Pro GandCrab ransomware šíří, virus používá různé formy replikace a infekce metod. Níže máme shrnuty jednotlivé metody a ukážeme si více o nich.
To je nejvíce běžně používaná metoda k infikovat počítač s GandCrab ransomware. Virus je infekce soubor může být různých typů souborů, a tyto typy souborů může být odeslán v e-mailech, kde mohou předstírat, že je legitimní dokumenty. Níže můžete vidět příklad takového případu, přičemž výhodou .JS (JavaScript) soubor, který předstírá, že je obrázek:
Když uživatel otevře e-mail, on nebo ona bude vidět souborů obsažených v archivu. Když se tato infekce soubor je extrahován a běžel, to způsobuje infekci s GandCrab ransomware:
Další metoda používá GandCrab je to, jako kdyby soubor Javascriptu je skutečný dokument a tento soubor může být obsažen ve .7z archivu, který automaticky extrahuje a spustí virus, když ji otevřete – chytrý opravdu.
Ale .JS soubory nejsou jediný způsob, jak šíření GandCrab ransomware, protože malware autoři používají také škodlivé dokumenty sady Microsoft Office, stejně jako Adobe .PDF soubory infikovat oběti. Způsob jejich použití je tím, že zamaskuje aktuální dokument je škodlivý přírody s obuscators a nakazit s nebezpečnými Makry. Tato makra jsou v podstatě kód, který se spustí pokaždé, když kliknete na „Povolit Obsah“ nebo „Povolit Úpravy“ v dokumentu, a jakmile je to hotovo, infekce s GandCrab je nevyhnutelné. Níže můžete vidět, jak takový útok může nastat přes e-mail:
Tato metoda je také velmi často používán a viděli jsme GandCrab vývojářům používat to předtím. Jako výzkumníci Fortinet již oznámily, že zaznamenaly více napadených WordPress webů, které jsou obsaženy GandCrab ransoware je infekce soubor přímo nahrát na webové stránky, které nabízejí software trhliny pro následující programy:
- Crack SysTools PST Sloučit 3.3
- Crack Securitask 2005 1.40 H
- Crack Sloučení Obrázků do formátu PDF 2.8.0.4
- Crack pro Windows Password Key Enterprise 9.6.2.
Díky výzkumníci Fortinet, můžete vidět některé snímky z těchto virů stránkách níže:
Kromě toho, trhliny, jiné infekce, soubory mohou být nahrány s novými verzemi, které jsou pravděpodobné, že se objeví v budoucnosti, jako falešný nastavení přenosné verze programů, freeware aplikace, montéři a mnoho dalších zdánlivě legitimní programy, které dopadají být škodlivé.
GandCrab ransomware je velmi perzistentní škodlivý, který se vyvinul u mnoha nových verzí v průběhu let. Shrnout tyto verze, budeme věnovat pozornost na nejvýznamnější změny pro každou verzi. To bude lépe pomůže pochopit, jaký druh viru, můžete se zabývají.
GandCrab v1 (.GDCB)
První verze, která můžeme nazvat GandCrab se objevil již v lednu 2018. Bezpečnostní experti na Comodo zjistil, že virus šifrované obětí soubory a vygeneruje jedinečný dešifrovací klíč. Na GandCrab v1 byl první ransomware kdy použít POMLČKU v kyber-vydírání. Na GandCrab ransomware v1 používá pro kopírování je to škodlivé soubory v %AppData%Microsoft directory a pak vložení škodlivého kódu do systému, procesů, tzv. nslookup.exe. Virus používá ke komunikaci se pv4bot.whatismyipaddress.com aby bylo vidět, co je IP na infikovaném POČÍTAČI a spusťte nslookup služby pro připojení k GandCrab.bit.a.dnspod.com pomocí .trochu domény. Verze se rychle šíří, ale to netrvalo dlouho. Vědci byli schopni vymyslet decryptor pro virus a krátce po tom, podvodníci zastavil šíření infekce souborů.
GandCrab v2 (.KRABÍ)
Tato varianta rychle přišel týden poté, co vědci byli schopni dešifrovat první verze. To používá .KRABÍ přípona , která je přidána do složky, že virus šifrované pomocí zbrusu nový šifrovací algoritmus. Šířit to, vědci použili spam e-mailů a po infekci bylo provedeno, domény, pro komunikaci použity byly napevno, aby ransomware.trochu a zonealarm.bit.
GandCrab v3
Kyber-zločinců za GandCrab nezastavil vyvíjí a v dubnu začali infekce kampaně představovat novou verzi viru, v3. Na GandCrab v3 iterace cílem zajistit, že oběti vím, že je to tam změnit tapetu plochy napadených počítačů, což je výkupné. Virus také cílem seznámit strachu v oběti tím, že skripty, které byly přidány v RunOnce klíč:
Tyto zatímní listy zaměřené pro přepínání mezi tapety a výkupné poznámka textový soubor virus automaticky, aby se tlak oběti do platit výkupné.
GandCrab v4
4. verze GandCrab ransomware byla provedena provést docela činnosti a kromě nového .KRAB rozšíření používá, ale také přidal spoustu nových aktualizací a změn. Jako výzkumní pracovníci v Comodo zjistili, GandCrab v4 používá Malé Šifrovací Algoritmus, také známý v obchodě jako ČAJ, aby se zabránilo odhalení tím, že kyber-zločinců. Název tohoto cypher naznačuje, že se používá k být velmi rychle v šifrování souborů affter infekce.
Kromě nově vyrobené tapety, podvodníci, za GandCrab ransomware teď začali používat nové metody k šíření viru – software trhliny. Jak jsme se zmínili v „distribuci“ část výše, podvodníci nahraných trhliny a jednou obětí stáhnout a běžel jim, ransomware je přetažen na PC. Jeden škodlivý soubor byl zjištěn představovat jako Crack_Merging_Image_to_PDF.exe. Virus se také přidal nové funkce, jako je schopnost vytvořit vlastní adresu URL pro Tor platební stránky založené na jedinečné ID na infikovaném počítači. Virus se také používá k přenosu dat z infikovaného stroje, aby Velení a Řízení serveru a tato data je také XOR šifrovaný pro bezpečnou komunikaci. Nejen to, ale vědci se domnívají, že virus byl pravděpodobně vyroben v Rusku, protože to používá velmi specifické klíčové řetězec, tzv. „jopochlen“, což je kombinace dvou ruská slova.
Výkupné z GandCrab ransomware byl jsem volal KRAB-DECRYPT.txt a kontroly virů pro více Windows souborů a systémových složek, které to přeskočí šifrování, Pokud jsou vytvořené v počítači oběti, jako je výkupné. GandCrab v4 neměl změnit názvy souborů pro šifrované soubory. To bylo poprvé, kdy platební stránce GandCrab začal objevovat s aktualizovaný a nový design:
Další zajímavé změny viru, bylo, že to začalo cílení na uživatele starších Windows OS, jako Windows XP stejně:
GandCrab Ransomware Aktualizováno – Cíle Windows XP a Starší Servery
GandCrab v5
5. verze GandCrab je nejvýznamnější z nich a je stále používán dnes. Ransomware virus byl aktualizován tapety a všechny její varianty v5 používá náhodné přiřazenu míchaná dopisy. To je nejvíce výrazně změnila verze viru, protože se vykašlali na předchozí šifrovací algoritmy, které používá a dodal Salsa20 režim šifrování. Nejen to, ale kyber-zločinci mají také podařilo zjistit, že výkupné stránku virus byl také změněn na následující:
Hlavní textový soubor s výkupné, byl také změněn a je v současné době vypadá jako následující:
Tapety na 5.0 verze byla také změněna s verzi, výkupné a rozšíření se k ní přidá v červené obrazovky:
Hlavní výkupné v tapetu virus začal vypadat jako následující:
Šifrování GandCrab ransomware se trochu změnilo v průběhu let, a hodně z toho je verze byly doposud dešifrovat:
Jak Dešifrovat Soubory Zašifrované GandCrab Ransomware (Zdarma)
Nicméně, novější v5 varianty viru jsou stále nezjistitelné a vědci se stále snaží, aby se pokrok směrem k dekódování souborů.
Šifrování, směrování tohoto viru začíná s Salsa20 režim šifrování, který je silný a rychlý a je vyroben v takovým způsobem, aby se zabránilo odhalení. Virus se zaměřuje na šifrování naprosto všechny použitelné typy souborů v Windows, kromě těch, na Bílé listině. Před zahájením skutečné šifrování, GandCrab ransomware kontroluje počítač následující údaje:
- Uživatelské jméno.
- Název počítače.
- Skupina počítači patří.
- Pokud je nainstalován antivirový program.
- Je to jazyk.
- To je klávesnice jazyků.
- Informace o operačním systému.
- Pevný Disk Informace.
- IP adresu.
Virus se pak přenáší získané informace do velení a řízení serveru přes šifrované komunikační režimy. Pak, ransomware pokračuje k šifrování všech souborů na pronásledovaných PC, kde to vylučuje následující soubory a složky:
Po šifrování má být dokončena, v závislosti na verzi je, GandCrab ransomware může self-odstranit soubory.
Vždy jsme věřili, že GandCrab a Cerber ransomware byly provedeny stejnými lidmi, což znamená, že tento virus je velmi rozšířené a přetrvávající hrozba, že bude pravděpodobně držet terroizing počítače a to buď přes tento název, nebo jinou.
Pokud si chcete vyzkoušet a obnovit soubory, které jste možná zjistili, že šifrování používá GandCrab je docela obtížné prolomit, pokud vaše varianta není mezi decryptable ty. V tomto případě doporučujeme, že jste, zkuste použít alternativní file recovery metod, které jsme podle níže, v „se snaží obnovit“ krok. Nemusí být 100% zárukou řešení pro obnovení souborů, ale s jejich pomocí, můžete být schopni získat alespoň některé soubory zpět do normálu. Poslední, ale v neposlední řadě, bychom důrazně doporučujeme udělat zálohu GandCrab je výkupné a šifrované soubory stejně, protože tyto viry jsou nebezpečné a může zlomit vaše soubory za dešifrování, pokud se pokusíte manipulovat s nimi přímo.
Upozornění, mnohonásobný anti-počítačový virus snímač rozpoznání možné malware v GandCrab.
| Antivirový Software | Verze | Detekce |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Dr.Web | Adware.Searcher.2467 | |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
GandCrab chování
- Společné GandCrab chování a některé další text emplaining som informace vztahující se k chování
- GandCrab ukazuje komerční inzeráty
- Sám nainstaluje bez oprávnění
- Krade nebo používá vaše důvěrné údaje
- Upraví plochy a nastavení prohlížeče.
GandCrab uskutečněné verze Windows OS
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografie GandCrab
Eliminovat GandCrab z Windows
Z Windows XP, odstraňte GandCrab:
- Klikněte na Start otevřete nabídku.
- Vyberte položku Ovládací panely a jít na Přidat nebo odebrat programy.
- Vybrat a Odebrat nežádoucí program.
Odebrat GandCrab z vaší Windows 7 a Vista:
- Otevřete nabídku Start a vyberte položku Ovládací panely.
- Přesunout do odinstalovat program
- Klepněte pravým tlačítkem myši na nežádoucí app a vybrat Uninstall.
Mazání GandCrab od Windows 8 a 8.1:
- Klepněte pravým tlačítkem myši na levém dolním rohu a vyberte Ovládací panely.
- Zvolte odinstalovat program a klikněte pravým tlačítkem myši na nechtěné aplikace.
- Klepněte na tlačítko odinstalovat .
Z vašeho prohlížeče odstranit GandCrab
GandCrab Vyjmutí z Internet Explorer
- Klikněte na ikonu ozubeného kola a vyberte položku Možnosti Internetu.
- Přejděte na kartu Upřesnit a klepněte na tlačítko obnovit.
- Zkontrolujte, Odstranit osobní nastavení a znovu klepněte na tlačítko obnovit .
- Klepněte na tlačítko Zavřít a klepněte na tlačítko OK.
- Vraťte se na ikonu ozubeného kola, vyberte Spravovat doplňky → panely nástrojů a rozšířenía odstranit nežádoucí rozšíření.
- Přejít na Vyhledávání zprostředkovatelů a zvolte nový výchozí vyhledávač
Vymazat GandCrab z Mozilla Firefox
- Do pole URL zadejte "about:addons".
- Přejděte na rozšíření a odstranění podezřelé prohlížeče rozšíření
- Klepněte v nabídce, klepněte na otazník a otevřete nápovědu k Firefox. Klepněte na Firefox tlačítko Aktualizovat a vyberte Aktualizovat Firefox potvrdit.
Ukončit GandCrab od Chrome
- Do pole URL zadejte v "chrome://extensions" a klepněte na tlačítko Enter.
- Ukončit nespolehlivé prohlížeče rozšíření
- Restartujte Google Chrome.
- Otevřete Chrome menu, klepněte na tlačítko nastavení → zobrazit pokročilá nastavení, vyberte obnovit nastavení prohlížeče a klepněte na tlačítko Obnovit (volitelné).