Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 21 августа 2016 г.

DetoxCrypto

DetoxCrypto Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2 или 3 биткоина, чтобы вернуть файлы обратно. 

На данный момент известно два варианта: Pokemon и Calipso. 

Записки с требованием выкупа написаны на скринлоках (файлы bg.jpg и pokbg.jpg) и экранах блокировки. 

 Содержание записки о выкупе: 
Your documents, photos, databases and other important files have been encrypted and a unique unlock key is generated!!
You can only unlock your files by buying this key from us, there is no other way to save or unlock your files!!
How to unlock my files?
You need to send 2 bitcoins to our Bitcoin wallet address.
To get the wallet address contact us at: contact365@mail2tor.com
We recommend to buy Bitcoins here: www.localbitcoins.com
Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins. 
Locally by entering your city and select cash in person as your paying option.
To save time you can give the seller our bitcoin address and he can send the bitcoins to us directly. 
After we receive the payment we will send you the unlock key to the email you contacted us from.
** Act fast because all your files will be deleted in 96h **
** If you delete this program all your files will be deleted forever **

 Перевод записки на русский язык: 
Ваши документы, фото, базы данных и другие важные файлы зашифрованы и уникальный ключ сгенерирован!!
Можно разлочить файлы, только купив ключ у нас, нет другого способа спасти или разлочить файлы!!
Как разлочить мои файлы?
Вам надо переслать 2 биткоина на наш Bitcoin-адрес.
Адрес кошелька получите, написав нам на contact365@mail2tor.com
Мы предлагаем купить биткоины тут: www.localbitcoins.com
Регистрируйтесь и купите биткоины в PayPal, Skrill или у того, кто продает.
Впишите свой город и выберите деньги, которыми оплачиваете покупку.
Для экономии времени можно дать продавцу наш Bitcoin-адрес и он пошлет биткоины нам.
После получения оплаты мы вышлем вам ключ разблокировки на email, присланный вами.
** Спешите, все ваши файлы удалятся через 96 ч. **
** Если удалите эту программу, то все ваши файлы пропадут **

Содержание записки о выкупе варианта Calipso может различаться. Или такой же текст или более короткий.


Email вымогателей могут меняться: 
contact365@mail2tor.com
motox2016@mail2tor.com
pokemongo@mail2tor.com

Отображение экран блокировки сопровождается музыкой и представляет собой следующее, см. скришот.

Содержание текста с экрана блокировки:
We are all Pokemons
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED AND A UNIQUE UNLOCK KEY IS GENERATED!!
YOU CAN ONLY UNLOCK YOUR FILES BY BUYING THIS KEY FROM US, THERE IS NO OTHER WAY TO SAVE OR UNLOCK YOUR FILES!!
HOW TO UNLOCK MY FILES?
You need to send 2 Bitcoins to our Bitcoin Wallet address.
To get the Wallet address contact us at : contact365@mail2tor.com
WE RECOMMEND TO BUY BITCOINS HERE :  WWW.LOCALBITCOINS.COM
Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins Locally by entering your City and select CASH in person as Your paying option. 
TO SAVE TIME YOU CAN GIVE THE SELLER OUR BITCOIN ADDRESS AND HE CAN SEND THE BITCOINS TO US DIRECTLY. 
AFTER WE RECEIVE THE PAYMENT WE WILL SEND YOU THE UNLOCK KEY TO THE EMAIL YOU CONTACTED US FROM.
** Act fast because ALL YOUR FILES WILL BE DELETED IN 96h **
** IF YOU DELETE THIS PROGRAM ALL YOUR FILES WILL BE DELETED FOREVER **

Перевод на русский: 
Мы все покемоны
Документы, фото, базы и другие важные файлы были зашифрованы и уникальный ключ сгенерирован!!
Можно разлочить файлы, только купив ключ у нас, нет другого способа спасти или разлочить файлы!!
Как разлочить мои файлы?
Вам надо переслать 2 биткоина на наш Bitcoin-адрес.
Адрес кошелька получите, написав нам на contact365@mail2tor.com
Мы предлагаем купить биткоины тут: www.localbitcoins.com
Регистрируйтесь и купите биткоины в PayPal, Skrill или у того, кто продает.
Впишите свой город и выберите деньги, которыми оплачиваете покупку.
Для экономии времени можно дать продавцу наш Bitcoin-адрес и он пошлет биткоины нам.
После получения оплаты мы вышлем вам ключ разблокировки на email, присланный вами.
** Спешите, все ваши файлы удалятся через 96 ч. **
** Если удалите эту программу, то все ваши файлы пропадут **

 Распространяется с помощью email-спама и вредоносных вложений, с помощью инфицированных файлов и попутных загрузок, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе маскирующихся под известные антивирусы, в частности Malwarebytes (в сентябре 2016). 

Обе версии очень похожи, потому они могли быть созданы в каком-то новом крипто-конструкторе. Или, всё же, это разные версии из разных вредоносных кампаний. Разброс: от Канады до Кореи. 

Анализ версии Pokemon на VirusTotal >>> (файл из Канады)
Анализ версии Calipso на VirusTotal >>> (файл из Кореи)

Они инфицируют ПК через exe-файл, распаковывающийся на 4 других файла: 
- изображение, встающее обоями рабочего стола; 
- звуковой файл, играемый при показе требований о выкупе;
- файл MicrosoftHost.exe, запускающий процесс шифрования;
- exe-файл, блокирующий экран для показа требований о выкупе, проверяющий оплату и запускающий дешифровку файлов. 

