Инструкция по удалению вируса GlobeImposter. Как расшифровать файлы .GlobeImposter

 

GlobeImposter вирус

 

Сегодня мы с вами поговорим о вирусе, который стал настоящим лидером по числу зараженных компьютеров в течение последней недели. Этот вирус называется GlobeImposter, но также может быть известен вам названием 726. Данный вирус распространяется очень быстро, но основной его особенность является огромное количество версий. С начала августа было замечено более десяти вирусов, идентичных .726 по своей структуре и использующих другие изображения, другой текст записки с требованиями выкупа и другое расширение для зашифрованных файлов. Вот список используемых расширений, но мы не можем считать его полным, так как во время написания этой статьи у вируса могло появиться еще несколько клонов.

 

".726", “.725”, “.492”, ".515", ".707", “.626”, ".3ncrypt3d", ".2cXpCihgsVxB3", ".au1crypt", “.astra”, ".BRT92", “.blcrypt”, “blscrypt”, “.coded”, ".cryptch", ".crypt", ".GLAD", ".GORO", ".GOTHAM", ".GRAF", ".HAPP", ".PLIN", ".sea", ".help", ".RECT", ".ocean", ".rose", ".write_me_[Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.]", "p1crypt", ".MAKB", ".skunk", ".s1crypt",.nopasaran, "Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.", ".VAPE", ".pscrypt", ".oni", ".pizdosik", "Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.","Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.", ".fix", ".virginprotection", ".WRITE_US", ".MIXI", ".troy", ".write_us_on_email", ".PRIAPOS", ".nCrypt", ".hNcrypt", ".medal", ".paycyka", ".vdul", ".keepcalm", ".legally", ".wallet", ".pizdec", ".mtk118".

 

Можно с уверенностью сказать, что пока что еще ни один вирус не был так популярен среди мошенников и не был столько раз скопирован за такое короткое время. В чем же причина такой популярности GlobeImposter? Увы, мы можем лишь предполагать это, и скорее всего дело в правильной раскрутке вируса нелегальных сегментах Интернета и в том, что он был выложен на популярном онлайн-сайте вредоносного ПО. Все эти копии вируса вовсе не являются обновлениями от его создателей – это лишь копии, используемые горе-мошенниками для того, чтобы заработать немного легких денег. Вирус никак не изменился за последнюю неделю, а значит, файлы зашифрованные любым из этих вирусов можно будет расшифровать с помощью одной-единственной программы.

Что же нам известно о вирусе .726 и его побочных версиях? Вирус использует традиционные способы проникновения в систему, связанные со спамом по электронной почте. Сумма выкупа - 1 биткоин или примерно 950 долларов по текущему курсу. Записки с требованиями выкупа однотипные, и не сообщают почти никаких данных о структуре вируса и алгоритме шифрования. Вот пример стандартной записки:

 

Your files are encrypted!
All your important data has been encrypted.
To recover data you need decryptor.
To get the decryptor you should:
pay for decrypt:
site for buy bitcoin:
Buy 1 BTC on one of theses site:
1. localbitcoins.com
2. coinbase.com
3. xchange.cc
Bitcoin address to pay: 16G8L4oJs87e7kACZ6W4PNZLsXAkxxXsuWe
Send 1 BTC for decrypt. After the payment: Send screenshot of payment to Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра., Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.. In the letter include your personal ID (look at the beginning of this document). After you will receive a decryptor and instructions. Attention! No Payment = No decryption. You really get the decryptor after payment. Do not attempt to remove the program or run the anti-virus tools. Attempts to self-decrypting files will result in the loss of your data. Decoders other users are not compatible with your data, because each user’s unique encryption key.

 

Ни один из вариантов GlobeImposter не имеет своего сайта, так как мошенники совершают все операции с помощью электронной почты, что также говорит о низком уровне организации, непрофессионализме и ограниченных возможностях мошенников. И наконец, самый главный показатель – это то, что новые версии вируса продолжали появляться даже после того, как IT-лаборатория EmsiSoft выпустила программу для расшифровки файлов GlobeImposter. Если вы стали жертвой любой из версий вируса – просто перейдите по этой ссылке, скачайте программу и восстановите свои данные бесплатно.

Как удалить GlobeImposter с компьютера

Теперь, когда вы знаете, что из себя представляет GlobeImposter и как восстановить файлы, остаётся лишь один вопрос: как удалить вирус из системы? Дело в том, что GlobeImposter, как и большинство других вирусов-вымогателей, способен удалить ваши данные безвозвратно, если вы попытаетесь удалить вирус. Чтобы избежать этого вам следует воспользоваться нашими инструкциями по удалению GlobeImposter. Если у вас есть бэкап ваших файлов, или бэкап системы – не загружайте его пока не удалите вирус! Вирус всё равно останется в системе, и к тому же заразит бэкап, сделав его бесполезным. В точности соблюдайте все пункты инструкции и вскоре вы избавитесь от GlobeImposter навсегда! Нажмите здесь, чтобы скачать SpyHunter и удалить вирус программно

Шаг 1. Запустить систему в безопасном режиме

  • Нажмите «Пуск»
  • Введите Msconfig и нажмите «Enter»

Запуск в безопасном режиме. Шаг 1

 

  • Выберите вкладку «Загрузка»

Запуск в безопасном режиме. Шаг 2

 

 

  • Выберите «Безопасная загрузка» и нажмите OK

Шаг 2. Показать все скрытые файлы и папки

    • Нажмите «Пуск»
    • Выберите «Панель управления»

Показать все скрытые файлы и папки. Шаг 1

 

    • Выберите «Оформление и персонализация»

Показать все скрытые файлы и папки. Шаг 2

 

    • Нажмите на «Параметры папок»
    • Перейдите во вкладку «Вид»
    • Выберите «Показывать скрытые файлы, папки и диски»

Показать все скрытые файлы и папки. Шаг 3

 

  • Нажмите OK

Шаг 3. Удалить файлы вируса

Проверьте следующие папки на предмет наличия в них файлов вируса:

  • %TEMP%
  • %APPDATA%
  • %ProgramData%

Шаг 4. Очистить реестр (для опытных пользователей)

  • Нажмите «Пуск»
  • Введите «Regedit.exe» и нажмите «Enter»
  • Проверьте папки автозапуска на наличие подозрительных записей:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • Аналогично для папки HKEY_CURRENT_USER
  • Удалите из этих папок вредоносные файлы

Видео инструкция

 

 

 

 

1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 [1 Голос]

Добавить комментарий

Защитный код
Обновить

Norton_scan_results

Google_SafeBrowsing_scan_results