Sudėtingumo skalė:  
  (99/100)

Globe Imposter virusas. Kaip pašalinti? (Pašalinimo instrukcijos)

parašė Linas Kiguolis - - | Tipas: Ransomware
12

„GlobeImposter“ virusas vis dar kelia nemalonumų virtualioje erdvėje

„Globe Imposter“ išpirkos pranešimas

„GlobeImposter“ (dar žinomas kaip „Netikras Globe“ (angl. „Fake Globe“) virusas yra priskiriamas duomenis užkoduojančių užkratų kategorijai. Pirmoji ir paskesnės viruso versijos – tikrojo „Globe“ viruso imitacijos. Nuo jo atsiradimo pradžios jau pasirodė daugiau nei keliasdešimt „Globe Imposter“ versijų. Nors užkratas nepasižymi sudėtinga struktūra, tačiau dėl aktyvios veiklos, jis vertinamas kaip aktyviausias duomenis užkoduojantis virusas.

Pridedamas failo plėtinys bei skirtingi el. pašto adresai – pagrindiniai dalykai, skiriantys vieną versiją nuo kitos. Taip pat nustatyta, kad kai kurias versija platino „RIG“ įsilaužimo įrankis.

Kai virusas patenka į operacinę sistemą ir užkoduoja duomenis, jis prideda vieną iš žemiau minėtų plėtinių:

.txt, .0402, .BONUM, .ACTUM, .JEEP, .GRAFF, .trump, .rumblegoodboy, .goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .plin, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[byd@india.com]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[btc2017@india.com], .VAPE, .726, .490, .coded, .skunk, .492, .astra, .apk, .doc, .4035, .clinTON, .D2550A49BF52DFC23F2C013C5, .zuzya, .LEGO, .UNLIS, .GRANNY, .911,.reaGAN, .YAYA .needkeys, .[d7516@ya.ru], .foSTE, .490, .ILLNEST, .SKUNK, .nWcrypt, .f41o1, .panda, .BIG1, .sexy, .kimchenyn, .colin_farrel@aol.com, .WORK,  .crypted_uridzu@aaathats3as_com, .bensmit@tutanota.com, .TRUE, .omnoomnoomf@aol.com, .[proof3200@tutanota.com], .btc, .[kps228@yandex.com],  .mixfight@india.com,  .black,  .[program3200@tutanota.com], .rrr, .{lxgiwyl@india.com}.AK47,  .LIN, .apk,  .decoder, .[i-absolutus@bigmir.net].rose, .fuck,  .restorefile, .CHAK,  .Chartogy,  .POHU,  .crypt_fereangos@airmail_cc, .jeepdayz@aol.com, .crypted_monkserenen@tvstar_com, .crypt_sorayaclarkyo@mail_com, .STN, .VYA, .crypt_damarles@airmail_cc, .pliNGY,  .ñ1crypt;

Visų viruso variacijų tikslas yra vienas – užkoduoti svarbius duomenis. Tam, kad vartotojai atgautų juos, jiems siūloma išpirką sumokėti internetine valiuta – bitkoinais. Taip pat šiai virusų grupei būdinga gąsdinti vartotojus, t.y. teigiama, kad atkodavimo raktas ar programa bus visiškai pašalinti praėjus tam tikram laiko tarpui. Dažniausi „Globe Imposter“ viruso pranešimo pavadinimai yra šie:

  • HOW_OPEN_FILES.hta;
  • how_to_back_files.html;
  • RECOVER-FILES.html;
  • !back_files!.html;
  • !free_files!.html;
  • #HOW_DECRYPT_FILES#.html;
  • here_your_files!.html;
  • !SOS!.html;
  • Note Filename: support.html;
  • Read___ME.html;
  • READ_IT;
  • #HOW_DECRYPT_ALL#.html;

Kiekviena „Netikro Globe“ versija nurodo skirtingą el. pašto ar „BitMessage“ adresą tam, kad paveikti vartotojai galėtų susisiekti su viruso kūrėjais. Pasirodant vis naujoms versijoms žemiau pateiktas sąrašas yra papildomas:

  • write_me_[btc2017@india.com;
  • 511_made@cyber-wizard.com;
  • btc.me@india.com;
  • chines34@protonmail.ch;
  • decryptmyfiles@inbox.ru;
  • garryweber@protonmail.ch;
  • keepcalmpls@india.com;
  • happydaayz@aol.com;
  • strongman@india.com;
  • support24@india.com;
  • support24_02@india.com;
  • oceannew_vb@protonmail.com;
  • asnaeb7@india.com;
  • asnaeb7@yahoo.com;
  • i-absolutus@bigmir.net;
  • laborotoria@protonmail.ch;
  • filesopen@yahoo.com;
  • openingfill@hotmail.com;
  • crypt@troysecure.me;
  • troysecure@yandex.by;
  • troysecure@yahoo.com;
  • _master@india.com;
  • Bill_Clinton@derpymail.org;
  • saruman@india.com;
  • Donald_Trump@derpymail.org;
  • happydaayz@aol.com;
  • crazyfoot_granny@aol.com;
  • crazyfoot_granny@india.com;
  • greenpeace_28@india.com;
  • greenpeace_wtf@aol.com;
  • .colin_farel@aol.com;
  • bigbig_booty@aol.com;
  • sexy_chief@aol.com;
  • sezy_chief18@india.com;
  • lxgivy1@india.com;
  • lxgivy17@yahoo.com;

„Netikras Globe“ virusas veikia įprastiniu būdu. Naudodamas AES ir RSA šifruotės metodus užkoduoja duomenis. „EMSISOFT“ specialistams pavyko sukurti nemokamą atkodavimo programą, tačiau ji veikia tik norint atkoduoti duomenis, užkoduotus pradine viruso versijomis. Įrankį jau atsisiuntė daugiau nei 18800 vartotojų.

Jei esate vienas iš paveiktųjų vartotojų, svarbu iš pradžių tinkamai pašalinti užkratą. Tikėtina, kad virusas neleis jums įjungti antivirusinės programos. Tokiu atveju pasinaudokite straipsnio apačioje pateikta informacija. Perkraukite kompiuterį ir nuskaitykite sistemą su kompiuterine apsaugos programa.

„GlobeImposter“ pašalinimo procese jums gali praversti ir Reimage ar Malwarebytes Anti Malware. Pašalinę užkratą pasinaudokite nemokama duomenų atkodavimo programa. Nerekomenduotina mokėti išpirkos. Anot vartotojų, ne visais atvejais sumokėjus išpirką, įsilaužėlių sukurta programa padėjo atgauti užkoduotus failus.

Pagrindinės užkrato atmainos

„GlobeImposter 2.0“ virusas nepasižymi subtilia struktūra. Pakitimai taip pat nežymūs. Šios versijos skiriamasis bruožas – prie paveiktų duomenų pridedamas .fix failo plėtinys. Deja, naudodamas AES šifruotės tipą, virusas sėkmingai užkoduoja duomenis.

2.0 versija plinta reklaminių laiškų priedų priedų pagalba. Taip pat ši versija gali būti aptinkama ir torentų failų svetainėse ar kitose nelegalų turinį reklamuojančiuose tinklalapiuose. Nors anksčiau minėta atkodavimo programa sėkmingai pirmosios viruso versijos užkoduotus duomenis, deja, ši sėkmė nenusišypsojo „GlobeImposter 2.0“ viruso paveiktiems vartotojams. Todėl svarbu dažnai susikurti bei atnaujinti duomenų atsargines kopijas.

„GlobeImposter“ vokiškos versijos pagrindinis skirtumas – reklaminis pranešimas parašytas vokiečių kalba. Ši versija reikalauja 0.5 bitkoinų mainais už duomenų atkodavimo programą. Įdomu  tai, kad šio viruso aukos siūloma nusiųsti ekrano nuotrauką, patvirtinančią apie sėkmingai atliktą banko pavedimą decryptmyfiles@inbox.ru adresu. Tačiau kaip anksčiau minėta sumokėta išpirka negarantuoja visų užšifruotų dokumentų atgavimo.

„KeepCalm“ virusas (liet. „išlik ramus) prideda prie užkoduotų duomenų .keepcalm failo plėtinį. Kaip ir ankstesnėse versijose, anot viruso kūrėjų, vienintelis būdas atgauti duomenis – sumokėti išpirką. Ši užkrato versija pateikia išsamesnes instrukcijas apie duomenų atgavimą HOW_TO_BACK_FILES.html faile. Šia versija užsikrėtę vartotojai turėtų susisiekti su viruso kūrėjais keepcalmpls@india.com el. paštu. Žinutėje paveikti vartotojai turėtų pateikti atlikto mokėjimo ekrano nuotrauką su unikaliu jų kompiuteriui priskirtu identifikavimo kodu.

„Wallet GlobeImposter“ virusas pasirodė 2017 metų kovo pradžioje. Užšifruoti duomenys yra pažymėti .wallet plėtiniu. Ši versijos prototipas – „Dharma“ virusas – nors jie nėra susiję. Kaip ir ankstesnėje versijoje, viruso autorių reikalavimai yra pateikti how_to_back_files.html internetiniame puslapyje.

Jame pateikti vartotojo kompiuterio identifikavimo kodas ir „Bitmessage“ adresas  –  BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U[@]bitmessage.ch –  jei paveikti vartotojai ketintų susisiekti su viruso autoriais. Deja, ši versija ištrina sistemos atsargines kopijas. Tai palieka mažiau alternatyvų atgauti duomenis. Todėl rekomenduojama reguliariai atnaujinti duomenų kopijas ir jas saugoti keliose skirtingose vietose.

.s1crypt failo plėtinio virusas – tai dar viena „Globe Imposter“ versija, pateikianti duomenų atgavimo informaciją how_to_back_files.html išpirkos pranešime. Ši versija ganėtinai brangesnės nei ankstesnės versijos: už atkodavimo programą prašoma 2 bitkoinų.

Kitas pakitimas – išpirkos pranešime taip pat pateikiamos trys nuorodos išsamiau paaiškinančios kaip įsigyti bitkoinus. Be šios informacijos pateikiamos kitoks el. pašto adresas – laboratoria@protonmail.ch. Ši „Globe Imposter“ versija taip pat paliko užuominą apie galimą viruso kūrėjų buvimo vietą – Šveicariją. Tačiau, manoma, kad tai tik jaukas , skirtas suklaidinti IT ekspertus. Ši atmaina aptinkama kaip Variant.Adware.Graftor.lXzx virusas.

.goro plėtinio virusas pateikia įdomesnių bruožų. Jis užkrėčia kompiuterį nepakankamai sudėtingų nuotolinės prieigos prisijungimo (angl. Remote Desktop Protocol (RDP)) protokolų pagalba.

Deja, šiai kaip ir kitoms anksčiau minėtoms, išskyrus pirmąją, nėra sukurtos atitinkamos duomenų atkodavimo programos. Virusui pradėjus veiklą, galite aptikti goro.exe komandą Užduočių tvarkyklėje. Taip pat ši versija gali būti siejama su „Dharma“ virusu, kadangi imituoja pastarąjį. Daugelis kompiuterinės apsaugos programų aptinka virusą kaip Trojan[Ransom]/Win32.Purgen ir Arcabit Trojan.Ransom.GlobeImposter.1, ir kt. Pranešime minimas mk.goro@aol.com pašto adresas.

.{email}.BRT92 virusas įgijo pavadinimą atitinkamai nuo pridedamo failo plėtinio. Smulkesnė informacija pateikiama #HOW_DECRYPT_FILES#.html internetiniame puslapyje. Jam pateikiamas unikalus paveiktojo vartotojo kodas. Taip pat nurodomi du el. pašto adresai: asnaeb7@india.com ir asnaeb7@yahoo.com.

.ocean plėtinio virusas pasirodė 2017 metais. Pagrindinės savybės: pridedamas .ocean failo plėtinys, !back_files!.html išpirkos pranešimas ir pranešimas ir oceannew_vb@protonmail.com adresas susisiekti su viruso kūrėjais. Šioje versijoje nusikaltėliai pabrėžia, kad išpirkos suma priklauso nuo to kaip greitai vartotojai su jai susisieks. Nėra pakankamai garantijų, kad sumokėjus išpirką, jūs gausite tinkamą atkodavimo programa.

A1Lock viruso atmaina yra viena iš labiausiai paplitusių. Jai priskiriamaos kitos kiti variantai: virusai pridedantys .rose, .troy, .707 failo plėtinius. Ši subkategorija pateikia reikalavimus How_to_back_files.htm ir RECOVER-FILES.html failuose. Susisiekimo tikslui nurodomi šie el. pašto adresai: i-absolutus@bigmir.net, crypt@troysecure.me, troysecure@yandex.by ir troysecure@yahoo.com.

.Write_me_[btc2017@india.com] plėtinio viruso dizainas labiausiai skiriasi lyginant su kitomis „Netikras Globe“ viruso variantais. Nors kitokia išvaizda gali kai kuriuos vartotojus suklaidinti, tačiau identiškas viruso veikimo metodas nepalieka abejonių, kad užkratas priklauso būtent šiai viruso grupei. Vartotojai raginami kuo greičiau susisiekti su viruso kūrėjais btc2017@india.com adresu ir sumokėti išpirką.

.725 virusas įgavo tokį pavadinimą dėl pridedamo plėtinio prie užkoduotų duomenų. Šioje versijoje nėra žymesnių pakitimų Įsilaužėliai RECOVER-FILES.HTML internetiniame viruso mokėjimo tinklalapyje nurodo sumokėti 0.19 bitkoinų. Deja, nėra sukurtos veikiančios atkodavimo programos šiam virusui.

Netrukus po jos pasirodė ir .726 virusas. Pagrindinis skirtumas – pridedamas .726 plėtinys. Išpirkos pranešimo pavdinimas taip pat nežymiai skiriasi. Svarbiausia nurodoma yra randama RECOVER-FILES-726.html. Šį kartą įsilaužėliai reikalauja sumokėti 0.37 bitkoinų.

.490 plėtinio virusas taip pat priskiriamas A1Lock kategorijai. Išpirkos pranešime !free_files!.html nurodoma pervesti pinigus tam tikru bitkoinų adresu. Po šios versijos netrukus pasirodė ir .492 versija.