Примечательно, что эти вымогатели:
- НЕ используют сайт Tor для обработки платежей;
- НЕ изменяют названия у зашифрованных файлов;
- НЕ добавляют к зашифрованным файлам новое расширение;
- оба ключа (открытый и секретный) генерируют в процессе шифрования;
- завершают на компьютере работу процессов MySQL и MSSQL;
- делают и отправляют снимок рабочего стола вымогателям;
- требуют выкуп на довольно большую сумму — 2 или 3 биткоина. 

DetoxCrypto Pokemon распространяется как исполняемый файл Pokemongo.exe. Распаковывается в папку C:\Users\User_Name\Downloads\Pokemon

Файлы, связанные с DetoxCrypto Pokemon Ransomware: 
pokbg.jpg - изображение для обоев;
Pokemon.exe - exe-файл для блокировки и дешифровки;
MicrosoftHost.exe - шифровальщик;
pok.wav - музыка для фона.

DetoxCrypto Calipso распространяется как исполняемый файл Invoice.exe. Распаковывается в папку C:\Users\User_Name\Downloads\Calipso 

 Файлы, связанные с DetoxCrypto Calipso Ransomware: 
bg.jpg - изображение для обоев;
Calipso.exe - exe-файл для блокировки и дешифровки;
MicrosoftHost.exe - шифровальщик;
sound.wav - музыка для фона. 

Список файловых расширений, подвергающихся шифрованию версии Pokemon: 
.3ds, .acbl, .backup, .bak, .cab, .cdr, .csv, .dat, .dbf, .doc, .docx, .eps, .ibd, .ibz, .iso, .mdb, .mdf, .myd, .pdf, .php, .ppt, .pptx, .psb, .psd, .pst, .rar, .s3db, .sql, .sqlite, .sqlitedb, .tar, .tar.bz2, .txt, .xls, .xlsx, .xlt, .xml, .zip (38 расширений). 

 Список файловых расширений, подвергающихся шифрованию версии Calipso
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx, .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (96 расширений). 

 Записи реестра, связанные с этим Ransomware: 
См. результаты анализов. 

Сетевые подключения и связи:
См. ниже результаты анализов. 

Обновление от 22 сентяря 2016:
Один из вариантов семейства DetoxCrypto стал распространяться под видом антивирусного решения Malwarebytes, причем в названии было сразу две ошибки, злоумышленники даже не удосужились их исправить, написав Malwerbyte и Malwerbyte.exe. Ответный пост компании Malwarebytes в Твиттере. 

Результаты анализов:
Гибридный анализ на версию Pokemon >>
VirusTotal анализ на версию Pokemon >>
VirusTotal анализ на версию Malwerbyte >>

 Степень распространённости: средняя и перспективно высокая
 Подробные сведения собираются.

суббота, 20 августа 2016 г.

Czech Anon

Czech Anon Ransomware 

(фейк-шифровальщик)


 Этот крипто-вымогатель шифрует данные пользователей якобы с помощью AES-256, но это не так, а затем требуют ввести код с карты Paysafe номиналом 200 крон, чтобы вернуть файлы обратно. Никакого шифрования на самом деле не производится, используется тактика запугивания. Ориентирован на чешских пользователей, т.к. текст написан на чешском языке. 

Запиской о выкупе выступает экран блокировки с текстом на чёрном фоне. 

 Содержание требований с экрана блокировки: 
Váš počítač a vaše soubory byly uzamknuty!
Co se stalo?
Veškeré vaše soubory byly zašifrovány šifrovacím algoritmem AES-256 společně s vaším osobním počítačem.
VAROVÁNÍ!!!
Pokud nesplníte všechny dané požadavky uvedené níže do 2 DNÍ, váš dešifrovací klíč se SMAŽE a vy své soubory a ÚČTY NIKDY NEUVIDÍTE.

Jak získat klíč?

- Stačí zakoupit kartu PaySafe Card v hodnotě 200Kč ,zadat její kód (číslo) do textového pole pod tímto textem a stisknout zelené tlačítko.
Vaše platba pak bude odeslána k ověření. Po ověření budou vaše soubory a váš počítač uvedeny do původního stavu.
- Kde koupím PaySafe Card?
PaySafe Card se dá zakoupit v jakékoliv trafice, či pumpě. Stačí se zeptat prodejce.

 Перевод на русский язык: 
Ваш компьютер и ваши файлы заблокированы!
Что случилось?
Все ваши файлы зашифрованы с алгоритмом шифрования AES-256 вместе с вашим компьютером.
ВНИМАНИЕ !!!
Если не выполните данные требования за 2 дня, ваш ключ дешифрования будет УДАЛЁН и вы свои файлы НИКОГДА НЕ УВИДИТЕ.

Как получить ключ?
- Просто купите Paysafe Card на 200 крон, введите код (номер) в текстовом поле ниже этого текста и нажмите зелёную кнопку.
Ваш платеж будет отправлен на проверку. После проверки файлы на вашем компьютере вернутся в исходное состояние. 
- Где купить Paysafe Card?
Paysafe Card можно купить в газетном киоске, на заправке. Или у дилера.

 Распространяется с помощью email-спама и вредоносных вложений. 

Т.к. файлы всё же не шифруются, то Czech Anon Ransomware я отношу к фейк-шифровальщикам

 Степень распространённости: низкая. 
 Подробные сведения собираются.

пятница, 19 августа 2016 г.

FSociety

FSociety Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, но затем даже не требует выкуп за дешифровку файлов. Название происходит от названия вымышленной хакерской группировки из американского телесериала "Mr. Robot", в котором пропагандируется борьба хактивистов с обществом потребления. Название не так просто, как может показаться, т.к. содержит в себе англоязычную фразу "F*ck Society". После инфицирования ПК на экран выводится логотип FSociety. К зашифрованным файлам добавляется расширение .locked

© Генеалогия: EDA2 >> FSociety 

 Записок с требованием выкупа нет. Кроме логотипа FSociety, на экране инфицированного ПК не отображается сообщение с требованием выкупа и не предоставляются никакие контакты для связи. Из чего можно сделать вывод о недоработанности шифровальщика-вымогателя. 
Этот логотип послужил названием вымогателя

 Распространяться может с помощью email-спама и вредоносных вложений, в том числе замаскированные под PDF-файлы. 

Перед шифрование перебирает и сканирует все буквы локальных дисков (от C до Z), но также ищет сетевые диски. 

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум: .asp .aspx .csv .doc .docx .html .jpg .mdb .odt .php .png .ppt .pptx .psd .sln .sql .txt .xls .xlsx .xml

 Файлы, связанные с FSociety Ransomware: 
eda2.exe
filedata.exe

 Записи реестра, связанные с FSociety Ransomware: 
 см. ниже гибридный анализ.

Сетевые подключения:
www.archem.hol.es
error.hostinger.eu
хттп://i.imgur.com/PNZaSrX.jpg
185.28.20.87:80 (Литва)
31.170.160.61:80 (США)
и др., см. гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.

XRat, Team, Corporacao

XRat Ransomware

Team XRat Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR или TEA, а затем требует написать на email вымогателей для получения инструкций по оплате выкупа. Суммы выкупа за 1 ПК 1 биткоин. В сентябре 2016 новые версии использовали уже AES-256 CBC и RSA-2048. Другие названия: XRat Team, XPan. Другая итерация: NMoreira

 © Генеалогия: Xorist >> XRat > NMoreira > NMoreia 2.0 > R > NM4

Название дано самими вымогателями, которые называют себя Team XRat или CorporacaoXRat (т.е.  по-анг. CorporationXRat). К зашифрованным файлам добавляется расширение .C0rp0r@c@0Xr@, в котором скрыто название группы на португальском. Ориентирован на португалоязычных (главным образом, бразильских) пользователей. 


21 августа найдены образцы с новым расширением .__xratteamLucked
3 сентября найдены образцы с новым расширением .___xratteamLucked
28 сентября найдены образцы с новым расширением .____xratteamLucked

 Записки с требованием выкупа, написанные на португальском, называются Como descriptografar seus arquivos.txt (Как расшифровать мои файлы) и размещаются на рабочем столе. 

 Содержание записки о выкупе: 
Atenção todos seus arquivos foram criptografados.
Utilizando criptografia RSA de 2048 bits.
tornando impossível a recuperação dos arquivos sem a chave correta.
Caso tenha interesse em obter está chave, e recuperar seus arquivos,
envie um email para corporacaoxrat@protonmail.com 
Contendo no assunto sua chave privada 
Chave Privada: 
8nxs1yncowvwl52v8bay25q846761n0jilkod5px3y2enj

 Перевод записки на русский язык: 
Внимание все ваши файлы были зашифрованы.
Использовано шифрование RSA 2048 бит.
Это делает невозможным правильно восстановить файлы без ключа.
Если вы действительно желаете восстановить ваши файлы,
отправьте на corporacaoxrat@protonmail.com
имеющийся здесь секретный ключ
Секретный ключ:
8nxs1yncowvwl52v8bay25q846761n0jilkod5px3y2enj

Следующий скринлок "o seu computador foi bloqueado" (Ваш компьютер заблокирован) встаёт обоями рабочего стола, демонстрируя картинку в стиле Anonymous с требованиями вымогателей. 

 Email вымогателей на скринлоке: corporacaoxrat@protonmail.com

 Распространяется с помощью email-спама и вредоносных вложений, с помощью инфицированных исполняемых файлов и попутных загрузок, RDP-атаки с использованием протокола удаленного рабочего стола, которые становятся возможными после предварительной компрометации вышеописанными методами.  

После запуска в системе вредонос сканирует диски, в том числе и внешние, в поисках целевых файлов. Наверняка шифруются файлы, находящиеся в директории пользователя:
C:\Users\User_Name\Documents
C:\Users\User_Name\Downloads
C:\Users\User_Name\Music
C:\Users\User_Name\Pictures
C:\Users\User_Name\Videos
C:\Users\User_Name\Desktop
C:\Users\User_Name\Contacts

Поиск файлов и их шифрование проводится несколькими потоками, в каждый поток обрабатывается один диск. Целевые диски: все, от A до Z. 

 Список файловых расширений, подвергающихся шифрованию: 
Шифрует всё, кроме файлов с расширениями .exe, .dll, .lnk, .bat, .ini, .msi, .scf.

Пропускаются файлы, находящиеся в директориях: 
$Recycle.Bin, AppData, Atheros, AVAST Software, AVG, Cobian Backup, Common Files, DUD Maker, ESET, FileZilla, firebird, intel, Internet Explorer, java, K-Lite Codec Pack, Microsoft  SQL Server Compact Edition, Microsoft Games, Microsoft SDKs, Microsoft Visual Studio, Microsoft.NET, MSBuild, Notepad++, PerfLogs, ProgramData, Realtek, Reference Assemblies, TeanUiewer, Windows Defenders, Windows Journals, Windows Mail, Windows Media Player, Windows NT, Windows Photo Uiewer, Windows Sidebar, winrar, 

Пропускаются файлы: 
NTUSER.DAT, pagefile.sys, xratteam.log

 Файлы, связанные с XRat Ransomware: 
  Como descriptografar seus arquivos.txt
  xratteam.log

Обновление 3 сентября:
Новое расширение: .___ xratteamLucked
Новая записка о выкупе:

Обновление от 28 сентября:
Новое расширение: .____ xratteamLucked
Новый скринлок, встающий обоями рабочего стола


Степень распространённости: высокая
Подробные сведения собираются.


Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreia 2.0 Ransomware - январь 2017
R Ransomware - март 2017
NM4 Ransomware - апрель 2017


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Для зашифрованных файлов есть декриптор!
Скачать Xorist Decrypter >>
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as NM4)
 Video rewiew
 *
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 Andrew Ivanov, GrujaRS
 Symantec

 


© Amigo-A (Andrew Ivanov): All blog articles.

среда, 17 августа 2016 г.

Globe, Purge

Globe Ransomware 

Purge Ransomware 

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Blowfish, а затем требует выкуп "небольшую сумму", чтобы вернуть файлы обратно. Связь с вымогателями требуется осуществлять через сервис Bitmessage. Среда разработки: Delphi. 

© Генеалогия: ✂️ Hidden Tear >> Globe (Purge) > Globe-2 Globe-3 >> Amnesia > Scarab > Scarab Family
Изображение является логотипом статьи

К зашифрованным файлам добавляется расширение .purge

Этимология названия: 
Раннее название Purge происходит от этого расширения. Второе, Globeкак позже оказалось, является самоназванием, вероятно от его глобальности в шифровании множества типов файлов. 

Записка с требованием выкупа называется: How to restore files.hta

 Содержание записки о выкупе: 
YOUR FILES HAVE BEEN ENCRYPTED!
You personal ID
[***]
Your files have been been encrypted with a powerfull strain of a virus called ransomware.
Your files are encrytped using rsa encryption, the same standard used by the military and banks. It is currently impossible to decrypt files encrypted with rsa encryption..
Lucky for you, we can help. We are willing to sell you a decryptor UNIQUELY made for your computer (meaning someone else's decryptor will not work for you). Once you pay a small fee, we will instantly send you the software/info neccessary to decrypt all your files, quickly and easilly.
In order to get in touch with us email us at powerbase@tutanota.com.In your email write your personal ID (its located at the up of the page, it is a string of random characters). Once we receive your personal ID, we will send you payment instructions.
As proff we can decrypt you files we may decrypt 1 small file for test.
If you dont get answer from powerbase@tutanota.com in 10 hours
Register here: http://bitmsg.me (online sending message service Bitmessage)
Write to adress BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 with you email and personal ID
When you payment will bee confirmed, You will get decrypter of files on you computer.
After you run decrypter software all you files will be decryped and restored.
IMPORTANT!
Do not try restore files without our help, this is useless and you may lose data permanetly
Decrypters of others clients are unique and work only on PC with they personal ID.
We can not keep your decryption keys forever, meaning after 1 week after you have been infected, if you have not paid, we will not be able to decrypt your files. Email us as soon as you see this message, we know exactly when everyone has been encrypted and the longer you wait, the higher the payment gets.

 Перевод записки на русский язык: 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш персональный ID
[***]
Ваши файлы зашифрованы с мощным штаммом вируса-вымогателя.
Ваши файлы зашифрованы с RSA-шифрованием, тот же стандарт, используемый военными и банками. Сегодня невозможно расшифровать файлы, зашифрованные с помощью RSA.
К счастью для вас мы можем помочь. Мы готовы продать вам уникальный дешифратор для вашего компьютера (то есть чей-то еще дешифратор не будет у вас работать). После того, как вы заплатите небольшую сумму, мы сразу вышлем вам ПО/инфо для расшифровки всех ваших файлов, быстро и просто.
Для контакта с нами пишите на powerbase@tutanota.com и сообщите свой ID (наверху страницы есть строка случайных символов). После того, как мы получим ваш ID, мы вышлем инструкции по оплате.
Как профи мы можем расшифровать вам 1 маленький файл для теста.
Если вы не получите ответ от powerbase@tutanota.com за 10 часов
Регистрация здесь: http://bitmsg.me (онлайн-отправка сообщений сервиса Bitmessage)
Напишите на адрес BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 ваш email и ID
Когда вы оплата подтвердится, вы получите декриптер файлов для вашего компьютера.
После запуска декриптера все ваши файлы будут дешифрованы и восстановлены.
ВАЖНО!
Не пытайтесь восстанавливать файлы без нашей помощи, это бесполезно и вы можете совсем потерять данные.
Декриптеры от третьих лиц являются уникальными и работают только на ПК с их личным кодом.
Мы не можем держать ключи дешифрования бесконечно, т.е. через 1 неделю после заражения, если вы не заплатили, мы не сможем дешифровать файлы. Пишите нам, как только вы увидите это сообщение, мы точно знаем, когда всё было зашифровано и чем дольше вы ждете, тем выше оплата становится.

---
Как можно видеть, текст оригинальной записки на английском содержит множество ошибок. Это может быть реальным "знанием" английского или умышленным искажением текста. 



Технические детали


Распространяется с помощью email-спама и вредоносных вложений. В конце статьи есть блок обновлений, в котором содержатся обновления в рамках версии и дополнительные сведения. 

Крипто-вымогатель при первом запуске проверяет, не запущен ли он в песочнице или на виртуальной машине (Anubis, VirtualBox, VMware или Virtual PC). Если это так, то вредонос завершает работу. В ином случае — приступает к шифрованию. В процессе шифрования Purge/Globe удаляет теневые копии файлов и отключает функцию автоматического восстановления системы после неудачной загрузки (Startup Repair). 
Способен проникать в облачные хранилища, если они подключены и работают в автономном режиме. Это в очередной раз подтверждает их бесполезность против шифровальщиков. 

 Список файловых расширений, подвергающихся шифрованию: 
.a, .aet, .afp, .agd1, .agdl, .ai, .aif, .aiff, .aim, .aip, .ais, .ait, .ak, .al, .allet, .amf, .amr, .amu, .amx, .amxx, .ans, .aoi, .ap, .ape, .api, .apj, .apk, .apnx, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asm, .asmx, .asp, .aspx, .asr, .asset, .asx, .automaticdestinations-ms, .avi, .avs, .awg, .azf, .azs, .azw, .azw1, .azw3, .azw4, .b2a, .back, .backup, .backupdb, .bad, .bak, .bank, .bar, .bay, .bc6, .bc7, .bck, .bcp, .bdb, .bdp, .bdr, .bfa, .bgt, .bi8, .bib, .bic, .big, .bik, .bin, .bkf, .bkp, .bkup, .blend, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpk, .bpl, .bpw, .brd, .bsa, .bsk, .bsp, .btoa, .bvd, .c, .cag, .cam, .camproj, .cap, .car, .cas, .cat, .cbf, .cbr, .cbz, .cc, .ccd, .ccf, .cch, .cd, .cdf, .cdi, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cef, .cer, .cert, .cfg, .cfp, .cfr, .cgf, .cgi, .cgm, .cgp, .chk, .chml, .cib, .class, .clr, .cls, .clx, .cmf, .cms, .cmt, .cnf, .cng, .cod, .col, .con, .conf, .config, .contact, .cp, .cpi, .cpio, .cpp, .cr2, .craw, .crd, .crt, .crw, .crwl, .cry, .crypt, .crypted, .cryptra, .cs, .csh, .csi, .csl, .cso, .csr, .css, .csv, .ctt, .cty, .cue, .cwf, .d3dbsp, .dac, .dal, .dap, .das, .dash, .dat, .database, .dayzprofile, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbb, .dbf, .dbfv, .db-journal, .dbx, .dc2, .dc4, .dch, .dco, .dcp, .dcr, .dcs, .dcu, .ddc, .ddcx, .ddd, .ddoc, .ddrw, .dds, .default, .dem, .der, .des, .desc, .design, .desklink, .dev, .dex, .dfm, .dgc, .dic, .dif, .dii, .dim, .dime, .dip, .dir, .directory, .disc, .disk, .dit, .divx, .diz, .djv, .djvu, .dlc, .dmg, .dmp, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .drf, .drw, .dsk, .dsp, .dtd, .dvd, .dvi, .dvx, .dwg, .dxb, .dxe, .dxf, .dxg, .e4a, .edb, .efl, .efr, .efu, .efx, .eip, .elf, .emc, .emf, .eml, .enc, .enx, .epk, .eps, .epub, .eql, .erbsql, .erf, .err, .esf, .esm, .euc, .evo, .ex, .exf, .exif, .f90, .faq, .fcd, .fdb, .fdr, .fds, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flp, .flv, .flvv, .for, .forge, .fos, .fpenc, .fpk, .fpp, .fpx, .frm, .fsh, .fss, .fxg, .gam, .gdb, .gfe, .gfx, .gho, .gif, .gpg, .gray, .grey, .grf, .groups, .gry, .gthr, .gxk, .gz, .gzig, .gzip, .h, .h3m, .h4r, .hbk, .hbx, .hdd, .hex, .hkdb, .hkx, .hplg, .hpp, .hqx, .htm, .html, .htpasswd, .hvpl, .hwp, .ibank, .ibd, .ibz, .ico, .icxs, .idl, .idml, .idx, .ie5, .ie6, .ie7, .ie8, .ie9, .iff, .iif, .iiq, .img, .incpas, .indb, .indd, .indl, .indt, .ink, .inx, .ipa, .iso, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jac, .jar, .jav, .java, .jbc, .jc, .jfif, .jge, .jgz, .jif, .jiff, .jnt, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .jsp, .just, .k25, .kc2, .kdb, .kdbx, .kdc, .kde, .key, .kf, .klq, .kmz, .kpdx, .kwd, .kwm, .laccdb, .lastlogin, .lay, .lay6, .layout, .lbf, .lbi, .lcd, .lcf, .lcn, .ldb, .ldf, .lgp, .lib, .lit, .litemod, .lngttarch2, .localstorage, .log, .lp2, .lpa, .lrf, .ltm, .ltr, .ltx, .lua, .lvivt, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .mag, .man, .map, .mapimail, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .mcrp, .md, .md0, .md1, .md2, .md3, .md5, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .meo, .mfw, .mic, .mid, .mim, .mime, .mip, .mjd, .mkv, .mlb, .mlx, .mm6, .mm7, .mm8, .mme, .mml, .mmw, .mny, .mobi, .mod, .moneywell, .mos, .mov, .movie, .moz, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpq, .mpqge, .mpv2, .mrw, .mrwref, .mse, .msg, .msi, .msp, .mts, .mui, .mxp, .myd, .myi, .nav, .ncd, .ncf, .nd, .ndd, .ndf, .nds, .nef, .nfo, .nk2, .nop, .now, .nrg, .nri, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .number, .nvram, .nwb, .nx1, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .oil, .opd, .opf, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pack, .pages, .pak, .paq, .pas, .pat, .pbf, .pbk, .pbp, .pbs, .pcd, .pct, .pcv, .pdb, .pdc, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkey, .pkh, .pkpass, .pl, .plb, .plc, .pli, .plus_muhd, .pm, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prf, .props, .prproj, .prt, .ps, .psa, .psafe3, .psd, .psk, .pspimage, .pst, .psw6, .ptx, .pub, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qel, .qic, .qif, .qpx, .qt, .qtq, .qtr, .r00, .r01, .r02, .r03, .r3d, .ra, .ra2, .raf, .ram, .rar, .rat, .raw, .rb, .rdb, .rdi, .re4, .res, .result, .rev, .rgn, .rgss3a, .rim, .rll, .rm, .rng, .rofl, .rpf, .rrt, .rsdf, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rvt, .rw2, .rwl, .rwz, .rzk, .rzx, .s3db, .sad, .saf, .safe, .sas7bdat, .sav, .save, .say, .sb, .sc2save, .sch, .scm, .scn, .scx, .sd0, .sd1, .sda, .sdb, .sdc, .sdf, .sdn, .sdo, .sds, .sdt, .search-ms, .sef, .sen, .ses, .sfs, .sfx, .sgz, .sh, .shar, .shr, .shw, .shy, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .slt, .sme, .snk, .snp, .snx, .so, .spd, .spr, .sql, .sqlite, .sqlite3, .sqlitedb, .sqllite, .sqx, .sr2, .srf, .srt, .srw, .ssa, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stt, .stw, .stx, .sud, .suf, .sum, .svg, .svi, .svr, .swd, .swf, .switch, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t01, .t03, .t05, .t12, .t13, .tar, .tax, .tax2013, .tax2014, .tbk, .tbz2, .tch, .tcx, .tex, .text, .tg, .tga, .tgz, .thm, .thmx, .tif, .tiff, .tlg, .tlz, .toast, .tor, .torrent, .tpu, .tpx, .trp, .ts, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .uea, .umx, .unity3d, .unr, .unx, .uop, .uot, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uu, .uud, .uue, .uvx, .uxx, .val, .vault, .vbox, .vbs, .vc, .vcd, .vcf, .vdf, .vdi, .vdo, .ver, .vfs0, .vhd, .vhdx, .vlc, .vlt, .vmdk, .vmf, .vmsd, .vmt, .vmx, .vmxf, .vob, .vp, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wab, .wad, .wallet, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpe, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x11, .x3f, .xf, .xis, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xps, .xpt, .xqx, .xsl, .xtbl, .xvid, .xwd, .xxe, .xxx, .yab, .ycbcra, .yenc, .yml, .ync, .yps, .yuv, .z02, .z04, .zap, .zip, .zipx, .zoo, .zps, .ztmp (995 расширений).

