DOE AGORA Qualquer valor

Decrypter grátis para o Globe3 #Ransomware

Emsisoft lança Decrypter grátis para o Globe3 Ransomware

Hoje, Emsisoft CTO / pesquisador Fabian Wosar lançou uma nova versão do Emsisoft Globe Ransomware Decrypter que pode recuperar arquivos bloqueados pela versão mais recente desta ameaça que fez sua presença sentida pela primeira vez durante o verão de 2016.
A versão 2, também conhecida como Globe2, apareceu dois meses depois, em outubro, mas ambas as versões não foram compatíveis com a equipe da Emsisoft, que lançou decrypters gratuitos para ambas as variantes pouco depois de Globe e Globe2 terem começado a bater nos usuários.
Em torno do ano novo, a equipe do laboratório de Emsisoft foi alertada à presença de uma variação nova do globo, Globe3, que contaminasse usuários usando um modo novo da operação.

Globe3 amostras criadas usando ransomware 

Assim como as duas versões anteriores do Globe, os binários de ransomware Globe3 foram montados usando um "construtor", um termo que descreve um aplicativo de software que automatiza o processo de personalização de um executável de malware.
Os atores do Globe estão usando esse construtor para ajustar várias configurações no comportamento do Globe3, personalizando binários de ransomware dependendo dos alvos que eles querem infectar, alterando as demandas de resgate para grandes somas caso infectem empresas ou usem diferentes endereços Bitcoin por diferentes campanhas de spam.
Como todos os binários do Globe3 incluíram um arquivo de configuração, foi fácil determinar quais foram alguns dos recursos disponíveis na versão recente do criador do ransomware do Globe. [Um arquivo de configuração Globe3 amostra está disponível aqui .]
  • [MELT] - Faz com que o ransomware elimine o arquivo originalmente executado após uma infecção bem-sucedida
  • [TASKNAME] - Nome do processo Ransomware
  • [AUTOEXEC] - Instrui o ransomware a estabelecer persistência
  • [PROFILE] - Faz com que o ransomware criptografe primeiro o perfil do usuário
  • [DRIVES] - Instrui o ransomware a criptografar todas as unidades conectadas
  • [SHARES] - Aciona o ransomware para procurar e criptografar compartilhamentos de rede
  • [NAMES] - O ransomware também criptografará os nomes dos arquivos, ocultando os nomes dos arquivos originais
  • [EXTENSÃO] - A extensão de arquivo para anexar ao nome de arquivo de arquivos criptografados
  • [TARGETS] - Lista de tipos de arquivos a segmentar durante o processo de criptografia
  • [MESSAGE] - Nota de resgate (suporte ao código HTML). Aqui é onde trapaceiros também irá controlar o endereço Bitcoin e resgate valor da demanda.
  • [N] e [E] - parâmetros chave RSA utilizados pelo ransomware para criptografar a chave AES
  • Além disso, há opções para permitir que o invasor configure o papel de parede, bem como o nome da nota de resgate
Como você pode ver, o construtor permite que indivíduos com acesso ao construtor produzam variações muito variadas do Globe3.
No momento da redação, com base nas informações coletadas pela equipe da Emsisoft, os usuários podem reconhecer as infecções Globe3 pelas duas extensões mais usadas no final dos arquivos, que são .decrypt2017 e .hnumkhotep.
No entanto, os usuários que querem ter a certeza de terem sido atingidos por uma variante Globe3 pode usar os ID-ransomware ou Crypto Sheriff serviços, só para ter certeza.
A nota de resgate caiu pelo Globe3 é geralmente chamado de "Como recuperar arquivos criptografados.hta" e um exemplo pode ser encontrado abaixo.
Globe3-resgate-nota
A maior mudança nas duas versões anteriores do Globe está no nível das operações de criptografia. Enquanto a primeira variante Globe usou o algoritmo de criptografia Blowfish para bloquear arquivos, e o Globe2 usou RC4 e RC4 + XOR, o Globe3 depende do AES-256, um poderoso algoritmo de criptografia simétrica.
Não revelaremos como nossa equipe de laboratório encontrou uma maneira de recuperar arquivos criptografados do Globe3, mas o decriptador lançado hoje suporta todas as variantes possíveis que podem ser produzidas pelo construtor Globe3.
No entanto, devido a um bug no ransomware, arquivos decifrados menores que 64kb serão até 15 bytes maiores do que os originais. Esse aumento de tamanho de arquivo é devido ao fato de que o ransomware arredonda tamanhos de arquivo até o próximo limite de 16 bytes sem salvar o tamanho do arquivo original.
Para a maioria dos formatos de arquivo, é improvável que isso cause problemas. No entanto, se os aplicativos mostram erros sobre formatos de arquivo corrompidos, os usuários podem ter que remover manualmente bytes zero ao final do arquivo recuperado usando um editor hexadecimal.


Usuários afetados por Globe3 pode baixar o decrypter gratuitamente a partir daqui .


Os decrypters para Globe e Globe2 também estão disponíveis, apenas no caso de alguém ainda tem arquivos criptografados por essas versões, mesmo se eles não estão distribuídos de forma activa mais.
Esta postagem no blog é baseada no exemplo de ransomware Globe3 com o seguinte hash SHA-256: f2e0199eb54e3e51cd8ff11aa5b1ae0ef823cfd7b91e24d27c6bafa38c86cae0.

http://blog.emsisoft.com/2017/01/04/emsisoft-releases-free-decrypter-for-globe3-ransomware/

Comentários

Ebook

Postagens mais visitadas