Ransomware GlobeImposter

Também Conhecido Como: GlobeImposter vírus
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware GlobeImposter

O que é o ransomware GlobeImposter?

GlobeImposter é um vírus de tipo ransomware que imite o ransomware Purge (Globe). Após a infiltração, GlobeImposter encripta vários ficheiros e agrega ".hNcrypt", ".medal", ".paycyka", ".2cXpCihgsVxB3", ".vdul", ".keepcalm", ".legally", ".crypt", " .wallet "ou" .pizdec ao nome de cada ficheiro encriptado. Por exemplo, "sample.jpg" é renomeado para "sample.jpg.crypt". Assim que a encriptação é bem sucedida, GlobeImposter cria o ficheiro ("HOW_OPEN_FILES.hta") e coloca-o em cada pasta que contém ficheiros encriptados. Além disso, GlobeImposter abre uma janela pop-up. O pop-up e o ficheiro HTA contêm mensagens de exigência de resgate.

As mensagens são curtas em comparação com outros vírus do tipo ransomware e simplesmente declaram que os ficheiros estão ecnriptados e que um resgate de 1 Bitcoin ($925) deve ser pago para restaurá-los. Outros ransomware fornecem informações detalhadas, como tipo de algoritmo de encriptação (simétrica/ assimétrica) usada, prazo de pagamento, instruções de desencriptação, etc. Portanto, atualmente é desconhecido que tipo de encriptação GlobeImposter usa. Em qualquer caso, a encriptação sem uma chave única é impossível. Os criminosos virtuais armazenam a chave num servidor remoto e as vítimas são incentivadas a pagar para receber. Apesar destes factos, nunca confie nos criminosos virtuais. A pesquisa mostra que estas os criminosos virtuais ignoram muitas vezes as vítimas, apesar dos pagamentos feitos. Mesmo que pague, não há nenhuma garantia que os seus ficheiros sejam desencriptados. É fortemente aconselhado ignorar todos os incentivos para pagar e/ou entrar em contato com essas pessoas. Ao fazer isto, está meramente a apoiar o negócio fraudulentos dos seus negócios. Felizmente, Emsisoft desenvolveu uma ferramenta capaz de desencriptar ficheiros comprometidos por GlobeImposter (link de descarregamento abaixo) e não há necessidade de pagar qualquer resgate. Se, no entanto, o computador tiver sido infectado com ransomware impossível de desencriptar, o problema só pode ser resolvido restaurando os seus ficheiros/sistema a partir de uma cópia de segurança.

Screenshot de uma mensagem a encorajar os utilizadores a pagar o resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de GlobeImposter

Existem dezenas de vírus do tipo ransomware que partilham semelhanças com GlobeImposter incluindo Satan, Cerber, e HakunaMatata - estes são apenas alguns exemplos de muitos. Todos têm comportamento idêntico - encriptam ficheiros e exigem resgate. Há apenas duas grandes diferenças entre eles: 1) tipo de encriptação usado; 2) tamanho do resgate. Os métodos de distribuição são idênticos. Os criminosos proliferam este malware de tipo ransomware usando-mails de spam (anexos infecciosos), redes peer-to-peer (P2P) (eMule, torrents, etc.) e outras fontes de descarregamento de terceiros (por exemplo, websites de alojamento de ficheiros gratuitos, sites de descarregamento de freeware, etc), ferramentas de atualização de software falso, e trojans. Por isso, esteja muito atento ao abrir ficheiros enviados de emails suspeitos e ao descarregar ficheiros de fontes não fidedignas. Manter todo o software instalado actualizado e usar um pacote anti-virus/anti-spyware legítimo é muito importante. Note, contudo, que os criminosos virtuais costumam usar ferramentas de atualização de terceiros para explorar bugs/falhas de software para infectar o sistema. Portanto, atualize as suas aplicações somente usando atualizadores oficiais. A chave para a segurança do computador é ter cuidado.

Mensagem de exigência de resgate:

Os seus ficheiros foram encriptados!
Todos os seus dados importantes foram encriptados.
Para recuperar os dados precisa de um desencriptador.
Para obter o desencriptador deve:
Pagar para desencriptar:
Site para comprar bitcoin:
Compre 1 BTC num destes sites:
1. localbitcoins.com
2. coinbase.com
3. xchange.cc

 

Endereço bitcoin para pagar:
16G8L4oJs87e7kACZ6W4PNZLsXAkxxXsuWe
Enviar 1 BTC para desencriptar.
Após o pagamento:
Enviar screenshot do pagamento para sendmebtc@india.com, byd@india.com.
Na carta inclua o seu ID pessoal (veja o início deste documento).
Depois de receber um desencriptador e instruções.
Atenção!
Sem pagamento = Sem desencriptador
Realmente obtém o desencriptador após o pagamento.
Não tente remover o programa ou executar as ferramentas antivírus.
Tentativas de auto-desencriptação de ficheiros resultará na perda dos seus dados.
Descodificadores de outros utilizadores não são compatíveis com os seus dados, porque a chave de encriptação é única para cada utilizador.

Variante de ransomware Globeimposter usando o endereço de e-mail "chines34@protonmai.ch" e extensão ".crypt" para ficheiros encriptados:

ransomware globeimposter variante chines34

Uma variante deste ransomware usando a extensão .hNcrypt para ficheiros encriptados:

Ransomware do globeimposter variante .hNcrypt

Uma variante de Globeimposter (endereço de e-mail keepcalmpls@india.com):

Ransomware globeimposter variante .keepcalm

Uma variante do GlobeImposter (endereço de e-mail garryweber@protonmail.ch):

GlobeImposter Garry Weber

Screenshot GlobeImposter versão alemã (endereço de e-mail decryptmyfiles@inbox.ru):

GlobeImposter versão alemã

Screenshot dos ficheiros encriptados por GlobeImposter (extensão ".crypt"):

Instruções de desencriptação de GlobeImposter

Desencriptador GlobeImposter (link de descarregamento):

Desencriptador GlobeImposter

Instruções do desencriptador GlobeImposter.

Remoção do ransomware GlobeImposter

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.

Modo Seguro com Rede

O vídeo mostra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus GlobeImposter. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.


Baixar removedor para GlobeImposter vírus
1) Descarregar e instalar   2) Executar verificação do sistema   3) Desfrute do seu computador limpo!

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Reimage.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo mostra como remover vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, insira a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos escreva cd restore

3. Seguidamente, insira esta linha: rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva cd rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restaure sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware GlobeImposter no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware GlobeImposter restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de GlobeImposter são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por GlobeImposter também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e Malwarebytes Anti-Ransomware que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como o ransomware GlobeImposter.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza qualquer tentativa sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa a tecnologia pró-ativa avançado que monitoriza a actividade do ransomware e termina-a imediatamente - antes de alcançar os ficheiros dos utilizadores:

Malwarebytes Anti-Ransomware Beta

A melhor maneira de evitar danos causados por infecções ransomware é manter cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópia de segurança on-line e software de recuperação de dados Aqui.

Outras ferramentas conhecidas para remover o ransomware GlobeImposter:

Fonte: https://www.pcrisk.com/removal-guides/10861-globeimposter-ransomware