Позже список расширений стал больше:
.001, .1cd, .3d, .3d4, .3df8, .3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .3gp2, .3mm, .3pr, .73i87a, .7z, .7zip, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .a2c, .a5zfn, .aa, .aa3, .aaa, .aac, .aaf, .ab4, .abc, .abk, .abw, .ac2, .ac3, .accdb, .accde, .accdr, .accdt, .ace, .ach, .acr, .act, .adb, .ade, .adi, .adp, .adpb, .adr, .ads, .adt, .aep, .aepx, .aes, .aet, .afp, .agd1, .agdl, .ai, .aif, .aiff, .aim, .aip, .ais, .ait, .ak, .al, .allet, .amf, .amr, .amu, .amx, .amxx, .ans, .aoi, .ap, .ape, .api, .apj, .apk, .apnx, .arc, .arch00, .ard, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asm, .asmx, .asp, .aspx, .asr, .asset, .asx, .automaticdestinations-ms, .avi, .avs, .awg, .axx, .azf, .azs, .azw, .azw1, .azw3, .azw4, .b2a, .back, .backup, .backupdb, .bad, .bak, .bank, .bar, .bay, .bc6, .bc7, .bck, .bcp, .bdb, .bdp, .bdr, .bfa, .bgt, .bi8, .bib, .bic, .big, .bik, .bin, .bitstak, .bkf, .bkp, .bkup, .blend, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpk, .bpl, .bpw, .brd, .breaking_bad, .bsa, .bsk, .bsp, .btc, .btoa, .bvd, .c, .cag, .cam, .camproj, .cap, .car, .cas, .cat, .cbf, .cbr, .cbz, .cc, .ccc, .cccrrrppp, .ccd, .ccf, .cch, .cd, .cdf, .cdi, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cef, .cer, .cerber, .cerber2, .cerber3, .cert, .cfg, .cfp, .cfr, .cgf, .cgi, .cgm, .cgp, .chk, .chml, .cib, .class, .clr, .cls, .clx, .cmf, .cms, .cmt, .cnc, .cnf, .cng, .cod, .col, .con, .conf, .config, .contact, .coverton, .cp, .cpi, .cpio, .cpp, .cr2, .craw, .crd, .crinf, .crjoker, .crptrgr, .crt, .crw, .crwl, .cry, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .cryptra, .crypz, .cs, .csh, .csi, .csl, .cso, .csr, .css, .csv, .ctt, .cty, .cue, .cwf, .czvxce, .d3dbsp, .dac, .dal, .dap, .darkness, .das, .dash, .dat, .database, .dayzprofile, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbb, .dbf, .dbfv, .db-journal, .dbx, .dc2, .dc4, .dch, .dco, .dcp, .dcr, .dcs, .dcu, .ddc, .ddcx, .ddd, .ddoc, .ddrw, .dds, .default, .dem, .der, .des, .desc, .design, .desklink, .dev, .dex, .dfm, .dgc, .dic, .dif, .dii, .dim, .dime, .dip, .dir, .directory, .disc, .disk, .dit, .divx, .diz, .djv, .djvu, .dlc, .dmg, .dmp, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .drf, .drw, .dsk, .dsp, .dtd, .dvd, .dvi, .dvx, .dwg, .dxb, .dxe, .dxf, .dxg, .e4a, .ecc, .edb, .efl, .efr, .efu, .efx, .eip, .elf, .emc, .emf, .eml, .enc, .enciphered, .encrypt, .encrypted, .enigma, .enx, .epk, .eps, .epub, .eql, .erbsql, .erf, .err, .esf, .esm, .euc, .evo, .ex, .exf, .exif, .exx, .ezz, .f90, .fantom, .faq, .fcd, .fdb, .fdr, .fds, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flp, .flv, .flvv, .for, .forge, .fos, .fpenc, .fpk, .fpp, .fpx, .frm, .fsh, .fss, .fun, .fxg, .gam, .gdb, .gfe, .gfx, .gho, .gif, .good, .gpg, .gray, .grey, .grf, .groups, .gry, .gthr, .gxk, .gz, .gzig, .gzip, .h, .h3m, .h4r, .ha3, .hbk, .hbx, .hdd, .herbst, .hex, .hkdb, .hkx, .hplg, .hpp, .hqx, .htm, .html, .htpasswd, .hvpl, .hwp, .ibank, .ibd, .ibz, .ico, .icxs, .idl, .idml, .idx, .ie5, .ie6, .ie7, .ie8, .ie9, .iff, .iif, .iiq, .img, .incpas, .indb, .indd, .indl, .indt, .info, .ink, .inx, .ipa, .iso, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jac, .jar, .jav, .java, .jbc, .jc, .jfif, .jge, .jgz, .jif, .jiff, .jnt, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .jsp, .just, .k25, .kc2, .kdb, .kdbx, .kdc, .kde, .kernel_complete, .kernel_pid, .kernel_time, .key, .keybtc@inbox_com, .kf, .kimcilware, .kkk, .klq, .kmz, .kpdx, .kraken, .kratos, .kwd, .kwm, .laccdb, .lastlogin, .lay, .lay6, .layout, .lbf, .lbi, .lcd, .lcf, .lcn, .ldb, .ldf, .lechiffre, .legion, .lgp, .lib