Globe Imposter vírus eltávolítása (eltávolítási útmutató) - (frissítve: 2017. aug)

Eltávolítási Útmutató - Globe Imposter vírus

Mi az, hogy Globe Imposter zsarolóvírus?

Íme a Globe Imposter vírusok egyre bővülő családja

Globe Imposter vírus

A Globe Imposter vírusok kártékony titkosító ransomware-ek, amelyek a hírhedt Globe ransomware-t utánozzák, tehát titkosítják az áldozatok adatait, majd váltságdíjat követelnek az adatok visszaállításához szükséges visszafejtő kulcsért. A titkosítást követően a vírusok egy saját kiterjesztéssel jelölik a fájlokat.

Az adott verziótól függően a Globe Imposter a következő kiterjesztéseket használhatja:

.goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[[email protected]]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[[email protected]], .skunk.

A vírusok áldozatainak beszámolói szerint a támadók rendszeresen változtatják a kapcsolatfelvételi adataikat, mindig más e-mail címet vagy BitMessage címet adnak meg a vírusok által létrehozott üzenetekben (az üzenetek neve általában HOW_OPEN_FILES.hta, how_to_back_files.html, RECOVER-FILES.html, !back_files!.html, #HOW_DECRYPT_FILES#.html). A címek a következők lehetnek:

A malware-ek fejlesztői nem mindig adnak nevet készítményeiknek, ezért gyakran a tech közösség nevezi el őket a felhasznált kiterjesztések vagy e-mail címek alapján. Az egyszerűség kedvéért ezek a paraziták mind ismertek Globe Imposter vagy Fake Globe néven is. Fontos kiemelni, hogy habár ezek a vírusok csak egy másikat utánoznak, szintén nagy pusztításra képesek.

A Fake Globe vírus ugyanolyan jól titkosítja a fájlokat, mint bármely más, teljesen az alapoktól elkészített ransomware. Ez a zsarolóvírus számos változatban létezik, ezért csak azt tudjuk mondani, hogy általában az RSA és AES algoritmusokat használják a titkosításhoz, amelyeket más vírusok is előszeretettel választanak. A malware néhány változata visszafejthető, de a legtöbb továbbra is komoly veszélyt jelent.

Az egyik változathoz az Emsisoft biztonsági szakértőinek sikerült visszafejtőt készíteniük, az ingyenes GlobeImposter visszafejtő segítségével az áldozatok megmenthetik a titkosított adatokat. Bejegyzésünk megírásának idején a szoftvert már 11844 alkalommal letöltötték, amely már önmagában is arra hívja fel a figyelmet, hogy a fertőzés gyorsan terjed, és mindenkinek megfelelő óvintézkedéseket kell tennie.

Ha önnek erre már nincs lehetősége, görgessen le, ahol megtalálja a visszafejtőt és a Globe Imposter eltávolításához szükséges lépéseket is. Azt javasoljuk, hogy az eltávolításhoz egy megbízható antivírus szoftvert használjon, ilyen például a kiváló FortectIntego.

Kép a Globe Imposter zsarolóvírusrólA Globe Imposter zsarolóvírus számos változatban és nyelven létezik. Lentebb láthat néhány példát.

A GlobeImposter az eredeti Globe vírus minden fontos funkcióját lemásolja. Előre meghatározott kiterjesztéseket illeszt a titkosított fájlokhoz, valamint html és hta fájlokat hoz létre minden titkosított fájlt tartalmazó mappában, ezek a váltságdíj kifizetéséhez szükséges lépéseket tartalmazzák. A jó hír az, hogy a vírus általában nem módosítja a fájlneveket, így a visszafejtést követően az adatok könnyedén kezelhetők.

Tartsa észben azt is, hogy a vírus fejlesztői megfélemlítéssel próbálják elterelni az áldozatok figyelmét az adatmentési lehetőségekről. Fertőzés esetén mindig ellenőrizze, hogy a szakértőknek sikerült-e visszafejtőt készíteniük az adott vírushoz. Ez egy szerencsés eset, megmentheti a fájlokat és a Globe Impostert is teljesen eltávolíthatja komoly következmények nélkül.

A Globe Imposter jelenleg is aktív változatai:

GlobeImposter 2.0 vírus

A Globe ransomware egy rosszul lemásolt, de kissé feljavított utánzata. Ez a változat FIX kiterjesztést illeszt a komplex algoritmus segítségével titkosított és olvashatatlanná tett fájlok végére.

A bejutáshoz spam e-maileket, drive-by letöltéseket és félrevezető hirdetéseket is használnak. Gyakorlatilag lehetetlen előre tudni, hogy a vírus le fog csapni. Habár az eredeti Globe Impostert sikeresen visszafejtették, a 2.0-ás változat esetében a malware szakértők nem jártak sikerrel, a parazita továbbra is visszafejtetlen.

Nagyon fontos tehát, hogy készítsen biztonsági másolatokat a legfontosabb fájlokról, és tárolja ezeket olyan helyen, ahol a malware nem érheti el őket. Így akkor sem fog bajba kerülni, ha egy esetleges támadás során számítógépe adatai elvesznek.

GlobeImposter, német változat

Hogy több áldozatot is elérhessenek, a ransomware fejlesztői konkrét országokat is megcélozhatnak, hogy az anyanyelvükön szólhassanak az áldozatokhoz.

A Globe Imposter német változata tökéletes példa: a titkosított adatok visszaszerzéséről szóló üzenet német nyelven jön létre. A támadók 0,5 bitcoint követelnek a visszafejtő kulcsért. A pénz továbbítása után képet kell küldeni a tranzakcióról a megadott e-mail címre: [email protected].

Sajnos még ez sem garantálja a fájlok visszaszerzését. A zsarolók kiszámíthatatlanok, egyszerűen felszívódhatnak a pénzzel. Fontos tehát, hogy mielőbb eltávolítsa a GlobeImposter német változatát is.

KeepCalm vírus

A vírus titkosítja a fájlokat, majd .keepcalm kiterjesztést illeszt hozzájuk – innen a neve. A parazita erős titkosítással teszi olvashatatlanná a fájlokat, majd visszaállításukat jelentős összeg megfizetéséhez köti.

A zsarolók részletesen leírják az adatok visszaállításának módját a HOW_TO_BACK_FILES.html nevű fájlban. Az áldozatoknak a [email protected] e-mail címen kell felvenniük a kapcsolatot a támadókkal. Ide kell képernyőképet küldeni a tranzakcióról, valamint továbbítani kell az egyedi azonosítót is – a támadók csak ezt követően küldik el a visszafejtő programot. A gond csak az, hogy ez nem mindig történik meg.

Gyakran egyszerűen lelépnek a pénzzel, cserben hagyva az áldozatokat. Ebben az esetben az egyetlen lehetőség a KeepCalm eltávolítása, és a próbálkozás a (biztonságosabb) alternatív adatmentési módszerekkel.

Wallet GlobeImposter vírus

2017. május eleje: új Fake Globe vírus bukkant fel. Ezúttal a .wallet kiterjesztést használja, hogy a Dharma ransomware-nek tűnjön, amely szintén a .wallet kiterjesztéssel jelöli a titkosított fájlokat.

A ransomware egy how_to_back_files.html nevű üzenetet helyez el az Asztalon, amely tartalmazza az áldozat azonosítóját, valamint a támadók BitMessage címét is, amelyen elméletileg el lehet őket érni: BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U[@]bitmessage.ch.

A vírus törli a rendszer árnyékmásolatait, megakadályozva ezzel a váltságdíj kifizetése nélküli adatmentést.

.s1crypt kiterjesztés vírus

Ez a parazita is a ransomware egyik változata. A how_to_back_files.html nevű üzenetben közli a követeléseit. Tájékoztatja az áldozatot, hogy minden adata titkosításon esett át.

A fájlok visszafejtéséhez meg kell vásárolni az ehhez szükséges programot, ennek ára 2 bitcoin. Szinte mondanunk sem kell, hogy a szoftver nem javítja az adatmentés esélyeit.

A fejlesztők emellett három hivatkozást is biztosítanak azoknak, akik nem tudják, hogy hogyan vásárolhatnak bitcoint. Technikai problémák esetén a [email protected] címen lehet felkeresni a támadókat…

Az e-mail cím vége azt sejteti, hogy a támadók Svájc területén regisztráltak domaint. Persze lehet, hogy csak félrevezetésről van szó. Az antivírus szoftverek Trojan.Generic.DB75052 néven azonosítják a fertőzést.

.au1crypt kiterjesztés vírus

A malware az előbbi fertőzés párjának tekinthető, habár felülete kissé eltér. Az azonosító az AES és RSA algoritmusok eredményének tűnik. A how_to_back_files.html nevű üzenet azt állítja, hogy a felhasználó fájljait „biztonsági okokból” titkosították.