Ši „GlobeImposter“ versija prideda .492 plėtinį tam, kad išskirtų užkoduotus duomenis. Kitaip nei pastarojoje versijoje išpirkos pranešimas pateikiamas here_your_files.html faile. Jose minimi ir kitokie el. Pašto adresai – _free@protonmail.com or koreajoin69@tutanota.com.

.crypt virusas ne tik prideda kitokią žymę prie užkoduotų failų bet ir platinimo būdas skiriasi. Platinimo kampanija pavadinta „Tuščias laiškas“ (angl. „Blank Slate“). Šis platinimo būdas taip pat yra taikomas „BTCWare Aleta” virusui. .crypt užkratas yra pateikiamas dvigubame EMAIL_[Random Digits]_[Recipient's Name].zip aplanke. Jame yra dar vienas .zip aplankas pavadintas bet kokių skaičių kombinacija. Atkreipkite dėmesį į tuščią pranešimo lauką.

Aplanke taip pat yra JavaScript kodas. Atvėrus aplankus ir iškleidus turinį, kodas yra aktyvuojamas. Tokiu būdu į sistemą yra atsiunčiamas 1.dat failas – pagrindinė viruso vykdomoji rinkmena. Po to failas užkoduoja visus duomenis. Duomenų atgavimui reikalinga informacija pateikiama !back_files!.html tinklalapyje. Deja, ir šiai versijai nėra sukurtos atkodavimo programos.

.coded virusas prideda .coded failo plėtinį prie užšifruotų duomenų. Išpirkos pranešime pateikiami decoder_master@aol.com ir decoder_master@india.com el. pašto adresai tam, kad paveikti vartotojai galėtų susisiekti su užkrato kūrėjais ir tariamai atgauti duomenis.

.astra virusas nepateikia jokių ypatingų bruožų. Be kitokio pridedamo failo plėtinio išpirkos turinys yra pateikiamas here_your_files!.html.

.f41o1 virusas veikimo principas išlieka toks pat. Išsamesnė duomenų atgavimo informacija pateikiama READ_IT.html faile.

Skiriamas 48 val. laiko limitas, kad vartotojai galėtų pervesti pinigus. Pranešime taip pat reklamuojama speciali „Globe Imposter“ viruso autorių sukurta atkodavimo programa. Atminkite, kad ją atsisiuntus galite tik dar labiau pakenkti kompiuteriui. Net jei jums pavyks atkoduoti duomenis, programa gali susilpninti jūsų kompiuterio operacinę sistemą bei padėti kitam virusui lengviau patekti.

Atnaujinta 2017 m. gegužės 23 d. Virusas platinamas užkrėstų laiškų prieduose. Šių el. laiškų skiriamasis bruožas – nėra pateikta  žinutės teksto. Virusas yra patalpinamas į .zip aplanką, kuriame yra .js ar .jse failas, aktyvinantis viruso veikimą. Su šia platinimo kampanija yra siejami newfornz[.]top, pichdollard[.]top ir 37kddsserrt[.]pw domenai.

Atnaujinta 2017 m. rugpjūčio 1 d. Aptikta naujoji viruso kapmanija. Toikėtina, kad viruso autoriai pasitelkė „Necurs“ botnetą (paprasčiau vadinamą „zombiu tinklu“). Virusu užkrėsti laiškai nepateikia jokio pranešimo teksto. Dominuoja šie el. pašto adresai, laiško temos, bei virusu užkrėstų .zip aplankų pavadinimai:

donotreply@jennieturnerconsulting.co.uk Payment Receipt_72537 P72537.zip
donotreply@ritson.globalnet.co.uk   Payment 0451 P0451.zip
donotreply@vintageplanters.co.uk   Payment Receipt#039  P039.zip
donotreply@bowker61.fastmail.co.uk  Receipt 78522 P78522.zip
donotreply@satorieurope.co.uk  Receipt#6011 P6011.zip
donotreply@npphotography.co.uk Payment-59559 P59559.zip
donotreply@anytackle.co.uk  Receipt-70724 P70724.zip
donotreply@gecko-accountancy.co.uk  Receipt#374 P374.zip
donotreply@corbypress.co.uk Payment Receipt#03836 P03836.zip
donotreply@everythingcctv.co.uk Payment_1479

P1479.zip

Pasak malware-traffic-analysis.net šaltinio, kuriame pateiktas lentelėje minėti tyrimo rezultatai, aplankuose taip pat randami ir vbs kodai, atsakingi už viruso veiklą. Taip pat neskubėkite atverti laiškų priedų, pastebėję šias laiškų temas: „Voice Message Attached“ (liet. Pridėtas garsinis pranešimas) ar „Scanned Image“ (liet. Skanuotas paveiksliukas).

