GLOBEIMPOSTER RANSOMWARE (.crypt)

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85876
Inscription : 10 sept. 2005 13:57
Contact :

GLOBEIMPOSTER RANSOMWARE (.crypt)

Message par Malekal_morte » 12 juil. 2017 17:21

GLOBEIMPOSTER RANSOMWARE est une variante de rançongiciel et Crypto-Ransomware (rançongiciel chiffreur de fichiers).
Courant Juillet une campagne de mail malveillant a fait la promotion de ce type de cette famille GLOBEIMPOSTER.


Distribution du ransomware GlobeImposter (extension .crypt)

Rien de vraiment nouveau.
Le mail contient une pièce jointe avec un script malveillant (se reporter à la page : Comment se protéger des scripts malicieux sur Windows).
GLOBEIMPOSTER-ransomware-crypt.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
Une fois exécuté, les versions précédentes de fichiers sont supprimés à l'aide de la commande vssadmin.
GLOBEIMPOSTER-ransomware-crypt-2.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
puis les fichiers sont chiffrés et l'extension est modifiée en .crypt
Un fichier instruction contenant les informations de paiement sont aussi placés dans chaque dossier : how_to_back_files.html
GLOBEIMPOSTER-ransomware-crypt-3.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
Le paiement se fait par bitcoin, l'adresse de contact est : chines34@protonmail.ch
GLOBEIMPOSTER-ransomware-crypt-4.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
A noter que le ransomware GLOBEIMPOSTER peut aussi être distribué à travers des piratages RDP.
Plus d'informations :
Piratage de serveurs Windows par Terminal Server


Récupérer les fichiers .crypt

La récupération des fichiers chiffrés par le ransomware .crypt est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers


Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell

et plus globalement, suivez les conseils de la page : Sécuriser son Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85876
Inscription : 10 sept. 2005 13:57
Contact :

Re: GLOBEIMPOSTER RANSOMWARE (.alet)

Message par Malekal_morte » 18 juil. 2017 23:51

Autre variante avec decryptyourfileshereee1@cock.li
L'extension des fichiers chiffrés est modifié en .alet!
Le fichier instruction est : #_READ_ME_#!.ht

La fenêtre instruction se place en avant plan et ne peut-être fermé, ce qui rend ce ransomware pénible.
Les exécutables se trouvant sur le bureau sont chiffrés.
ransomware-decryptyourfileshereee1-cock-li.png
ransomware decryptyourfileshereee1@cock.li
A noter que le fichier est signé :
https://www.virustotal.com/fr/file/2a36 ... 500414209/
SHA256: 2a36b368de79461ad8d1c55e580566f1fdf50af74d7625d2fb007873c94b7d9b
Nom du fichier : srsp5lnmp.exe
Ratio de détection : 6 / 63
Date d'analyse : 2017-07-18 21:43:29 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
Emsisoft Trojan.FileCoder (A) 20170718
Endgame malicious (high confidence) 20170713
Invincea heuristic 20170607
Rising Malware.Heuristic!ET#84% (rdm+) 20170718
Symantec ML.Attribute.HighConfidence 20170718
Webroot W32.Trojan.Gen 20170718
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité