GLOBEIMPOSTER RANSOMWARE est une variante de rançongiciel et Crypto-Ransomware (rançongiciel chiffreur de fichiers).
Courant Juillet une campagne de mail malveillant a fait la promotion de ce type de cette famille GLOBEIMPOSTER.
Microsoft détecte ce dernier en Ransom:Win32/Septrypt, depuis juillet 2017, les campagnes par mail de ce ransomware sont quotidiennes.
Distribution du ransomware GlobeImposter (extension .crypt)
Rien de vraiment nouveau.
Le mail contient une pièce jointe avec un script malveillant (se reporter à la page : Comment se protéger des scripts malicieux sur Windows).
Une fois exécuté, les versions précédentes de fichiers sont supprimés à l'aide de la commande vssadmin.
puis les fichiers sont chiffrés et l'extension est modifiée en .crypt
Un fichier instruction contenant les informations de paiement sont aussi placés dans chaque dossier : how_to_back_files.html
Le paiement se fait par bitcoin, l'adresse de contact est : [email protected]
A noter que le ransomware GLOBEIMPOSTER peut aussi être distribué à travers des piratages RDP.
Plus d'informations :
Piratage de serveurs Windows par Terminal Server
Récupérer les fichiers .crypt
La récupération des fichiers chiffrés par le ransomware .crypt est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell
et plus globalement, suivez les conseils de la page : Sécuriser son Windows.
GLOBEIMPOSTER RANSOMWARE (.725)
- Messages : 116521
- Inscription : 10 sept. 2005 13:57
GLOBEIMPOSTER RANSOMWARE (.725)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116521
- Inscription : 10 sept. 2005 13:57
Re: GLOBEIMPOSTER RANSOMWARE (.alet)
Autre variante avec [email protected]
L'extension des fichiers chiffrés est modifié en .alet!
Le fichier instruction est : #_READ_ME_#!.ht
La fenêtre instruction se place en avant plan et ne peut-être fermé, ce qui rend ce ransomware pénible.
Les exécutables se trouvant sur le bureau sont chiffrés.
A noter que le fichier est signé :
https://www.virustotal.com/fr/file/2a36 ... 500414209/
L'extension des fichiers chiffrés est modifié en .alet!
Le fichier instruction est : #_READ_ME_#!.ht
La fenêtre instruction se place en avant plan et ne peut-être fermé, ce qui rend ce ransomware pénible.
Les exécutables se trouvant sur le bureau sont chiffrés.
A noter que le fichier est signé :
https://www.virustotal.com/fr/file/2a36 ... 500414209/
SHA256: 2a36b368de79461ad8d1c55e580566f1fdf50af74d7625d2fb007873c94b7d9b
Nom du fichier : srsp5lnmp.exe
Ratio de détection : 6 / 63
Date d'analyse : 2017-07-18 21:43:29 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Emsisoft Trojan.FileCoder (A) 20170718
Endgame malicious (high confidence) 20170713
Invincea heuristic 20170607
Rising Malware.Heuristic!ET#84% (rdm+) 20170718
Symantec ML.Attribute.HighConfidence 20170718
Webroot W32.Trojan.Gen 20170718
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116521
- Inscription : 10 sept. 2005 13:57
Re: GLOBEIMPOSTER RANSOMWARE (extension .725)
Les variantes et campagnes du ransomware Globeimposter continuent, avec une variante poussant l'extension .725
Globeimposter lance un batch qui permet de désactiver tous les shadow copies et supprimer tous les paramètres Terminal Server.
Exemple de détection VirusTotal :
SHA256: 72ddceebe717992c1486a2d5a5e9e20ad331a98a146d2976c943c983e088f66b
Nom du fichier : sNNjoOXsMwH.exe
Ratio de détection : 22 / 64
Date d'analyse : 2017-07-28 13:52:45 UTC (il y a 0 minute)
0 4
Analyse
File detail
Informations supplémentaires
Commentaires
Votes
Informations comportementales
Antivirus Résultat Mise à jour
AegisLab Ml.Attribute.Gen!c 20170728
Avast Win32:Malware-gen 20170728
AVG Win32:Malware-gen 20170728
Avira (no cloud) TR/Crypt.Xpack.uodll 20170728
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9888 20170728
CrowdStrike Falcon (ML) malicious_confidence_80% (W) 20170710
Cylance Unsafe 20170728
DrWeb Win32.HLLM.Reset.493 20170728
Endgame malicious (high confidence) 20170721
ESET-NOD32 a variant of Win32/Kryptik.FUYC 20170728
Sophos ML heuristic 20170607
Kaspersky UDS:DangerousObject.Multi.Generic 20170728
McAfee Artemis!4E2B58F99AD9 20170728
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20170728
eScan Trojan.Agent.CKFN 20170728
Palo Alto Networks (Known Signatures) generic.ml 20170728
Rising Trojan.Ransom.GlobeImposter!1.AC37 (classic) 20170728
SentinelOne (Static ML) static engine - malicious 20170718
Symantec ML.Attribute.HighConfidence 20170728
Tencent Win32.Trojan.Raas.Auto 20170728
Webroot W32.Trojan.Gen 20170728
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170728
Globeimposter lance un batch qui permet de désactiver tous les shadow copies et supprimer tous les paramètres Terminal Server.
Les documents chiffrés avec l'extension .725 et le fichier RECOVER-FILES.html dont le contenu a un peu évolué avec un message :@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
qui mène au site de paiement suivant : hxxps://n224ezvhg4sgyamb.onion.link/efwdaq.phpYour files are Encrypted!
For data recovery needs decryptor.
If you want to buy a decryptor, click the button
Your files are Encrypted!
For data recovery needs decryptor.
If you want to buy a decryptor, click the button
Exemple de détection VirusTotal :
SHA256: 72ddceebe717992c1486a2d5a5e9e20ad331a98a146d2976c943c983e088f66b
Nom du fichier : sNNjoOXsMwH.exe
Ratio de détection : 22 / 64
Date d'analyse : 2017-07-28 13:52:45 UTC (il y a 0 minute)
0 4
Analyse
File detail
Informations supplémentaires
Commentaires
Votes
Informations comportementales
Antivirus Résultat Mise à jour
AegisLab Ml.Attribute.Gen!c 20170728
Avast Win32:Malware-gen 20170728
AVG Win32:Malware-gen 20170728
Avira (no cloud) TR/Crypt.Xpack.uodll 20170728
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9888 20170728
CrowdStrike Falcon (ML) malicious_confidence_80% (W) 20170710
Cylance Unsafe 20170728
DrWeb Win32.HLLM.Reset.493 20170728
Endgame malicious (high confidence) 20170721
ESET-NOD32 a variant of Win32/Kryptik.FUYC 20170728
Sophos ML heuristic 20170607
Kaspersky UDS:DangerousObject.Multi.Generic 20170728
McAfee Artemis!4E2B58F99AD9 20170728
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20170728
eScan Trojan.Agent.CKFN 20170728
Palo Alto Networks (Known Signatures) generic.ml 20170728
Rising Trojan.Ransom.GlobeImposter!1.AC37 (classic) 20170728
SentinelOne (Static ML) static engine - malicious 20170718
Symantec ML.Attribute.HighConfidence 20170728
Tencent Win32.Trojan.Raas.Auto 20170728
Webroot W32.Trojan.Gen 20170728
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170728
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116521
- Inscription : 10 sept. 2005 13:57
Re: GLOBEIMPOSTER RANSOMWARE (.725)
Variante avec extension .ocean et fichier d'instruction de paiement !back_files!.html :
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 148 Vues
-
Dernier message par Malekal_morte
-
- 1 Réponses
- 93 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 110 Vues
-
Dernier message par Parisien_entraide
-
- 12 Réponses
- 195 Vues
-
Dernier message par Parisien_entraide
-
- 7 Réponses
- 160 Vues
-
Dernier message par Malekal_morte