Atnaujinta 2017 m. rugpjūčio 14 d. Viruso autoriai išties pasidarbavo. Jau aptiktos naujausios versijos, kurios prideda šiuo failų plėtinius: ..txt, .BONUM, .trump, .rumblegoodboy, .0402, .JEEP, .GRAFF, .MIXI ar .ACTUM. Reikalavimai sumokėti išpirką pateikti Read_ME.html bei !SOS!.html internetiniuose mokėjimo puslapiuose.

Atnaujinta 2017 m. rugsėjo 15 d. Praėjus mėnesiui nuo paskutinio atnaujinimo, jau aptikta tuzinas naujų netikrojo „Globe“ viruso atmainų. Keleta iš jų yra: .YAYA, .needkeys, .[d7516@ya.ru].foSTE.490.ILLNEST.SKUNK, .nWcrypt. Išskyrus naujus pridedamus failo plėtinius, žymesnių pakitimų neaptikta. Išskyrus skirtingus failo plėtinius,išpirkos prabešimas buvo pervadintas į „!SOS!.html“.

Šio viruso versijos ne tik atskelidžia galimus užkrato autoriaus (-ių) pomėgius, bet ir galimas politines simpatijas. Vienas iš virusų prideda .reaGAN failo plėtinį bei pateikia  Ronald_Reagan@derpymail.org el. pašto adresą. Laimei, virusas yra aptinkamas kaip Ransom:Win32/Ergop.A, Trojan.Purgen.baGeneric.Ransom.GlobeImposter.56A888 bei alternatyviu pavadinimu.

Nos veikimo principas mažai skiriasi, yra gan keletas klastingų savybių. Viruso vykdomoji rinkmena yra pavadinta kaip cmd.exe. Tai trumpinys „Command Prompt“ programos. Ji yra legali „Windows“ programa.

Tad pastebėję šią komandą, kai kurie vartotojai gali neįtarti klastos.Taip pat virusas gali pasinaudoti  ir btm1.exe encv.exe komandų priedanga. Atminkite, kad jei nesate tiesiogiai atvėrę programos, jos komanda neturėtų būti aktyvi Užduočių tvarkyklėje. Galimas daiktas, kad jei laiku šjungę viruso vykdomąją rinkmeną, gali sutrukdyti „GlobeImposter“ virusui užkoduoti daugiau failų.

Taip pat ši versija įdiegia ir daugiau failų: ADVAPI32.dll, KERNEL32.dll,SHLWAPI.dll,USER32.dll, ir ole32.dl. Tam, kad virusas sėkmingai pradėtų veikti, jam reikia suaktyvinti INV-000913.vbs kodą. Taip pat su failu sietinas ir errorkpoalsf.top domenas. Tyrimai parodė, kad viruso autoriai pasitelkė ir „Nemucod“ trojaną „Globe Imposter“ platinimo kampanijoje.

Atnaujinta 2017 m. rugsėjo 20 d. „Trend Micro“ IT specialistai nustatė  2017 metų pradžioje „GlobeImposter“ buvo platinamas tokiu pat būdu, t.y. suklastotų laiškų prieduose, kaip ir žymusis „Locky“ virusas. Kitaip tariant, praėjus kelioms valandoms, vartotojai gali užkrėsti „Locky“ ar „Netikruoju Globe“ pakaitomis.

Laiško .7z aplanke yra patalpintas virusas. Kaip ir anksčiau, tam, kad įtikintų išskleisti aplanką ir aktyvuoti virusą, žinutėje raginami vartotojai peržiūrėti tariamą PVM sąskaitą-faktūrą ar skenuotą dokumento egzempliorių.

Verta nemapiršti ir aukščiau aptarto būdo, kai nėra pateikto pranešimo teksto, o tik pridėtas el. kaško priedas. Išskyrus .rar, .7z aplankus, turėtumėte įtariai vertinti ir .doc failus. Jei jūsų sistemoje makro nustatymai yra išjungti, .doc faile pasirodo perspėjimas, parašantis juos įjungti tam, kad pamatytumėte tariamą tekstą. Tačiau įjungę nustatymus jus aktyvuosite ir failus užkoduojantį „GlobeImposter“ virusą.

Atnaujinta 2017 m. lapkričio 17 d. Kiekvieną mėnesį pasirodo naujų „Netikrojo Globe“ versijų. Lapkritis – ne išimtis. Be naujų plėtinių ir pakeisto išpirkos pranešimo pavadinimo į „#HOW_DECRYPT_ALL#.htm”, viruso autoriai atliko kelis žymesnius pakitimus. Duomenų u-kodavimo nustatymai šiek tiek pakeisti. Tai apsunkina viruso užkoduotų duomenų atkūrimą.

„Globe Imposter“ viruso autoriai tęsia tradiciją įmantrių viruso plėtinių kūrimo tendenciją. Pastebėta, kad kai kurios iš naujesnių versijų naudoja anksčiau minėtus plėtinius.

Kai kurie plėtiniai nurodo aliuziją ir į kitų šalių prezidentus. Viena iš viruso versijų prideda .kimnchenyn plėtinį prie užkoduotų duomenų. Tai ironiška nuoroda į Šiaurės Korėjos lyderį Kim Džonguną.

Taip pat aptikta ir užkrato atmaina, kuri prideda .colin_farrel@aol.com plėtinį prie užkoduotų duomenų. Turbūt užkrato autorius yra Holivudo aktoriaus Kolino Farelo gerbėjas. Kita viruso versija .panda  — galima užuomina į neseniai atsinaujinusį „Zeus Panda“ virusą. Apžvelgiant visas iki šiol pasirodžiusias viruso versijas, galima susidaryti įspūdį apie viruso kūrėjo pomėgius.

Naujausios užkrato versijos

.GRANNY viruso versijos aktyvumas užregistruotas rugpjūčio mėnesį. Labiausiai tikėtina, kad viruso trojanas yra platinamas nelegaliose žaidimų, filmų peržiūros, ar suaugusiems skirtuose tinklalapiuose. Įdomu, kad virusas pateikia savo grafinę vartotojo sąsają (programą), o ne tik mokėjimo puslapio nuorodą. Joje taip pat pateikiami ir crazyfoot_granny@aol.com or crazyfoot_granny@india.com el. pašto adresai. Tam, kad įtikintų, kad atkodavimo programa veikia, viruso kūrėjai siūlo atkoduoti vieną failą nemokamai.

.Trump failo virusas vienas iš aspektų simbolizuojantis, Donaldo Trumpo pergalės rezonansą pasaulyje bei kibernetinėje erdvėje. Tačiau užkratas pateikia gan primityvią grafinę vartotojo sąsają.

Jei iškilo techninių nesklandumų, vartotojams siūloma susisiekti su viruso autoriais Donald_Trump@derpymail.or ir happydaayz@aol.com adresų pagalba. Viruso programoje nepateikiama konkreti išpirkos suma. Be minėto plėtinio, virusas taip prideda plėtinį, sudarytą iš keliolikos skaitmenų.

Nors {saruman7@india.com}.BRT92 plėtinys gali iš pradžių sudominti dėl aiškios aliuzijos į įžymų „Žiedų valdovas“ trilogiją, pats veikimo principas nesiskiria. Šį kartą viruso autoriai apsiriboja tik pakeistu išpirkos pranešimo pavadinimu — #DECRYPT_FILES#.html.

Kartu su išia versija, buvo aptiktos atmainos, pridedančios šiuso failų plėtinius: .D2550A49BF52DFC23F2C013C5, .zuzya.LEGO, bei .UNLIS.

Virusų autoriai semiasi įkvėpimo ne tik iš žaidimų, literatūros ar populiariosios kultūros, bet ir politikos. Be jau minėtų aliuzijų ir Ronaldą Reiganą, Donaldą Trampą, kita viruso atmaina prideda .clinTON plėtinį. Šis virusas nurodo ir  Bill_Clinton@derpymail.org adresą susisiekimui.

2017 m. spalio 18 d. nustatyta, kad „RIG“, dar žinomas kaip „RIGEK“, įsilaužimo įrankis platina „Netikro Globe“ viruso versija, kuri prideda .4035 failo plėtinį. Ši versijos smulkesnė informacija pateikta READ_IT.html puslapyje.

Tuo pačiu metu aptiktos ir failus koduojančio užkrato atmainos, pridedančios .doc bei .apk plėtinius. Pastarosios versijos išpirkos pranešimas yra pavadintas Read___ME.html. .apk versija taip pat veikia ir per apkcrypt.exe vykdomąją rinkmeną. Reikalinga informacija duomenis atgauti yra nurodoma Note Filename: support.html internetiniame puslapyje.

Nors anksčiau minėta IT specialistų sukurta atkodavimo programa visiškai atkoduoja failus, užšifruotus pirmąja „Globe Imposter“ versija, verta ja pasinaudoti negu pasitikėti viruso kūrėjais.

Atnaujinami ir platinimo būdai

Nors virusas nepasižymi sudėtingos konstrukcijos savybėmis bei jis nesukėlė tiek daug žalos, kiek niūriai pagarsėję „Locky“ ar „Cerber“ virusai, tačiau kelios skirtingos platinimo kampanijos verčia sunerimti.

Išskyrus gerai žinomą tendenciją platinti užkratą trojanų pavidalų užkrėstose svetainėse ar programų pavidalu, „Globe Imposter“ virusas taip pat gali užkrėsti atvėrus reklaminio ar suklastoto laiško priedą.

Tad svarbu, ne tik įvertinti gauto laiško turinį, pateiktą žinutę, įsitikinti siuntėjo tapatybe, bet ir  įsidiegti patikimą programą. Ji ne tik padės apsisaugoti nuo užkrauto bet ir pašalinti „GlobeImposter“ virusą.

