Tato analýza byla vytvořena za účelem informovat a ukázat vám, s pokyny, jak můžete odstranit GANDCRAB 5.1 ransomware virus z vašeho počítače, a jak si můžete vyzkoušet a obnovit soubory, šifrované.
Nakazit daném počítači, 5.1 verze GANDCRAB ransomware používá různé druhy metod a infekce souborů.
Primární infekce metoda, která je pravděpodobné, že bude používán ve vztahu k GANDCRAB 5.1 infekce je e-maily, které jsou tvořeny následujícím způsobem:
Kromě „Platba Faktury #93611″ předměty výše, jsme také objevili další falešný předmětu e-maily:
- Dokument #72170
- Faktura #21613
- Pořadí #87884
- Payment #72985
- Ticket #07009
- Dokument #78391
- Vaše Objednávka #16323
- Vaše Jízdenka #23428
E-maily obsahují přílohu e-mailu, který je často škodlivé .JS(JavaScript),.docx (Microsoft Word) nebo .PDF (Adobe Reader) soubor, který vede k .docx soubor. Soubor je pojmenován náhodně, jako příklad spojené s GANDCRAB, které jsme zaznamenali ukazuje:
Pokud škodlivý soubor od .JS typu (JavaScript), jednoduše těžby a provádění to bude mít za následek napadení počítače, jako máme ukázáno níže:
Pokud škodlivý soubor je dokument, pak se infekce bude jít přes škodlivé makra, které jsou vloženy do aplikace Microsoft Office nebo Adobe PDF dokument, a chtějí Povolit Obsah nebo Povolit Úpravy , aby bylo vidět, co je v dokumentu. Kliknutím na „Povolit Úpravy“ tlačítko výsledky v následujících infekcí činnosti se uskuteční:
Kromě toho prostřednictvím e-mailu, infekce proces s GANDCRAB 5.1 ransomare může probíhat on-line. Výzkumníci na Fortinet(https://www.fortinet.com/blog/threat-research/GANDCRAB-v4-0-analysis-new-shell-same-old-menace.html) již dříve zjištěny GANDCRAB infikovat uživatele tím, že předstírá, že je software crack z následujících programů:
- Sloučení Obrázků do formátu PDF.
- Securitask.
- SysTools PST Sloučit.
Více informací o GANDCRAB infikování oběti prostřednictvím software trhliny, lze nalézt v souvisejícím článku pod:
GANDCRAB 4 Ransomware Infikuje Přes Software Trhliny
Hlavní infekce soubor GANDCRAB 5.1 ransomware virus se uvádí, že mají následující IOCs (Identifikátorů Kompromisu):
Jakmile tento soubor je poklesl na vašem počítači, může okamžitě vyvolat Windows složka „wmic.exe“ jako správce za účelem odstranění objemu stínové kopie vašeho PC. To bude zabránit obnovení souborů prostřednictvím Windows odtahová služba. GANDCRAB 5.1 spouští následující příkaz jako správce v Windows Příkazového Řádku:
Jakmile GANDCRAB 5.1 má smazaných zálohovaných souborů, ransomware začne klesat je to výkupné soubor, který má následující zprávu obětí viru:
Výkupné tohoto konkrétního vzorku GANDCRAB 5.1 , které jsme analyzovali vede oběti k následující výkupné webové stránky, které mohou být otevřeny pouze v TOR browser uvedeny v návodu:
Když oběti platební lhůta vyprší časovač, GANDCRAB může také zobrazit následující verze výkupné, které říká, že cena se zdvojnásobila.
Výkupné má následující pokyny pro oběti:
A kromě těchto činností, GANDCRAB ransomware může také nakonec změnit tapetu na počítači s následující obrázek:
A v výkupné stránku, virus nabízí 1 zašifrovaný soubor ke stažení zdarma, jen tak se oběť může vidět, že to funguje. Což v podstatě znamená, že virus může obsahovat Trojan schopnosti kopírovat soubory z vašeho počítače a nahrát je na TOR:
Hlavní šifrovací algoritmus, který je používán GANDCRAB 5.1 je Salsa20 šifru. Na rozdíl od RSA a AES šifrovací algoritmy, Salsa20 je mnohem rychlejší a můžete šifrovat všechny soubory v kolem pod minutu času. Stejně jako ostatní GANDCRAB verze v5.1 také využívá náhodné souboru, který je rád reklamy šifrované soubory po zašifruje je. Soubory budou míchaná a vypadá jako na obrázku dole:
Ransomware přeskočí šifrování souborů, pokud jsou umístěny v následující Windows adresáře:
Šifrovací proces GANDCRAB ransomware je proveden tak, že virus pravděpodobně vytvoří kopie původní soubory a pak zašifruje ty kopie tím, že nahradí bloky dat ze souboru s míchanými data. Cyber-zločinci mohou odstranit původní soubory a od té doby se odstranit stínové kopie stejně, zdá se, že existuje malá šance, obnovit soubory, pokud budete platit podvodníci, které bychom velmi doporučujeme, aby upustily od toho.
Před zahájením, aby ani přemýšlet o odstranění GANDCRAB 5.1 ransomware, doporučujeme udělat zálohu na vaše soubory, i když jsou zašifrovaná, protože pokud se pokusíte demontujte tato varianta GANDCRAB, šance jsou, že váš PC by mohla být závada a rozdělit své OS nevratně.
Pro odstranění GANDCRAB 5.1, připravili jsme si níže uvedené kroky. Ujistěte se, že postupujte podle první dva kroky, pouze pokud máte nějaké zkušenosti v odstranění malware a víte, co děláte. Jinak, doporučujeme co nejvíce cybersecurity odborníci radí oběti, aby skenovat váš počítač pro GANDCRAB malware soubory s pokročilým anti-malware program a odstranit všechny škodlivé soubory a objekty, které patří k tomu automaticky.
Pro obnovu souborů, bychom naznačují, že jste podívejte se na krok „se Snaží Obnovit soubory zašifrované GANDCRAB 5.1″ níže. Obsahují více metod, které vysvětlují, co obnovy metoda je pro vás nejlepší, a to i přesto, že metody za předpokladu, ne přijít s záruku ve výši 100% obnovit své soubory, můžete, teoreticky, být schopni obnovit alespoň některé z vašich souborů.
Upozornění, mnohonásobný anti-počítačový virus snímač rozpoznání možné malware v GANDCRAB.
| Antivirový Software | Verze | Detekce |
|---|---|---|
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
GANDCRAB chování
- Sám nainstaluje bez oprávnění
- GANDCRAB deaktivuje nainstalované bezpečnostní Software.
- GANDCRAB je připojen k Internetu bez vašeho povolení
- GANDCRAB ukazuje komerční inzeráty
- Krade nebo používá vaše důvěrné údaje
- Změní uživatele homepage
GANDCRAB uskutečněné verze Windows OS
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografie GANDCRAB
Eliminovat GANDCRAB z Windows
Z Windows XP, odstraňte GANDCRAB:
- Klikněte na Start otevřete nabídku.
- Vyberte položku Ovládací panely a jít na Přidat nebo odebrat programy.
- Vybrat a Odebrat nežádoucí program.
Odebrat GANDCRAB z vaší Windows 7 a Vista:
- Otevřete nabídku Start a vyberte položku Ovládací panely.
- Přesunout do odinstalovat program
- Klepněte pravým tlačítkem myši na nežádoucí app a vybrat Uninstall.
Mazání GANDCRAB od Windows 8 a 8.1:
- Klepněte pravým tlačítkem myši na levém dolním rohu a vyberte Ovládací panely.
- Zvolte odinstalovat program a klikněte pravým tlačítkem myši na nechtěné aplikace.
- Klepněte na tlačítko odinstalovat .
Z vašeho prohlížeče odstranit GANDCRAB
GANDCRAB Vyjmutí z Internet Explorer
- Klikněte na ikonu ozubeného kola a vyberte položku Možnosti Internetu.
- Přejděte na kartu Upřesnit a klepněte na tlačítko obnovit.
- Zkontrolujte, Odstranit osobní nastavení a znovu klepněte na tlačítko obnovit .
- Klepněte na tlačítko Zavřít a klepněte na tlačítko OK.
- Vraťte se na ikonu ozubeného kola, vyberte Spravovat doplňky → panely nástrojů a rozšířenía odstranit nežádoucí rozšíření.
- Přejít na Vyhledávání zprostředkovatelů a zvolte nový výchozí vyhledávač
Vymazat GANDCRAB z Mozilla Firefox
- Do pole URL zadejte "about:addons".
- Přejděte na rozšíření a odstranění podezřelé prohlížeče rozšíření
- Klepněte v nabídce, klepněte na otazník a otevřete nápovědu k Firefox. Klepněte na Firefox tlačítko Aktualizovat a vyberte Aktualizovat Firefox potvrdit.
Ukončit GANDCRAB od Chrome
- Do pole URL zadejte v "chrome://extensions" a klepněte na tlačítko Enter.
- Ukončit nespolehlivé prohlížeče rozšíření
- Restartujte Google Chrome.
- Otevřete Chrome menu, klepněte na tlačítko nastavení → zobrazit pokročilá nastavení, vyberte obnovit nastavení prohlížeče a klepněte na tlačítko Obnovit (volitelné).