attaque connus sont les annonces chargées de logiciels malveillants ainsi que les téléchargements furtifs .

Comme la plupart de rançongiciels, cette variante dissimule sa charge destructrice sous des programmes légitimes ou des fichiers Windows pour que les potentielles victimes ne soupçonnent pas qu'ils téléchargent des fichiers malveillants sur leurs ordinateurs.

Pour protéger le système des attaques de logiciels malveillants, un logiciel antimaliciel efficace et actualisé est nécessaire. En outre, nous vous recommandons de trouver un espace de stockage externe pour conserver des copies de vos fichiers. Vous pouvez utiliser des clés USB, des disques durs externes ou tout autre appareil que vous préférez. N'oubliez pas de débrancher le péripérique de votre ordinateur !

Actualisé le 23 Mai 2017.

Le rançongiciel continue de modifier ses techniques d'attaque et, selon les derniers rapports, ce virus malveillant est soutenu par Blank Slate malspam qui est et était responsable de la distribution de Cerber .

Il s'avère que les fichiers malveillants ont été compressés dans les archives .zip dont le nom provient d'un ensemble de caractères de la note de rançon, par exemple 8064355.zip. Lorsqu'il est décompressé et exécuté, le fichier .js ou .jse de l'intérieur se connecte à un certain domaine et y télécharge le rançongiciel .

Les criminels ont tendance à changer régulièrement les domaines qui hébergent les rançongiciels, mais les domaines actuellement connus sont newfornz[.]top, pichdollard[.]top and 37kddsserrt[.]pw.

Actualisé le 1er Août 2017: La nouvelle campagne de Globe Imposter malspam (probablement basée sur le botnet Necurs) portant de nouveaux noms de sujets ont été repérés. Vous trouverez ci-dessous une liste d'adresses email, de titres de sujets et de fichiers joints associés à la distribution de Fake Globe:

• donotreply@jennieturnerconsulting.co.uk — Payment Receipt_72537 — P72537.zip
• donotreply@ritson.globalnet.co.uk — Payment 0451 — P0451.zip
• donotreply@vintageplanters.co.uk — Payment Receipt#039 — P039.zip
• donotreply@bowker61.fastmail.co.uk — Receipt 78522 — P78522.zip
• donotreply@satorieurope.co.uk — Receipt#6011 — P6011.zip
• donotreply@npphotography.co.uk — Payment-59559 — P59559.zip
• donotreply@anytackle.co.uk — Receipt-70724 — P70724.zip
• donotreply@gecko-accountancy.co.uk — Receipt#374 — P374.zip
• donotreply@corbypress.co.uk — Payment Receipt#03836 — P03836.zip
• donotreply@everythingcctv.co.uk — Payment_1479 — P1479.zip

Selon l'analyse du site web malware-traffic-analysis.net qui a compilé cette liste, les fichiers zip contiennent des fichiers vbs qui portent la charge malveillante.

En outre, de nouveaux titres de sujets ont été ajoutés à la campagne de spam qui distribue FakeGlobe en tant que fichier .js. Faites attention aux courriels qui indiquent « Message vocal joint ou » Image scannée « .

Des suggestions pour supprimer complètement le virus

Si vous êtes infecté par le virus Fake Globe, vous devriez faire très attention de ne pas endommager votre système encore plus. N'essayez pas de supprimer vous-même le virus si c'est votre première rencontre avec ce virus.

Les développeurs de ce virus essaient de rendre l'élimination de Globe Imposter aussi difficile que possible, en mettant éventuellement plusieurs pièges derrière. Seul un logiciel de sécurité réputé et puissant peut contourner ces obstacles et supprimer le virus Globe Imposter du système corrompu en l'arrachant directement de la racine.