Non appena la prima variante di Globe ransomware è stato decifrato con successo dai ricercatori di malware, è creatori hanno rilasciato due nuove versioni del virus che includono più modifiche – Globe2 ransomware e una nuova terza variante del globo. La nuova variante utilizza trhe .GSupport3 estensione di file per crittografare i file delle vittime ed è già stato aggiunto al database delle firme maggior parte dei programmi anti-malware. In questo articolo, ci sarà dimostrare a voi come rimuovere questa iterazione del globo utilizzando l’estensione di file .GSupport3 e come cercare di ripristinare i file se sono stati crittografati.

Globe / spurgo ransomware – Analisi Approfondita

Dal momento che questo tipo di virus è segnalato per essere una variante evoluta del ransomware JigSaw che è stato messo in vendita sul mercato nero, i distributori possono usare le stesse tattiche come le versioni precedenti.

Distribuzione di Globe

Queste tattiche sono connessi principalmente con la diffusione attiva di e-mail spam tramite i servizi o servizi di spam di terze parti. Le vittime di spam e-mail possono fingere di essere file legittimi:

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Dopo questo, questa versione di Globe può iniziare a crittografare i file degli utenti. Il virus può essere pre-configurato per rilevare qualsiasi estensione di file associati ai file che vengono spesso utilizzati, ad esempio:

“PNG .PSD .PspImage .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF xlr .XLS .XLSX .accdb .DB DBF MDB PDB .SQL .apk .APP bat .cgi .COM .EXE .gadget .JAR PIF wsf .DEM .gam .NES .ROM .SAV CAD .dwg .DXF GIS file .GPX .KML .KMZ .ASP ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .jsp .PHP .rss .xhtml. DOC DOCX .LOG .MSG .ODT .pagine .RTF .tex .TXT .WPD .WPS .CSV DAT .GED .KEY .keychain .PPS .PPT .PPTX ..INI .PRF file codificati .HQX .mim .uue .7z .cbr .deb .GZ .PKG .RAR .rpm .sitx .TAR.GZ .ZIP .ZIPX BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio I file .AIF .IFF .M3U .M4A .MID .MP3 mpa WAV WMA file video .3g2 .3GP ASF AVI FLV .m4v .MOV .MP4 .MPG .RM .SRT .SWF VOB WMV 3D .3DM .3DS .MAX obj R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF CAB .CPL .CUR .DESKTHEMEPACK DLL .DMP .DRV ICNS ICO .LNK .SYS .CFG “Fonte: fileinfo.com

Il malware utilizza è estensione del file .GSupport distintivo dopo che crittografa i file e apparire come il seguente:

Immagini.
documenti Adobe.
documenti di Microsoft Office.
configurazioni programma falso.

Questo tipo di file può essere presentata dal corpo della e-mail come file che sono urgenti per aprire, come fatture, annullato documenti di conti bancari e altri “motivatori” per ottenere l’utente a cliccare su di essi.

Non appena i file vengono aperti l’estensione .GSupport utilizzando virus può scaricare o estrarre è carico in modo offuscato per evitare il rilevamento da programmi antivirus. Il carico utile può essere sotto nomi diversi e su diversi cartelle di Windows, ad esempio: