Globe Imposter ランサムウェアウイルス を削除するには

Globe Imposter ランサムウェアウイルスの亜種が、Globe 感染の前優良バージョンを誇張し、コピーし続けています。まず初めに類似点として現れるのは、同様のスタイルで設計されたランサムメモです。それにもかかわらず問い合わせ先の情報として異なるEメールアドレスが残されているのは、いくつかの亜種は同じ人々によって生成されていないことを暗に示しているのでしょう。2017年を通じて、Globe Imposterバージョンの作者は以下のようなEメールアドレスを残しています: [email protected], [email protected], [email protected]。

GlobeImposter ランサムウェアに関する最新情報

2017年の夏以来、GlobeImposter バージョンのクリプトウイルスはもの凄い勢いで現れ始めました。そのうちのひとつは、svchost.exeのペイロードを持つ .skunk 拡張子です。さらに .gotham 拡張子もFakeGlobe ウイルスの後ろ暗いディベロッパに属することになりました。A1Lock 亜種は、このファミリーの一部とみなされる運命を免れませんでした。暗号化されたデータに .707拡張子を残しました。FakeGlobe 感染の別の亜種にも移動してみると、 .[email].BRT92 拡張子を追加し、HOW_DECRYPT_FILES#.htmlでランサムメモを提供することがわかっています。

いくつかの不穏なニュース(PSCrypt はFakeGlobeに基づく)によると、 PSCrypt ランサムウェアはGlobeImposter ファイルエンコーダーに基づいています。見てとれる通り、FakeGlobal クリプトウイルスはRaaS (サービスとしてのランサムウェア)として販売されていました。

GlobeImposter ランサムウェアはマルスパム (マルウェアトラフィック分析)からブーストを得て、アメリカとヨーロッパ連合を標的にしていました。それに加えて Necurs ボネットがFakeGlobe ランサムウェアの分布を支援しています。Necurs はdistribution of Lockyの分布にも関与していることがわかっています。セキュリティ研究者の中には、二重のスパムキャンペーンが行われていることを強調している研究者もいます (Locky および FakeGlobe。

残念ながらこれで終わりではありません。我々は .f**k_you_ av_we_are_not_globe_fake, .write_me_[[email protected]]を加えた亜種も検出しました。面白いことに気づいたのですが、GlobeImposter の旧バージョンは .ocean 拡張子を追加していたのに対し、新バージョンのうちのひとつには .seaが追加されています。8月には、 .mtk118、 .492、 .codedという拡張子も確認されました。全てのマークを列挙することは決してやめるつもりはありませんが、トンネルの先には確かに光が見えています。

GlobeImposter バージョンは、拡張子としてID 番号を追加することもわかっています。しかしすべての被害者に対して同じ拡張子を追加する亜種もさらに多くあります。例えば、8月には .ACTUM、 .BONUM、 .NIGGA、 .rumblegoodboy、 .0402などが発見されました。 .f*ckという不適切なものもありました。その他にも、 .GRANNY, .UNLIS, .LEGO, .zuzya, .needdecrypt, .write_on_email, .911, .f41o1, .YAYA, .needkeys, .nWcryptなどの文字列の拡張子があります。

そして、ハッカーたちは大統領の名前を使って、それをランサムウェア感染の中に組み込むことにしています。したがって、 .ReaGan、.BUSH、 .Bill_Clinton@derpymailorg、 .reaGANなどの拡張子です。これらの亜種が出現を止めず、しばらくの間脅威として居座り続けているので、GlobeImpostersについて学ぶべき必要性が強調されています (Facts about FakeGlobe)。

FakeGlobe ウイルスサンプルの種類に関して

Globe Imposters が暗号化で損なわせるデータに追加される全ての拡張子を数えるのは、むしろより複雑になってきています。最近のサンプルの一例は .help です。この亜種は8月2日にアクティブになったことがわかっており、そのペイロードは encm3です。

8月1日、別の亜種が .726という拡張子で出てきました。同種はその前にかなり長い間活動していましたが、そのときは .725 拡張子が追加され、被害者のブラウザでRECOVER-FILES-726.html ファイルが起動されていました。

.

7月31日、FakeGlobe マルウェアの別亜種が浮上し、 !back_files!.htmlとともに.ocean 拡張子を備えていました。同じ頃、Globe Impostersのペイロードをコンピュータへもたらす実行可能ファイルを備えたマルスパムキャンペーンも発覚しました。Necurs ボネットは、これらの迷惑メールを無事に配布するために利用されたツールのひとつでした。

場合によっては、メールが合法であることを人々に確信させるための努力をハッカーたちが怠っていることがあります。見た目から、送られてきたメッセージは空白で、文字は含まれておらず、添付ファイルのみというものでした。メールの中には信じてしまいそうなものもありますが、何の文字も含まないメッセージはすぐに違反報告されるべきです。

A1Lock と呼ばれるGlobe Imposterの亜種も検出され、KSSOIFUSIOHRQW.exe ペイロードを介してユーザーのコンピュータにもたらされます。 .rose 拡張子を追加し、 「how_to_back_files.html」を組み込みます。この亜種は先に説明したサンプルとは違うメッセージを .html ファイルで開くことから、かなり異なっていました。また {email}.BRT92 を追加する#HOW_DECRYPT_FILES#.htmlを伴ったサンプルも検出されています。

これらのクリプトウイルスの復号

ファイルの復号が可能でありそうな方法を試す前に、まずはオペレーティングシステムに現在問題をもたらしているマルウェアサンプルを取り除く必要があります。マルウェア対策アプリケーションならどれでも役立つかとは思いますが、我々は Reimageを推奨しています。マルウェアを取り除かずにいると、クリプトウイルスはファイル暗号化の処理を繰り返し実行してきます。もしお使いのシステムが安全でないRDPを介して感染している場合、すべてのユーザーのパスワードを変更する必要があります。

Globe Imposter 亜種の初期のもののひとつに、 *.crypt 拡張子を付けたものがありました。このバージョンはEmsisoft Decrypterを使って復号することができます。他の亜種も分解することができましたが、サービスが提供しているマニュアルに従わなければなりません。それでも問題が解決しない場合には、他の方法を試してみることをお勧めします。以下にそのいくつかのついて説明したセクションがありますので参考にしてください。

ランサムウェア感染が分布に利用する戦略とは?

クリプトウイルスの連鎖は、主に添付ファイルを含むスパムメッセージによって伝達されます。もちろん他の戦略も適用される可能性もありますが、最もよく使われている手口はこれです。また安全ではないウェブサイトやオンライン広告を介してペイロードが広められていることもあります。保護されていないリモートデスクトッププロトコル(RDP)もまたターゲットとなるケースもあります。ランサムウェアに感染するリスクを予防したいのであれば、デジタルデータを保管する代替の場として利用できるバックアップストレージや他のロケーションにファイルをアップロードしておくのが賢明です。

言うまでもありませんが、見知らぬEアドレスからのメッセージは開かないようにしましょう。最後に、一部のクリプトウイルスはソーシャルネットワークサイトからも分布されることがありますのでご注意ください。

.

システム復元を使ってGlobe Imposter ランサムウェアウイルス を取り除く方法は?

1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する

Windows 7 / Vista/ XPの場合

• [スタート] → [シャットダウン] → [再起動] → [OK]
• [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
• [セーフモードとコマンドプロンプト]を選択します。

Windows 8 / 10の場合

• Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
• [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
• 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。

システムのファイルや設定を復元する

• [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
• それからrstrui.exe を入力して再度[Enter]を押します。
• 現れた画面上で[次へ]をクリックします。
• Globe Imposter ランサムウェアウイルス がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
• [はい]をクリックしてシステムの復元を開始します。

2. Globe Imposter ランサムウェアウイルスを完全に削除する

システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Globe Imposter ランサムウェアウイルスに関連する全ての不正ファイルを取り除くことが推奨されます。

3. ボリューム・シャドー・コピーを使ってGlobe Imposter ランサムウェアウイルス に感染したファイルを復元する

お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Globe Imposter ランサムウェアウイルスはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。

ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。

a) ネイティブWindows 以前のバージョン

暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。

b) シャドーエクスプローラ

オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。

注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。