„Globe Imposter“ šalinimo instrukcijos

Įskaitant besiplečiančią šio viruso kategoriją, svarbu atkreipti dėmesį į  anksčiau minėtus platinimo būdus. Norėdami visiškai pašalinti „GlobeImposter“ virusą jums gali prireikti keletą skirtingų tipų programų.

Įsitikinkite, kad antivirusinė bei užkratų šalinimo programos tinkamai veikia. Jei ne, perkraukite kompiuterį į saugųjį rėžimą. Tada pradėkite sistemos nuskaitymą. Tik visiškai pašalinus „Globe Imposter“ virusą, galite pereiti prie duomenų atkūrimo procedūros. Jei virusas pateko į jūsų sistemą įsilaužimo įrankio pagalba, atkurkite naršyklės nustatymus. Atnaujinkite ją, įsidiekite naujausius „Windows“ atnaujinimus. Nepamirškite reguliariai atnaujinti  antivirusinės bei užkratų šalinimo programų.

Mes galime būti platintojai bet kurių produktų, kuriuos mes rekomenduojame šitoje svetainėje. Atsisiųsdami bet kurį produktą Globe Imposter virusas šalinimui, jūs sutinkate su mūsų privatumo politika ir naudojimosi instrukcija.
nelauk!
Parsisiųsk
Reimage (pašalinimo programa) Laimės
garantija
Parsisiųsk
Reimage (pašalinimo programa) Laimės
garantija
Suderinama su Microsoft Windows Suderinama su OS X
Ką daryti, jei nepavyko pašalinti?
Jei jums nepavyko pašalinti viruso naudojant Reimage, užduokite klausimą mūsų IT specialistams ir išsamiai aprašykite situaciją.
Globe Imposter virusas pašalinimui yra rekomenduojama Reimage antivirusinė programa. Nemokama programos versija leidžia patikrinti ar kompiuteris yra užkrėstas, ar ne. Viruso pašalinimui gali būti naudojama tik licencijuota Reimage versija.

Daugiau informacijos apie šią programą galite surasti Reimage apžvalgoje.

Daugiau informacijos apie šią programą galite surasti Reimage apžvalgoje.
Reimage spaudoje
Reimage spaudoje

Rankinis Globe Imposter viruso pašalinimas:

Kaip ištrinti Globe Imposter naudojant Safe Mode with Networking

Jei nepavyksta įjungti virusų šalinimo programos įprastuoju rėžimu, perkraukite kompiuterį į saugųjį rėžimą. Tokiu būdu galėsite atlikti sistemos nuskaitymą ir pašalinti „GlobeImposter“ virusą.

  • Žingsnis 1: Perkraukite kompiuterį į Safe Mode with Networking režimą

    Windows 7 / Vista / XP
    1. Paspauskite Start Shutdown Restart OK.
    2. Kai kompiuteris įsijungs iš naujo, pradėkite spaudinėti F8. Tai darykite tol, kol pasirodys Advanced Boot Options langas.
    3. Iš sąrašo pasirinkite Safe Mode with Networking Pasirinkite 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Spustelėkite Power Windows mygtuką. Po to spauskite ir paspaudę laikykite Shift mygtuką, galiausiai pasirinkite Restart..
    2. Pasirinkite Troubleshoot Advanced options Startup Settings ir vėl spauskite Restart.
    3. Kai kompiuteris įsijungs iš naujo, lange Startup Settings pasirinkite Enable Safe Mode with Networking Pasirinkite 'Enable Safe Mode with Networking'
  • Žingsnis 2: Globe Imposter šalinimas

    Prisijunkite prie užkrėstos paskyros ir paleiskite savo naršyklę. Atsisiųskite Reimage ar kitą patikimą antivirusinę programą. Atnaujinkite ją ir patikrinkite savo kompiuterį. Kai programa baigs sistemos tikrinimą, ištrinkite visus jos nurodytus pavojingus failus ir užbaikite Globe Imposter pašalinimą.

Jeigu virusas blokuoja Safe Mode with Networking, išbandykite sekantį metodą.

Kaip ištrinti Globe Imposter naudojant System Restore

Jei anskčiau minėtas būdas nepadėjo, atlikite sistemos atkūrimą. Tai nepašalins „GlobeImposter“ viruso, bet padės paleisti reikiamą programą ir jį pašalinti.

  • Žingsnis 1: Perkraukite kompiuterį į Safe Mode with Command Prompt režimą

    Windows 7 / Vista / XP
    1. Paspauskite Start Shutdown Restart OK.
    2. Kai kompiuteris įsijungs iš naujo, pradėkite spaudinėti F8. Tai darykite tol, kol pasirodys Advanced Boot Options langas.
    3. Iš sąrašo pasirinkite Command Prompt Pasirinkite 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Spustelėkite Power Windows mygtuką. Po to spauskite ir paspaudę laikykite Shift mygtuką, galiausiai pasirinkite Restart..
    2. Pasirinkite Troubleshoot Advanced options Startup Settings ir vėl spauskite Restart.
    3. Kai kompiuteris įsijungs iš naujo, lange Startup Settings pasirinkite Enable Safe Mode with Command Prompt Pasirinkite 'Enable Safe Mode with Command Prompt'
  • Žingsnis 2: Atstatykite sistemos nustatymus ir failus
    1. Kai pasirodys Command Prompt langas, įveskite cd restore ir spustelėkite Enter. Įveskite 'cd restore' (be kabučių) ir spauskite 'Enter'
    2. Dabar įrašykite rstrui.exe ir vėl spustelėkite Enter.. Įveskite 'rstrui.exe' (be kabučių) ir spauskite 'Enter'
    3. Kai pasirodys naujas langas, spustelėkite Next ir pasirinkite sistemos atkūrimo tašką, kuris yra prieš Globe Imposter pasirodymą jūsų kompiuteryje. Po to vėl paspauskite Next. Pasirodžius 'System Restore' langui, pasirinkite 'Next'. Pasirinkite sustemos atkūrimo tašką ir spustelėkite 'Next'
    4. Dabar spauskite Yes ir pradėkite sistemos atstatymą. Dabar spauskite 'Yes' ir pradėkite sistemos atstatymą.
    Sugrąžinę buvusius sistemos nustatymus, atsisiųskite Reimage ir nuskenuokite kompiuterį, tam kad įsitikintumėte, jog Globe Imposter sėkmingai pašalintas.

Svarbu. Kaip atkurti duomenis?

Instrukcijos, pateiktos aukščiau, yra skirtos padėti jums ištrinti Globe Imposter. Tam, jog atkurtumėte savo failus, rekomenduojame sekti virusai.lt ekspertų paruoštas instrukcijas.

Jei Globe Imposter užšifravo jūsų asmeninius failus, galite pabandyti juos atkurti šiais būdais:

Pasinaudokite „Data Recovery Pro“

Ši programa buvo sukurta tam, kad atkurtų sisteminio gedimo pažeistus failus. Tikėtina, kad ji gali praversti atkuriant  „Globe Imposter“ užkoduotus failus taip pat.

  • Parsisiųskite Data Recovery Pro (https://virusai.lt/download/data-recovery-pro-setup.exe);
  • Įdiekite Data Recovery sekdami diegimo vedlio nurodymus;
  • Atverkite programą bei paleiskite kompiuterio skenavimą tam, jog rastumėte failus, paveiktus Globe Imposter viruso;
  • Atkurkite juos.

„Shadow Explorer“ privalumas

Ne visos „Globe Imposter“ versijos ištrina atsargines sistemines kopijas. Ši programa naudoja pastarąsias tam, kad sukurtų originalų kopijas. Tikėtina, kad ji jums padės atgauti kau kuriuos užkoduotus failus.

  • Parsisiųskite Shadow Explorer (http://shadowexplorer.com/);
  • Sekdami Shadow Explorer diegimo vedlio nurodymus, įrašykite šią programą į savo kompiuterį;
  • Paleiskite programą ir atverkite viršutiniame kairiajame kampe esantį išskleidžiamąjį meniu. Peržiūrėkite, kokių aplankų ten yra;
  • Dešiniuoju pelės klavišu paspauskite ant aplanko, kurį norite atkurti, ir spauskite “Export”. Taip pat galite nurodyti, kur norite jį išsaugoti.

Nemokama „Globe Imposter“ atkodavimo programa

Nors ši nemokama programa yra pritaikyta tik pirminei viruso versijai,  įskaitant tai, kad daugelio versijų programinis kodas nesiskiria, ji gali jums praversti atkuriant užkoduotus duomenis. 

Galiausiai, susimąstykite apie savo kompiuterio apsaugą ir tokių virusų kaip Globe Imposter prevenciją. Kad apsisaugotumėte nuo ransomware kategorijai priskiriamų virusų, naudokite patikimas antivirusines, tokias kaip Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus arba Malwarebytes Anti Malware.

Apie autorių

Linas Kiguolis
Linas Kiguolis - Ekspertas kovoje su virusais ir kitomis kompiuterio infekcijomis

Jeigu šios nemokamos instrukcijos jums padėjo ir jūs esate patenkintas/-a mūsų suteikta pagalba, prašome apsvarstyti galimybę mus paremti ir padėti mums išlaikyti šią paslaugą. Bus įvertinta net pati mažiausia auka.

Šaltinis: https://www.2-spyware.com/remove-globe-imposter-ransomware-virus.html

Šalinimo instrukcijos kitomis kalbomis