La gravedad de escala:  
  (99/100)

Virus ransomware Globe Imposter. ¿Cómo eliminar? (Guía de desinstalación de)

por Linas Kiguolis - - | Escribe: Ransomware
12

Introduciendo el crecimiento de la familia del virus Globe Imposter

Globe Imposter virus

El virus Globe Imposter es un virus crypto-ransomware malicioso que imita al infame ransomware Globe y codifica los archivos del ordenador, así los extorsionistas pueden vender una clave de desencriptación y ganar algo de dinero . Una vez que encripta los archivos, el virus marca los archivos con extensiones específicas.

Dependiendo de la versión del virus, el malware Globe Imposter puede añadir las siguientes extensiones:

.goro, .au1crypt, .s1crypt, .nCrypt, .hNcrypt, .legally, .keepcalm, .fix, .515, .crypt, .paycyka, .pizdec, .wallet, .vdulm, .2cXpCihgsVxB3, .medal, .3ncrypt3d .[byd@india.com]SON, .troy, .Virginprotection, .BRT92, .725, .ocean, .rose, .GOTHAM, .HAPP, .write_me_[btc2017@india.com] and .skunk.

Repetidas denuncias de víctimas atacadas por estos virus muestran que los desarrolladores de los ransomware continúan cambiando sus detalles de contacto y proporcionan diferentes direcciones email en las notas de pago (estos documentos pueden estar categorizados como HOW_OPEN_FILES.hta, how_to_back_files.html, RECOVER-FILES.html, !back_files!.html, #HOW_DECRYPT_FILES#.html) including:

  • write_me_[btc2017@india.com],
  • 511_made@cyber-wizard.com,
  • btc.me@india.com
  • chines34@protonmail.ch
  • decryptmyfiles@inbox.ru
  • garryweber@protonmail.ch
  • keepcalmpls@india.com
  • happydaayz@aol.com
  • strongman@india.com
  • support24@india.com
  • support24_02@india.com
  • oceannew_vb@protonmail.com
  • asnaeb7@india.com
  • asnaeb7@yahoo.com
  • i-absolutus@bigmir.net
  • laborotoria@protonmail.ch
  • filesopen@yahoo.com
  • openingfill@hotmail.com
  • crypt@troysecure.me
  • troysecure@yandex.by
  • troysecure@yahoo.com

Ya que los desarrolladores del malware no siempre dan nombres de sus maliciosas creaciones, la comunidad tecnológica a menudo ofrece categorías a las extensiones o direcciones email usadas para la comunicación con las víctimas. Sin embargo, para hacer las cosas más sencillas, estos parásitos están categorizados como Globe Imposter o Fake Globe. Debemos anotar que, a pesar del hecho de que estos virus son solo versiones copias de los parásitos originales, bajo ningún concepto esto significa que no sean destructivos.

Los virus Fake Globe pueden encriptar los archivos con tanto éxito como cualquier otro ransomware que haya sido desarrollado desde cero. Considerando que hay numerosas variantes ransomware, solo podemos decir que ciertos virus tienden a usar cifradores RSA y AES, los cuales usan la mayoría de ransomwares en sus ataques . Mientras que otras versiones de malware pueden ser descifradas, otras pueden ser extremadamente peligrosas.

Los expertos en seguridad de Emsisoft han tenido éxito a la hora de crear una herramienta de desencriptación para el ransomware – un desencriptador gratuito para Globe Imposter, el cual ayuda a las víctimas de los ransomware a recuperar sus archivos y restaurar el orden en sus ordenadores . Por el momento, esta herramienta de rescate ya ha sido descargada 11844 veces, lo cual solo prueba que los parásitos se está difundiendo rápidamente y todo el mundo debería tomar acciones para proteger sus dispositivos contra esto.

Si ya es demasiado tarde para tomar medidas preventivas, deberías ir hacia abajo y descargar el desencriptador y aprender a eliminar Globe Imposter de tu ordenador. Te sugerimos que uses un programa antivirus legítimo, como Reimage para solucionar adecuadamente tu dispositivo.

GlobeImposter imita las funciones principales del virus Globe origina. Añade ciertas extensiones de archivo a los datos encriptados y coloca archivos .html o .hta con notas de pago que aparecen en todas las carpetas con archivos afectados en el ordenador. Las buenas noticias son que el virus normalmente no cambia el nombre original de los archivos, por lo que pueden ser fácilmente administrados una vez el virus sea desencriptado.

Deberías recordar que los desarrolladores del virus usan tácticas amenazadoras  para alejar la atención de la víctima de cualquier otra alternativa de recuperación. Por ello, debes siempre comprobar si los analistas de virus han logrado inventar alguna herramienta gratuita de desencriptación. En este caso, tienes suerte, porque serás capaz de recuperar tus archivos y completar la eliminación de Globe Imposter sin encontrarte con consecuencias más serias.

Actuales versiones activas de Globe Imposter:

Virus GlobeImposter 2.0

Otra versión pobremente creada, aunque ligeramente mejorada del ransomware Globe. Esta versión particular añade la extensión .FIX a los archivos de la víctima, los cuales encripta con un poderoso algoritmo y los convierte en ilegibles.

Las estrategias de infiltración del virus varían desde las campañas de spam a las descargas conducidas o anuncios engañosos. No hay modo virtual de saber cómo va a golpear el virus. Aunque la versión original de GlobeImposter fue desencriptada, los expertos en malware no han logrado repetir sus éxitos con la versión 2.0, y este parásito aún es indescifrable.

Es por lo que siempre es una buena idea realizar copia de seguridad de tus archivos más importantes, donde el script de algún ransomware malicioso no pueda alcanzarlas y encriptarlas. De este modo, siempre tendrás una opción de recuperación en caso de que tus datos queden corruptos.

Versión alemana de GlobeImposter

Para alcanzar a más víctimas, los desarrolladores de malware a menudo adaptan sus maliciosas creaciones a países específicos y hablan con los usuarios en un idioma nativo.

La versión alemana del ransomware es un perfecto ejemplo de esta estrategia: la nota de pago con explicaciones sobre cómo recuperar los archivos encriptados se presenta en alemán. Los criminales piden 0,5 Bitcoins para la clave de recuperación de datos. Una vez el dinero es transferido, se pide a las víctimas enviar un pantallazo de la transacción a la dirección email indicada – decryptmyfiles@inbox.ru.

Pero incluso completar todas las demandas de los criminales no garantiza la recuperación. Los extorsionistas son impredecibles y pueden simplemente acabar robándote también el dinero. Es por lo que nosotros recomendamos permanecer seguros y eliminar la versión alemana de GlobeImposter.

Virus KeepCalm

El virus encripta y añade la extensión .keepcalm, que es de donde el virus recibe el nombre. El parásito ejecuta un poderoso script de encriptación para bloquear los archivos de la víctima y luego ofrece desencriptarlos solo si las víctimas pagan una considerable cantidad de dinero.

Los extorsionistas dan más detalles de la descripción de la recuperación de los datos en la nota de pago llamada HOW_TO_BACK_FILES.html. Esencialmente, las víctimas deben contactar con los criminales a través de la dirección email keepcalmpls@india.com. La instantánea de pago junto con la ID personal de la víctima deben ser enviados a este email para recibir la herramienta de desencriptación. Desafortunadamente, esto no ocurre normalmente.

Al contrario, los criminales tienden a robar el dinero a las víctimas, dejándolas con un puñado de información cifrada. En este caso, todo lo que puedes hacer es eliminar KeepCalm del dispositivo infectado y sobrepasar la encriptación de algún otro modo seguro.

Virus Wallet GlobeImposter

A comienzos de Mayo de 2017, una nueva versión del virus Fake Globe fue detectada. Esta vez, usaba la extensión de archivo .wallet con el fin de parodiar al ransomware Dharma, el cual es conocido por usar la extensión de archivo .wallet para marcar los archivos encriptados.

El ransomware coloca la nota de pago how_to_back_files.html en el escritorio, el cual contiene la ID de la víctima y la dirección BitMessage en caso de que la víctimas quieran contactar con los criminales r- BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U[@]bitmessage.ch.

El virus elimina las copias de volumen de los datos para prevenir que las víctimas restaúren los archivos sin pagar.

Virus archivo de extensión .s1crypt

Este parásito sirve como otra variación de ransomware. Presenta sus demandas en la nota de pago how_to_back_files.html. También informa a los usuarios que todos sus documentos y datos han sido encriptados.

Con el fin de desencriptar los archivos, las víctimas deberían pagar un decodificador específico que supuestamente cuesta 2 Bitcoins. No hace falta decir que la herramienta no mejora las posibilidades de recuperación de los datos.

Además, los desarrolladores también proporcionan tres enlaces adicionales para los usuarios que no saben cómo comprar bitcoins. En caso de dificultades técnicas, pueden contactar con los criminales a través de la dirección laboratoria@protonmail.ch.

El final del email puede sugerir que los criminales han registrado su dominio en Suiza. De nuevo, puede ser solo por diversión. Las herramientas antivirus pueden identificar el malware como Trojan.Generic.DB75052. 

Virus archivo de extensión .au1crypt

El malware funciona como homólogo de la versión priginal. Su interfaz es diferente. La ID parece ser el resultado de la criptografía AES y RSA. La nota de pago, how_to_back_files.html, explica al usuario que los archivos an sido encriptados debido a un problema de seguridad con su PC.

A diferencia de la versión original, la cual indicaba una dirección Bitcoin, esta versión instruye al usuario para contactar con los ciber criminales a través de summerteam@tuta.io y summerteam@india.com. Aunque parece que el malware es una “diversión de verano” para los hackers, los miembros de la comunidad virtual deberían tener cuidado.

Por el momento, su troyano es identificable como Variant.Adware.Graftor.lXzx.

Virus extensión de archivo .goro

Este virus alcanza específicamente a sus víctimas a través de redes de Protocolo de Escritorio Remoto (RDP) débiles. Ya que esta versión es una marca nueva, no hay desencriptador lanzado aún. Los desarrolladores también han usado similares notas de pago .html para dar instrucciones.

Puedes terminar con goro.exe en el Administrador de Tareas para interrumpir los procesos maliciosos. Esta versión está también asociada con la versión del virus Wallet de la familia de ransomware Dharma.

Por el momento, esta variante es detectable como Trojan[Ransom]/Win32.Purgen, Arcabit Trojan.Ransom.GlobeImposter.1 por la mayoría de aplicaciones de seguridad. La dirección email Mk.goro@aol.com es otro indicador de esta versión.

Virus extensión de archivo .{email}.BRT92

Este virus hace lo que su nombre sugiere – añade la extensión .{email}.BRT92 a los archivos encriptados. Además de la nueva extensión, este virus Globe coloca la nota de pago en el archivo #HOW_DECRYPT_FILES#.html.

En su página html, a las víctimas se les proporciona un número ID que es básicamente un código que ayuda a los perpetradores a diferencias a las víctimas.

Los hackers indican dos diferentes direcciones email asnaeb7@india.com y asnaeb7@yahoo.com para la comunicación con la víctima.

Virus archivo de extensión .ocean

Esta versión de virus Globe apareció en 2017. El virus añade la extensión .ocean y coloca la nota de pago llamada !back_files!.html para demandar dinero. Con el fin de recuperar sus archivos, las víctimas deben contactar con los criminales a través de la dirección email oceannew_vb@protonmail.com.

Los hackers declaran que el precio de la desencriptación de los archivos dependerá de cómo de rápido la víctima logre contactar con ellos. Sin embargo, colaborar con los criminales nunca es una buena opción, ya que puedes acabar estafado.

Virus A1Lock

A1Lock es una de las versiones más exitosas del virus GlobeImposter. Hay varias versiones de este parásito y cada una de ellas añade diferentes extensiones de archivo. Actualmente sabemos que hay variantes que usan las extensiones .rose, .troy u .707.

La nota de pago aparece normalmente en los documentos llamados How_to_back_files.html y RECOVER-FILES.html. Para la comunicación con las víctimas, los criminales indican las siguientes direcciones: i-absolutus@bigmir.net, crypt@troysecure.me, troysecure@yandex.by and troysecure@yahoo.com.

Virus archivo de extensión .Write_me_[btc2017@india.com]

Echando un ojo a su diseño, esta versión de Fake Globe difiere de la mayoría de versiones de virus. Sin embargo, funciona exactamente igual: encripta los archivos de la víctima y ofrece obtener un decodificador. Las víctimas que quieran pagar deben contactar con los criminales a través de la dirección email btc2017@india.com.

El riesgo aquí es grande ya que los criminales son libres de quedarse con el dinero que las víctimas han pagado. De este modo, el parásito marca los archivos con la extensión .Write_me_[btc2017@india.com] y se quedarán así para siempre.

Vectores de infiltración de GlobeImposter

Los ransomware GlobeImposter emplean técnicas de distribución tradicionales y se difunden a través de emails spam maliciosos. Otros vectores de ataque conocidos son los anuncios cargados de malware y las descargas conducidas.

Como la mayoría de ransomwares, esta variante esconde su destructiva carga explosiva bajo programas aparentemente legítimos o archivos de Windows, así las potenciales víctimas no sospechan nada y descargan los archivos maliciosos en sus ordenadores.

Para proteger el sistema de ataques malware, se requiere de un buen programa anti-malware actualizado, además, te recomendamos que uses dispositivos de almacenamiento externo y realices copias de seguridad en ellas. Puedes usar discos duros externos, USBs, discos, DVDs, etc. ¡Simplemente no te olvides de mantenerlos desenchufados del ordenador!

Actualización del 23 de Mayo de 2017. El ransomware sigue cambiando sus técnicas de ataque y, de acuerdo con las últimas denuncias, estos maliciosos virus son forzados por el malspam Blank Slate, el cual ha sido y es responsable de la distribución de Cerber.

Resulta que los archivos maliciosos vienen empaquetados en archivos .zip con carácteres aletaorios, como por ejemplo, 8064355.zip. Cuando es desenpaquetado y ejecutado, el archivo .js o .jse de dentro se conectta a un cierto cominio y descarga el ransomware de él.

Los criminales tienden a cambiar regularmente los dominios de los ransomware anfitriones, pero actualmente, los dominios conocidos con newfornz[.]top, pichdollard[.]top and 37kddsserrt[.]pw.

Actualización del 1 de Agosto de 2017: Una nueva campaña de malspam de Globe Imposter (muy probablemente basada en el botnet Necurs) ha sido detectada. Abajo encontrarás una lista de direcciones emails, títulos de email y archivos adjuntos asociados con la distribución de Fake Globe:

  • donotreply@jennieturnerconsulting.co.uk   —   Payment Receipt_72537   —   P72537.zip
  • donotreply@ritson.globalnet.co.uk   —   Payment 0451   —   P0451.zip
  • donotreply@vintageplanters.co.uk   —   Payment Receipt#039   —   P039.zip
  • donotreply@bowker61.fastmail.co.uk   —   Receipt 78522   —   P78522.zip
  • donotreply@satorieurope.co.uk   —   Receipt#6011   —   P6011.zip
  • donotreply@npphotography.co.uk   —   Payment-59559   —   P59559.zip
  • donotreply@anytackle.co.uk   —   Receipt-70724   —   P70724.zip
  • donotreply@gecko-accountancy.co.uk   —   Receipt#374   —   P374.zip
  • donotreply@corbypress.co.uk   —   Payment Receipt#03836   —   P03836.zip
  • donotreply@everythingcctv.co.uk   —   Payment_1479   —   P1479.zip

De acuerdo con la web malware-traffic-analysis.net, de donde se ha compilado esta lista, los archivos .zip contienen archivos vbs que llevan la carga explosiva.

Además, los nuevos títulos han sido añadidos a la campaña de spam que distribuye Fake Globe como archivo .js. Ten cuidado con los emails que lleven consigo los mensajes “Voice Message Attached” or “Scanned Image”. 

Sugerencias para completar la eliminación del virus Globe Imposter

En caso de que estés infectado con un virus Fake Globe, deberías tener mucho cuidado de no dañar tu sistema más. No intentes eliminar este virus si es la primera vez que te encuentras con él.

Los desarrolladores del virus intentarán hacer de la eliminación de Globe Imposter algo muy complicado, dejando potenciales trampas durante el proceso. Solo los programas legítimos y poderosos de seguridad pueden funcionar y encontrar esos obstáculos para eliminar el virus Globe Imposter del sistema corrupto.

Podemos estar afiliados con cualquier producto que recomendamos en nuestro sitio. Publicación completa en nuestros Acuerdos de Uso. Al descargar cualquier proporcionado software anti-spyware para eliminar Virus ransomware Globe Imposter está de acuerdo con nuestra política de privacidad y Acuerdo de Uso.
¡Hazlo ahora!
Descarga
Reimage (eliminador) Felicidad
Garantía
Descarga
Reimage (eliminador) Felicidad
Garantía
Compatible con Microsoft Windows Compatible con OS X
¿Qué hacer si falla?
Si fallas a la hora de eliminar la infección usando Reimage, envía una pregunta a nuestro equipo de asistencia y proporciona toda la información que puedas.
Reimage es recomendado para desinstalar Virus ransomware Globe Imposter. Los escaneos gratuitos te permiten comprobar si tu PC está infectado o no. Si necesitas eliminar malware, debes comprar la licencia de versión de la herramienta de eliminación de malware Reimage.
Más información sobre este programa puede ser encontrada en el análisis Reimage.
Menciones en prensa de Reimage

Guía de eliminación manual del virus Globe Imposter:

Eliminar Globe Imposter usando Safe Mode with Networking

Un virus Fake Globe no se va a ir del sistema sin pelear. Por ello, puede bloquear el antivirus o cualquier otro programa de seguridad para impedir que se ejecute. En caso de que esto ocurra, por favor, sigue las siguientes instrucciones.

  • Paso 1: Reinicia tu ordenador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Safe Mode with Networking de la lista Selecciona 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Networking en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Networking'
  • Paso 2: Eliminar Globe Imposter

    Loguéate en tu cuenta infectada y comienza a navegar. Descarga Reimage u otro programa anti-spyware legítimo. Actualízalo antes de ejecutar un escaneo completo del sistema y elimina los archivos maliciosos que pertenezcan al ransomware y completa la eliminación de Globe Imposter.

Si el ransomware está bloqueando Safe Mode with Networking, intenta el método adicional.

Eliminar Globe Imposter usando System Restore

Los parásitos ransomware son serias ciber infecciones y pueden no solo bloquear documentos en el ordenador, sino también bloquear aplicaciones. Un programa de seguridad no es una excepción. Si Globe Imposter está interfiriendo con una comprobación automática del sistema, sigue estas instrucciones.

  • Paso 1: Reinicia tu ordenador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Command Prompt de la lista Selecciona 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Command Prompt en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Command Prompt'
  • Paso 2: Restaura tus archivos del sistema y configuraciones
    1. Una vez aparezca la ventana Command Prompt, inserta cd restore y haz click en Enter. Inserta 'cd restore' sin comilla y pulsa 'Enter'
    2. Ahora escribe rstrui.exe y pulsa de nuevo en Enter.. Inserta 'rstrui.exe' sin comilla y pulsa 'Enter'
    3. Cuando una nueva ventana aparezca, haz click en Next y selecciona tu punto de restauración que sea anterior a la infiltración de Globe Imposter. Tras hacer esto, haz click en Next. Cuando aparezca la ventana 'System Restore', selecciona 'Next' Selecciona tu punto de restauración y haz click en 'Next'
    4. Ahora haz click en Yes para comenzar la restauración del sistema. Haz click en 'Yes' y comienza la restauración del sistema
    Una vez que restaures tu sistema a su fecha anterior, descarga y escanea tu ordenador con Reimage y asegúrate de que la eliminación de Globe Imposter se ha realizado correctamente.

Bonus: Recuperar tus datos

La guía que se presenta a continuación te intentará ayudar a eliminar Globe Imposter de tu ordenador. Para recuperar tus archivos encriptados, te recomendamos que uses una guía detallada por los expertos de seguridad de losvirus.es.

La herramienta de desencriptación de Emsisoft puede no funcionar, ya que es capaz de desencriptar archivos bloqueados solo por ciertas versiones de este grupo de ransomware. En caso de que no te ayude a recuperar tus datos a su estado original, te sugerimos que intentes estas alternativas:

Si tus archivos han sido encriptados por Globe Imposter, puedes usar varios métodos para restaurarlos:

Obtener ayuda de Data Recovery Pro

Este programa de recuperación de datos prueba ser eficiente a la hora de tratar con archivos corruptos o dañados. Te sugerimos que intentes usar esta herramienta para restaurar tus archivos.

  • Descarga Data Recovery Pro (https://losvirus.es/download/data-recovery-pro-setup.exe);
  • Sigue los pasos establecidos en Data Recovery e instala el programa en tu ordenador;
  • Ejecútalo y escanea tu ordenador en busca de los archivos encriptados por el ransomware Globe Imposter;
  • Restauralos.

El truco de ShadowExplorer

Deja que ShadowExplorer haga su función y restaúre los archivos usando las copias de volumen de los datos. Desafortunadamente, los virus ransomware buscan eliminar estas copias y, en caso de éxito, ShadowExplorer no podrá ayudarte.

  • Descarga Shadow Explorer (http://shadowexplorer.com/);
  • Sigue el Asistente de Configuración de Shadow Explorer e instala esta aplicación en tu ordenador.
  • Ejecuta el programa y ve hacia el menú desplegable en la esquina superior izquierda para seleccionar el disco con tus datos encriptados. Comprueba qué carpetas son ahí;
  • Click derecho en la carpeta que quieres restaurar y selecciona “Export”. Puedes también seleccionar dónde quieres que sea almacenada.

Desencriptador gratuito para Globe Imposter

Puedes recuperar rápidamente tus archivos si usas este desencriptador gratuito para Globe Imposter de Emsisoft. 

Finalmente, deberías pensar en la protección contra crypto-ransomwares. Para poder proteger tu ordenador de Globe Imposter u otros ransomwares, usa un anti-spyware legítimo, como Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus o Malwarebytes Anti Malware

Sobre el autor

Linas Kiguolis
Linas Kiguolis

Si esta guía de eliminación gratuita te ha ayudado y te sientes satisfecho con nuestro servicio, por favor, considera hacer una donación para mantener nuestro servicio funcionando. ¡Incluso las cantidades más pequeñas son bien recibidas!

Fuente: https://www.2-spyware.com/remove-globe-imposter-ransomware-virus.html

Guías de eliminación en otros idiomas