, .lit, .litemod, .lngttarch2, .localstorage, .locked, .locky, .log, .lol!, .lp2, .lpa, .lrf, .ltm, .ltr, .ltx, .lua, .lvivt, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .mag, .magic, .man, .map, .mapimail, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .mcrp, .md, .md0, .md1, .md2, .md3, .md5, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .meo, .mfw, .mic, .micro, .mid, .mim, .mime, .mip, .mjd, .mkv, .mlb, .mlx, .mm6, .mm7, .mm8, .mme, .mml, .mmw, .mny, .mobi, .mod, .moneywell, .mos, .mov, .movie, .moz, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpq, .mpqge, .mpv2, .mrw, .mrwref, .mse, .msg, .msi, .msp, .mts, .mui, .mxp, .myd, .myi, .nav, .ncd, .ncf, .nd, .ndd, .ndf, .nds, .nef, .nfo, .nk2, .nop, .now, .nrg, .nri, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .number, .nvram, .nwb, .nx1, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odcodc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .oil, .opd, .opf, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .owl, .oxt, .p12, .p5tkjw, .p7b, .p7c, .pab, .pack, .padcrypt, .pages, .pak, .paq, .pas, .pat, .paym, .paymrss, .payms, .paymst, .paymts, .payrms, .pays, .pbf, .pbk, .pbp, .pbs, .pcd, .pct, .pcv, .pdb, .pdc, .pdcr, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkey, .pkh, .pkpass, .pl, .plb, .plc, .pli, .plus_muhd, .pm, .pmd, .png, .po, .poar2w, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prf, .props, .prproj, .prt, .ps, .psa, .psafe3, .psd, .psk, .pspimage, .pst, .psw6, .ptx, .pub, .purge, .puz, .pwf, .pwi, .pwm, .pxp, .py, .pzdc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qel, .qic, .qif, .qpx, .qt, .qtq, .qtr, .r00, .r01, .r02, .r03, .r3d, .r5a, .ra, .ra2, .raf, .ram, .rar, .rat, .raw, .razy, .rb, .rdb, .rdi, .rdm, .re4, .rekt, .res, .result, .rev, .rgn, .rgss3a, .rim, .rll, .rm, .rng, .rofl, .rokku, .rpf, .rrk, .rrt, .rsdf, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rvt, .rw2, .rwl, .rwz, .rzk, .rzx, .s3db, .sad, .saf, .safe, .sas7bdat, .sav, .save, .say, .sb, .sc2save, .sch, .scm, .scn, .scx, .sd0, .sd1, .sda, .sdb, .sdc, .sdf, .sdn, .sdo, .sds, .sdt, .search-ms, .securecrypted, .sef, .sen, .ses, .sfs, .sfx, .sgz, .sh, .shar, .shr, .shw, .shy, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .slt, .sme, .snk, .snp, .snx, .so, .spd, .spr, .sql, .sqlite, .sqlite3, .sqlitedb, .sqllite, .sqx, .sr2, .srf, .srt, .srw, .ssa, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stt, .stw, .stx, .sud, .suf, .sum, .surprise, .svg, .svi, .svr, .swd, .swf, .switch, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .szf, .t01, .t03, .t05, .t12, .t13, .tar, .tax, .tax2013, .tax2014, .tbk, .tbz2, .tch, .tcx, .tex, .text, .tg, .tga, .tgz, .thm, .thmx, .tif, .tiff, .tlg, .tlz, .toast, .tor, .torrent, .tpu, .tpx, .trp, .ts, .ttt, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .uea, .umx, .unity3d, .unr, .unx, .uop, .uot, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uu, .uud, .uue, .uvx, .uxx, .val, .vault, .vbox, .vbs, .vc, .vcd, .vcf, .vdf, .vdi, .vdo, .venusf, .ver, .vfs0, .vhd, .vhdx, .vlc, .vlt, .vmdk, .vmf, .vmsd, .vmt, .vmx, .vmxf, .vob, .vp, .vpk, .vpp_pc, .vsi, .vtf, .vvv, .w3g, .w3x, .wab, .wad, .wallet, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wflx, .windows10, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpe, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x11, .x3f, .xf, .xis, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xps, .xpt, .xqx, .xsl, .xtbl, .xvid, .xwd, .xxe, .xxx, .xyz, .yab, .ycbcra, .yenc, .yml, .ync, .yps, .yuv, .z02, .z04, .zap, .zcrypt, .zepto, .zip, .zipx, .zoo, .zps, .ztmp, .zyklon, .zzz (1135 расширений). 

