Page 1 sur 1

GLOBEIMPOSTER RANSOMWARE (.crypt)

Publié : 12 juil. 2017 17:21
par Malekal_morte
GLOBEIMPOSTER RANSOMWARE est une variante de rançongiciel et Crypto-Ransomware (rançongiciel chiffreur de fichiers).
Courant Juillet une campagne de mail malveillant a fait la promotion de ce type de cette famille GLOBEIMPOSTER.


Distribution du ransomware GlobeImposter (extension .crypt)

Rien de vraiment nouveau.
Le mail contient une pièce jointe avec un script malveillant (se reporter à la page : Comment se protéger des scripts malicieux sur Windows).
GLOBEIMPOSTER-ransomware-crypt.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
Une fois exécuté, les versions précédentes de fichiers sont supprimés à l'aide de la commande vssadmin.
GLOBEIMPOSTER-ransomware-crypt-2.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
puis les fichiers sont chiffrés et l'extension est modifiée en .crypt
Un fichier instruction contenant les informations de paiement sont aussi placés dans chaque dossier : how_to_back_files.html
GLOBEIMPOSTER-ransomware-crypt-3.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
Le paiement se fait par bitcoin, l'adresse de contact est : chines34@protonmail.ch
GLOBEIMPOSTER-ransomware-crypt-4.png
GLOBEIMPOSTER RANSOMWARE - extension .crypt
A noter que le ransomware GLOBEIMPOSTER peut aussi être distribué à travers des piratages RDP.
Plus d'informations :
Piratage de serveurs Windows par Terminal Server


Récupérer les fichiers .crypt

La récupération des fichiers chiffrés par le ransomware .crypt est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers


Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell

et plus globalement, suivez les conseils de la page : Sécuriser son Windows.

Re: GLOBEIMPOSTER RANSOMWARE (.alet)

Publié : 18 juil. 2017 23:51
par Malekal_morte
Autre variante avec decryptyourfileshereee1@cock.li
L'extension des fichiers chiffrés est modifié en .alet!
Le fichier instruction est : #_READ_ME_#!.ht

La fenêtre instruction se place en avant plan et ne peut-être fermé, ce qui rend ce ransomware pénible.
Les exécutables se trouvant sur le bureau sont chiffrés.
ransomware-decryptyourfileshereee1-cock-li.png
ransomware decryptyourfileshereee1@cock.li
A noter que le fichier est signé :
https://www.virustotal.com/fr/file/2a36 ... 500414209/
SHA256: 2a36b368de79461ad8d1c55e580566f1fdf50af74d7625d2fb007873c94b7d9b
Nom du fichier : srsp5lnmp.exe
Ratio de détection : 6 / 63
Date d'analyse : 2017-07-18 21:43:29 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
Emsisoft Trojan.FileCoder (A) 20170718
Endgame malicious (high confidence) 20170713
Invincea heuristic 20170607
Rising Malware.Heuristic!ET#84% (rdm+) 20170718
Symantec ML.Attribute.HighConfidence 20170718
Webroot W32.Trojan.Gen 20170718