Az előző változattal szemben, amely bitcoin címet ad, ez a verzió azt kéri, hogy az áldozat a megadott e-mail címeken lépjen kapcsolatba a támadókkal: [email protected] és [email protected]. A malware csak a támadók nyári szórakozásának tűnik, de az internetezőknek ennek ellenére is óvatosnak kell lenniük.

A trójai Variant.Adware.Graftor.lXzx néven azonosítják a biztonsági programok.

.goro kiterjesztés vírus

Ez a vírus kifejezetten a gyenge Remote Desktop protokollokat (RDP) célozza. Új változatról van szó, egyelőre még nem készült hozzá visszafejtő program. A fejlesztők a korábbiakhoz hasonló .html fájlt használnak üzenetként.

A malware működése megszakítható a Feladatkezelőn keresztül, agoro.exe folyamat leállításával. Ez a változat a Dharma ransomware-család Wallet vírusához is kötődik.

Jelenleg Trojan[Ransom]/Win32.Purgen, és Arcabit Trojan.Ransom.GlobeImposter.1 néven azonosítja a legtöbb biztonsági szoftver. Az [email protected] e-mail cím is ezt a verziót jelöli.

.{email}.BRT92 kiterjesztés vírus

A vírus működése a nevéből is sejthető: .{email}.BRT92 kiterjesztést illeszt a titkosított fájlokhoz. Ez a Globe vírus az új kiterjesztés mellett új fájlban közli a követeléseket is, ez a #HOW_DECRYPT_FILES#.html.

A html fájlban megtalálható az áldozat egyedi azonosítója, amely segítségével a támadók megkülönböztethetik az embereket.

Két e-mail címet adnak meg a kapcsolatfelvételhez: [email protected] és [email protected].

.ocean kiterjesztés vírus

Ez is az egyik 2017-ben felbukkant Globe-változat. A vírus .ocean kiterjesztést használ, és a!back_files!.html nevű fájlban közli követeléseit. A fájlok visszaszerzéséhez az áldozatoknak fel kell venniük a kapcsolatot a támadókkal az [email protected] e-mail címen.

A hackerek azt állítják, hogy a visszafejtő program ára attól függ, hogy az áldozat milyen gyorsan lép velük kapcsolatba. Bűnözőkkel együttműködni azonban sosem jó ötlet, hiszen átverhetik.

A1Lock vírus

Az A1Lock a GlobeImposter vírus egyik legsikeresebb változata. A parazitának több változata van, mindegyik más kiterjesztés fűz a titkosított fájlokhoz. Egyelőre .rose, .troy és .707 kiterjesztést használó változatokról tudunk.

A követeléseket a How_to_back_files.html és RECOVER-FILES.html nevű fájlok tartalmazzák. A kommunikációhoz a következő e-mail címeket adják meg: [email protected], [email protected], [email protected] és [email protected].

.Write_me_[[email protected]] kiterjesztés vírus

Ez a Fake Globe vírus kialakítása alapján különbözik a többi változattól. Működése azonban változatlan: titkosítja a fájlokat, majd pénzért visszafejtőt kínál. A fizetésre vállalkozó áldozatoknak a [email protected] címen kell kapcsolatba lépniük a támadókkal.

A kockázat azonban magas, hiszen bűnözőkről van szó, akik egyszerűen felszívódhatnak a pénzzel. A .Write_me_[[email protected]] kiterjesztésekkel jelölt fájlok tehát örökre így maradhatnak.

A GlobeImposter terjedése

A GlobeImposter ransomware a hagyományos terjedési módszereket alkalmazza, főként kártékony e-mailekben bukkan fel. Emellett tudni még kártékony hirdetésekről és drive-by letöltésekről is.

A legtöbb ransomware-hez hasonlóan biztonságosnak tűnő programoknak vagy Windows-fájloknak álcázva terjed, így a potenciális áldozatok gyakran nem is sejtik, hogy kártékony fájlt töltenek le.

Telepítsen megbízható antimalware szoftvert és tartsa is naprakészen, ha biztonságban szeretné tudni számítógépét. Emellett szerezzen egy külső adathordozót, amelyen biztonsági másolatokat tárolhat. Használhat pendrive-ot, külső merevlemezt vagy bármi mást is. Csak ne tartsa a számítógéphez csatlakoztatva!

Frissítés: 2017. május 23.: A ransomware szüntelenül változtatja a támadás módját, és a legújabb hírek szerint a Blank Slate spamhullám is terjeszti, amely a Cerber terjedéséért is felelős.

Kiderült az is, hogy a kártékony fájlok ZIP archívumban érkeznek, melynek neve karaktersor, például: 8064355.zip. Az archívumban tárolt .js vagy .jse fájl futtatásakor a vírus egy kiszolgálóhoz csatlakozik, ahonnan letölti a működéshez szükséges fájlokat.

A támadók a ransomware-t tároló domaineket is gyakran változtatják, a jelenleg ismertek a következők: newfornz[.]top, pichdollard[.]top and 37kddsserrt[.]pw.

Frissítés: 2017. augusztus 1.: Globe Impostert terjesztő új spamhullám bukkant fel, amely új tárgyszöveget használ és feltehetőleg a Necurs botneten alapul. Lentebb e-mail címek, tárgysorok és csatolmányok listáját találja, amelyek mind a Fake Globe-hoz köthetők:

A listát összeállító malware-traffic-analysis.net szerint a zip fájlok vbs fájlokat tartalmaznak, ezek futtatják a kártékony kódot.

A FakeGlobe-ot .js fájlként terjesztő spamhullám is új tárgysorokkal bővült. Legyen óvatos a „Voice Message Attached” és „Scanned Image” tárgyú e-mailekkel.

A GlobeImposter vírus teljes eltávolításának lehetőségei

Ha számítógépét megfertőzte a Fake Globe vírus, óvatosnak kell lennie, hogy további károk ne keletkezhessenek. Ne próbálkozzon a kézi eltávolítással, ha nem tapasztalt ezen a téren.

A vírus fejlesztői mindent megtesznek, hogy a Globe Imposter eltávolítása a lehető legnehezebb legyen, különböző csapdákat állíthatnak. Csak jól ismert, megbízható biztonsági szoftvert használjon, csak egy ilyen program tudja gyökerestől eltávolítani a Globe Imposter vírust.

Ajánlat
Cselekedjen most!
Letöltöm
Fortect Elégedettség
Garancia
Letöltöm
Intego Elégedettség
Garancia
Kompatibilitás: Microsoft Windows Kompatibilitás: macOS
Mi a teendő, ha nem sikerül?
Ha a javasolt Fortect Intego nem tudta helyreállítani a károkat, küldjön kérdést ügyféltámogatási csapatunknak. Minél több részletet mellékeljen.
Fortect Intego has a free limited scanner. Fortect Intego offers more through scan when you purchase its full version. When free scanner detects issues, you can fix them using free manual repairs or you can decide to purchase the full version in order to fix them automatically.

Manuális Eltávolítási Útmutató - Globe Imposter vírus

Globe Imposter eltávolítása ezzel: Safe Mode with Networking

A Fake Globe vírus nem fogja harc nélkül elhagyni a fertőzött rendszert. Megakadályozhatja az antivírusok és más biztonsági programok megfelelő futását. Ebben az esetben kövesse az alábbi lépéseket.

  • Lépés 1: Indítsa a számítógépet Safe Mode with Networking módban
    Windows 7 / Vista / XP
    1. Kattintson a következőre: Start Shutdown Restart OK.
    2. Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
    3. Válassza a listáról a következőt: Safe Mode with Networking Válassza a következőt: 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
    2. Most a következőkre kattintson: Troubleshoot Advanced options Startup Settings, végül pedig ezt nyomja meg: Restart.
    3. Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Networking Válassza a következőt: 'Enable Safe Mode with Networking'
  • Lépés 2: Globe Imposter törlés

    Jelentkezzen be a fertőzött fiókba és indítson egy böngészőt. Töltsön le egy megbízható antispyware programot, például: FortectIntego. Telepítse, frissítse, majd futtasson vele teljes rendszervizsgálatot és távolítson el minden rosszindulatú fájlt, amely a ransomware-hez tartozik, majd fejezze be a behatoló (Globe Imposter) eltávolítását.

Próbálkozzon másik módszerrel, ha a ransomware blokkolja a következőt: Safe Mode with Networking

Globe Imposter eltávolítása ezzel: System Restore

A ransomware paraziták veszélyes fertőzések, amelyek nemcsak lezárják a fájlokat, hanem programok futását is megakadályozhatják. A biztonsági programok sem jelentenek kivételt. Ha a GlobeImposter az ön számítógépén is megakadályozza a víruskeresést, kövesse az alábbi lépéseket.

  • Lépés 1: Indítsa a számítógépet Safe Mode with Command Prompt módban
    Windows 7 / Vista / XP
    1. Kattintson a következőre: Start Shutdown Restart OK.
    2. Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
    3. Válassza a listáról a következőt: Command Prompt Válassza a következőt: 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
    2. Most a következőkre kattintson: Troubleshoot Advanced options Startup Settings, végül pedig ezt nyomja meg: Restart.
    3. Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Command Prompt Válassza a következőt: 'Enable Safe Mode with Command Prompt'
  • Lépés 2: Állítsa vissza a rendszerfájlokat és -beállításokat
    1. Miután megjelent a(z) Command Prompt ablak, írja be, hogy cd restore, majd kattintson arra, hogy Enter. Írja be (idézőjelek nélkül), hogy 'cd restore', majd kattintson arra, hogy 'Enter'.
    2. Most írja be, hogy rstrui.exe, majd kattintson ismét arra, hogy Enter.. Írja be (idézőjelek nélkül), hogy 'rstrui.exe', majd kattintson arra, hogy 'Enter'.
    3. Mikor megjelenik az új ablak, kattintson arra, hogy Next, majd válasszon egy Next fertőzést megelőző visszaállítási pontot. Mikor megjelenik az új 'System Restore' ablak, válassza azt, hogy 'Next' Válassza ki a visszaállítási pontot, majd kattintson arra, hogy 'Next'
    4. A rendszervisszaállítás indításához kattintson arra, hogy Yes. Kattintson arra, hogy 'Yes', és kezdje meg a rendszerindítást
    Miután visszaállította a rendszert egy korábbi pontra, töltse le a FortectIntego legújabb változatát, és vizsgálja át vele a rendszert, hogy minden Globe Imposter elemtől megszabadulhasson

+1: Az adatok visszaállítása

A fenti útmutató a bejutott Globe Imposter eltávolításában segít. A titkosított fájlok visszaállításához az avirus.hu biztonsági szakértőinek részletes útmutatóját érdemes követnie.

Az Emsisoft visszafejtő szoftvere csak a ransomware-csoport bizonyos képviselőihez használható. Ha az ön esetében hatástalan, azt javasoljuk, hogy tekintse át az alternatív adatmentési lehetőségeket:

Több módszerrel is megkísérelheti a bejutott Globe Imposter által titkosított fájlok visszaállítását:

A Data Recovery Pro segíthet

Ez egy adatmentő szoftver, amely sérült vagy elveszett fájlok visszaállítására készült. Próbálja meg visszaállítani vele a titkosított fájlokat.

  • Data Recovery Pro letöltése;
  • A letöltött Data Recovery telepítőjének lépéseit követve telepítse a szoftvert számítógépére;
  • Indítsa el, és a vizsgálat segítségével gyűjtse össze a bejutott Globe Imposter zsarolóvírus által titkosított fájlokat;
  • Állítsa vissza őket.

ShadowExplorer

A ShadowExplorer segítségével a rendszer árnyékmásolatai alapján állíthatja vissza az adatokat. A ransomware-ek azonban gyakran törlik az árnyékmásolatokat, ebben az esetben a ShadowExplorer sajnos nem tud segíteni.

  • Töltse le a következőt: Shadow Explorer (http://shadowexplorer.com/);
  • A letöltött Shadow Explorer telepítési varázslóját követve telepítse a szoftvert számítógépére;
  • Indítsa el a programot, majd a bal felső sarok legördülő listájából válassza ki a titkosított adatokat tároló lemezt. Ellenőrizze az elérhető mappákat;
  • Kattintson jobb gombbal a visszaállítandó mappára, majd válassza az “Export” lehetőséget. Kiválaszthatja a visszaállítás célmappáját is.

Ingyenes Globe Imposter visszafejtő

Gyorsan visszaállíthatja a fájlokat az Emsisoft Free Globe Imposter decryptornevű szoftverével. 

Fontos törődnie a crypto-ransomware vírusok elleni óvintézkedésekkel. Ha meg szeretné védeni számítógépét az olyan ransomware-ektől, mint a most tárgyalt Globe Imposter, használjon megbízható antispyware programot, például: FortectIntego, SpyHunter 5Combo Cleaner vagy Malwarebytes

A szerzőről
Linas Kiguolis
Linas Kiguolis

Ha hasznosnak találta ezt az ingyenes útmutatót és elégedett a szolgáltatásunkkal, fontolja meg az adományozást. Ezzel segíthetne nekünk a szolgáltatás életben tartásában. A legkisebb összegért is rendkívül hálásak leszünk!

Üzenet neki: Linas Kiguolis
A vállalatról: Esolutions

Eltávolítási útmutatók más nyelveken