Сканирует ПК на поиск только папок, которые не содержат одну из следующих строк в своем пути:
intel
nvidia
Windows
AppData
All Users
Program Files
Program Files (x86)
System Volume Information
Application Data
$RECYCLE.BIN

Пропускает и не шифрует файлы из следующих директорий:
%windir%
%appdata%
%programdata%
%programfiles%

%allusersprofile%

В качестве обоев рабочего стола ставится эпатажное изображение от вымогателей. 
С этой целью используется постер из триллера-антиутопии «Судная ночь-3» («The Purge»). 

Сетевые подключения и связи: 
Email: powerbase@tutanota.com
BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5

 Файлы, связанные с Ransomware: 
How to restore files.hta
%UserProfile%\AppData\Local\msiscan.exe
%UserProfile%\How to decrypt your files.jpg

 Записи реестра, связанные с Ransomware: 
HKCU\Software\Globe
HKCU\Software\Globe\ "idle"
HKCU\Software\Globe\ "debug"
HKCU\Control Panel\Desktop\ "Wallpaper"   "%UserProfile%\How to decrypt your files.jpg"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run    "How to restore files" = "mshta.exe "%UserProfile%\How to restore files.hta""

PS. Уже готовая моя статья был дополнена 24 августа 2016 тремя последними абзацами из статьи Лоуренса Адамса, начиная со списка расширений. За что ему большое спасибо. 

См. также статьи по Globe2Russian GlobeFake GlobeGlobe3

Степень распространённости: высокая
Подробные сведения собираются.

Дополнение: Globe Ransom Builder
Как можно видеть ниже, у крипто-вымогателей этого семейства имеются разные признаки идентификации, потому что они отличаются то в добавляемом расширении, то в записке, то ещё в чём-то. Это реализовывается благодаря крипто-строителю Globe Ransom Builder, чтобы злоумышленники, купившие RaaS, могли изменять некоторые настройки шифровальщика "под себя". Скриншот смотрите ниже. 

Globe Ransom Builder

Позже Builder был изменен и стал использоваться в более новых вымогательских проектах, в том числе Scarab-Amnesia и Scarab-Bomber Ransomware (в конце этой статьи есть скриншоты нового Builder-а)



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 сентября 2016:
Новое расширение: .globe 
Новый email: deyscriptors24@india.com

Обновления без даты 2016:

Новые email: viewclear@yandex.com, mia.kokers@aol.com, okean-1955@india.com 
Новые расширения: .okean-1955@india.com.!dsvgdfvdDVGR3SsdvfEF75sddf#xbkNY45fg6}P{cg.xtbl
и т.п.

Обновление от 27 сентября 2016:

Расширение: .xitreu@india.com

Обновление от 31 октября 2016:
Расширение: .GSupport2
Новый email: goodsupport@india.com
Результаты анализов: VT, Malwr

Обновление от 4 ноября 2016:
Расширение: .siri-down@india.com
Записка о выкупе: Read Me Please.hta
Новый email: siri-down@india.com
Результаты анализов: HA, VT

Обновление от 12 ноября 2016:
Пост в Твиттере >>
Расширение: .zendrz
Записка: Read Me Please.hta
Результаты анализов: VT

Обновление от 14 ноября 2016:
Расширение: .GSupport3
Email: goodsupport@india.com
Записка о выкупе: Read Me Please.hta

Обновление от 23 ноября 2016:
Расширение: .grapn206@india.com
Записка: Read Me Please.hta
Email: grapn206@india.com
Результаты анализов: VT

Обновление от 24 ноября 2016:
Расширение: .globe
Записка о выкупе: Read Me Please.hta
Email: kuprin@india.com
Результаты анализов: VT

Обновление от 24 ноября 2016:
Расширение: .UCRYPT
Записка: Read Me Please.hta
Результаты анализов: VT

Обновление от 29 ноября 2016:
Расширение: .decryptallfiles@india.com
Записка о выкупе: Read Me Please.hta
Email: decryptallfiles@india.com
Результаты анализов: VT
Описание в статье ESET >> 
В этом варианте список расширений уже включал 1135 расширений файлов. 

Обновление от 3 декабря 2016:
Расширение: .nazarbayev
Файл: nazerke.exe
Результаты анализов: VT
Декриптер как для Globe2 >>

Обновление от 25 декабря 2016:
Расширение: .globe
Записка о выкупе: Read Me Please.hta
Email: server1@mailfence.com
Результаты анализов: VT

Обновление от 28 декабря 2016:

Топик на форуме >>
Расширение: .gangbang

Обновление от 4 января 2017:
Расширение: .hnumkhotep@india.com.hnumkhotep
Записка: How To Recover Encrypted Files.hta
Файл: svchost.exe
Результаты анализов: VT

Обновление от 29 января 2017:
Расширение: .decrypr_helper@india.com
Записка: How to restore files.hta
Email: decrypr_helper@india.com
Результаты анализов: HA, VT

Обновление от 20 марта 2017:
Расширение: .badadmin@india.com
Email: badadmin@india.com
Результаты анализов: VT

Обновление от 4 апреля 2017:
Расширение: .[data97@india.com].aa
Email: data97@india.com
Результаты анализов: HA+VT





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать и использовать Globe Decrypter по инструкции >>
Скачать и использовать Globe-2 Decrypter по инструкции >>
Скачать и использовать Globe-3 Decrypter по инструкции >>
***
Read to links: 
Decrypter for Globe3
ID Ransomware
 Thanks: 
 Fabian Wosar
 Michael Gillespie
 Andrew Ivanov, Alex Svirid, Mihay Ice
 ...and others, who sent the samples for analysis

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *