Hvordan fjerner GandCrab

For GandCrab ransomware til at blive spredt, virus bruger forskellige former for replikation og infektion metoder. Nedenfor har vi opsummeret hver metode og viser vi dig mere om dem.

Dette er den mest almindeligt anvendte metode til at inficere en computer med GandCrab ransomware. Virus infektion filen kan være af forskellige fil-typer, og disse filtyper kan uploades i e-mails, hvor de kan foregive at være legitime dokumenter. Nedenfor kan du se et eksempel på en sådan sag, at tage fordel af .JS (JavaScript) fil, der foregiver at være et billede:

Når brugeren åbner e-mail, han eller hun vil se de filer, der er indeholdt i et arkiv. Når denne infektion filen er pakket ud og løb, som det forårsager infektion med GandCrab ransomware:

En anden metode, der bruges af GandCrab er at gøre det, som hvis den JavaScript-fil er en faktiske dokument, og denne fil kan være indeholdt i en .7z-arkiv, der automatisk trækker og udfører virus, når du åbner den – klog.

Men .JS-filer er ikke den eneste måde at sprede GandCrab ransomware, da malware-forfattere har også brugt skadelige Microsoft Office-dokumenter samt Adobe .PDF-filer for at inficere ofre. Den måde de bruger dem på, er ved at tilsløre de faktiske dokument, der er ondsindet karakter med obuscators og inficere det med ondsindede Makroer. Disse makroer er dybest set en kode, der udløses, hver gang, når du klikker på “Aktiver Indholdet” eller “Aktiver Redigering” i et dokument, og når dette er gjort, infektion med GandCrab er uundgåelig. Nedenfor kan du se, hvordan sådan et angreb kan foregå via e-mail:

Denne metode er også meget almindeligt brugt, og vi har set GandCrab udviklere til at bruge det før. Som Fortinet forskere har allerede rapporteret, at de har fundet flere kompromitteret WordPress hjemmesider, der indeholdt GandCrab ransoware infektion fil direkte uploades på hjemmesider, der tilbyder software revner for følgende programmer:

  • Knæk SysTools Flette PST-3.3
  • Knæk Securitask 2005 1.40 H
  • Knæk Fusionerende Billede til PDF 2.8.0.4
  • Knæk for Windows Password Centrale Virksomhed 9.6.2.

Tak til Fortinet forskere, du kan se nogle screenshots af disse virus websteder nedenfor:

Udover revner, andre infektion filer kan også blive uploadet nye versioner, der er tilbøjelige til at møde i fremtiden, ligesom falske opsætninger, bærbare versioner af programmer, freeware app installatører og mange andre tilsyneladende legitime programmer, der viser sig at være skadelige.

GandCrab ransomware er en meget vedholdende trussel, som har udviklet sig med mange nye versioner i løbet af de år. At sammenfatte disse versioner, vi vil lægge vægt på de mest markante ændringer for hver version. Dette bedre vil kunne hjælpe dig med at forstå, hvilken type virus du er beskæftiger sig med.

GandCrab v1 (.GDCB)

Den første version, som vi kan kalde GandCrab udkom tilbage i januar 2018. Sikkerhed eksperter på Comodo har konstateret, at virus krypteret ofre’ filer, og der genereres en unik dekrypteringsnøgle. Den GandCrab v1 var den første ransomware til nogensinde at bruge BINDESTREG i en cyber-afpresning-ordningen. Den GandCrab ransomware v1 bruges til at kopiere det skadelige filer i %AppData%Microsoft – mappen, og derefter indsætte skadelig kode i en system proces, som kaldes nslookup.exe. Virus bruges til at kommunikere til pv4bot.whatismyipaddress.com for at se, hvad der er IP-adressen på den inficerede PC og derefter køre den nslookup – tjenesten til at oprette forbindelse til GandCrab.bit.a.dnspod.com, ved hjælp af den .bit domæne. Den version, der bredte sig hurtigt, men det gjorde ikke vare for længe. Forskere var i stand til at udtænke en decryptor for virus og kort tid efter, at de skurke stoppet spredning af infektionen filerne.

GandCrab v2 (.KRABBE)

Denne variant hurtigt kom ud en uge efter, var forskerne i stand til at dekryptere den første version. Det plejede .KRABBE udvidelse , hvor det tilføjes, at de filer, der virus krypteret ved hjælp af en helt ny krypterings algoritme. For at sprede det, forskerne anvendt spam e-mails og efter en infektion, der blev gjort, domæner, kommunikation, man brugte, var hardcodede til ransomware.bit og zonealarm.bit.

GandCrab v3

De cyber-kriminelle bag GandCrab ikke stoppe udviklingen, og i April har de startet infektion kampagner, der indeholder nye version af virus, en v3. Den GandCrab v3 iteration havde til formål at sørge for, at ofrene ved, det er der ved at ændre tapetet på skrivebordet på den inficerede computere, at det er løsesum note. Den virus har også til formål at indføre frygt i ofre ved at have manuskripter, der blev tilføjet i Run-tasten:

Disse scrips til formål at skifte mellem baggrund og løsepenge tekst fil for virus automatisk, for at presse ofrene til at betale løsepenge.

GandCrab v4

4th version af GandCrab ransomware blev gjort for at udføre ganske aktiviteterne, og udover den nye .KRAB udvidelse , der anvendes af det, er det også tilføjet en masse nye opdateringer og ændringer til det. Som forskere på Comodo har fundet ud af, GandCrab v4 anvendes den Lille Kryptering Algoritme, også kendt i branchen som TE for at undgå at blive opdaget af cyber-kriminelle. Navnet på denne cypher tyder på, at det bruges til at være meget hurtig med at kryptere filer affter infektion.

Udover en nyligt foretaget tapet, skurke, bag GandCrab ransomware nu er begyndt at bruge nye metoder til at sprede virus – software revner. Som vi nævnte i “distribution” ovenfor, skurke uploadet revner, og når ofrene hentede og kørte dem, ransomware er faldet på PC ‘ en. En ondsindet fil blev fundet til at udgøre Crack_Merging_Image_to_PDF.exe. Den virus, der også havde tilføjet nye features, såsom muligheden for at oprette en brugerdefineret URL-adresse for det er Tor betaling side, der er baseret på det unikke ID for den inficerede computer. Den virus, der også bruges til at viderebringe oplysninger fra den inficerede maskine til at det er Kommando og Kontrol-server, og disse data er også XOR krypteret for en sikker kommunikation. Ikke kun dette, men forskere mener, at virus var sandsynligvis fremstillet i Rusland, eftersom der anvendes en meget specifik nøgle streng, kaldet “jopochlen”, som er en kombination af to russiske ord.

Den løsesum, notat af GandCrab ransomware jeg blev kaldt KRAB-DECRYPT.txt og virus kontrol for flere Windows filer og system mapper, der springer kryptering, Hvis de er oprettet i offerets maskine, som det er løsesum note. GandCrab v4 ikke ændre filnavnene på de krypterede filer. Det var første gang, hvor betalingen side af GandCrab begyndte at dukke op med en opdateret og nyt design:

Andre interessante ændringer af virus var, at det begyndte at målrette brugere af ældre Windows OS ‘ er, som Windows XP:

GandCrab Ransomware Opdateret – Mål Windows XP og Ældre Servere

GandCrab v5

5th version af GandCrab er mest markant og stadig bliver brugt i dag. Ransomware virus har opdateret det er til baggrund, og i det hele v5-varianter, det bruger tilfældig fil extensions med forvrængede bogstaver. Dette er mest markant ændret version af virus, da det droppede tidligere krypteringsalgoritmer, der anvendes af det, og tilføjede Salsa20 krypteringsmetode. Ikke kun dette, men de it-kriminelle har også formået at finde ud af, at den løsesum side af virus blev også ændret til følgende:

Den vigtigste tekst-fil med løsepenge bemærk blev også ændret, og i øjeblikket ser ud som følgende:

De tapet af 5.0 versioner blev også ændret med den version, af den løsesum, note og udvidelser tilføjes, at det i en rød skærm:

De vigtigste løsesum opmærksom på baggrund af virus begyndte ser ud som følgende:

Kryptering af GandCrab ransomware har ændret sig en smule gennem årene, og en masse af det versioner har hidtil blevet dekrypteret:

Hvordan til at Dekryptere Filer Krypteret med GandCrab Ransomware (Gratis)

Men de nyere v5 varianter af virus er stadig målbart og forskere stadig forsøger at gøre fremskridt i retning af at afkode filer.

Kryptering routing af denne virus begynder med Salsa20 krypteringsmetode, som er stærk og hurtig, og den er lavet på en sådan måde at undgå at blive opdaget. Den virus har til formål at kryptere absolut alle anvendelige fil typer i Windows, udover dem på den Hvide liste. Inden du starter den egentlige kryptering, GandCrab ransomware kontrollerer computeren for følgende oplysninger:

  • Brugernavn.
  • Navnet på computeren.
  • Gruppen computeren tilhører.
  • Hvis en antivirus er installeret.
  • Det er sprog.
  • Det er tastatur sprog.
  • Oplysninger om operativsystemet.
  • Harddisken Oplysninger.
  • IP-adresse.

Den virus derefter relæer de indsamlede oplysninger til at det er kommando og kontrol-server via en krypteret kommunikation tilstande. Derefter, den ransomware provenuet til at kryptere alle filer på de ofre PC, hvor det udelukker følgende filer og mapper:

Efter krypteringen er afsluttet, afhængigt af den version, det er i, GandCrab ransomware kan selv slette det-filer.

Vi har altid ment, at GandCrab og Cerber ransomware var lavet af de samme mennesker, hvilket betyder, at denne virus er en meget avanceret og vedvarende trussel, som sandsynligvis vil holde terroizing computere enten via navn eller andet.

Hvis du ønsker at forsøge at gendanne filer, du måske har regnet ud ved nu, at den kryptering, der skal bruges ved GandCrab er ganske svært at bryde, hvis din variant er ikke blandt det muligt at dekryptere dem. I dette tilfælde vil vi anbefale, at du forsøger at bruge alternative file recovery metoder, som vi har angivet nedenfor i “prøv at gendan” trin. De kan ikke være en 100% garanti løsning til fil opsving, men med deres hjælp, kan du være i stand til at få mindst nogle filer tilbage til normal. Sidst, men ikke mindst, vil vi stærkt anbefale, at du foretager en backup af GandCrab løsesum venligst og krypterede filer så godt, fordi sådanne vira er farligt og kan ødelægge dine filer over, dekryptering, hvis du forsøger at manipulere med dem direkte.

Advarsel, har flere anti-virus scannere fundet mulige malware i GandCrab.

Anti-virus SoftwareVersionAfsløring
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
ESET-NOD328894Win32/Wajam.A
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
VIPRE Antivirus22224MalSign.Generic
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
VIPRE Antivirus22702Wajam (fs)
Malwarebytes1.75.0.1PUP.Optional.Wajam.A

GandCrab adfærd

  • Omdirigere browseren til inficerede sider.
  • Indlægger sig uden tilladelser
  • Bremser internetforbindelse
  • Viser falske sikkerhedsadvarsler, Pop-ups og annoncer.
  • GandCrab viser kommercielle annoncer
  • Fordeler sig gennem pay-per-install eller er bundlet med software fra tredjepart.
Download værktøj til fjernelse affjerne GandCrab

GandCrab foretages Windows OS-versioner

  • Windows 1025% 
  • Windows 839% 
  • Windows 720% 
  • Windows Vista6% 
  • Windows XP10% 

GandCrab geografi

Fjerne GandCrab fra Windows

Slette GandCrab fra Windows XP:

  1. Klik på Start til at åbne menuen.
  2. Vælg Control Panel og gå til Tilføj eller fjern programmer.win-xp-control-panel GandCrab
  3. Vælg og fjerne det uønskede program.

Fjern GandCrab fra din Windows 7 og Vista:

  1. Åbn menuen Start og vælg Control Panel.win7-control-panel GandCrab
  2. Flytte til Fjern et program
  3. Højreklik på den uønskede app og vælge afinstallere.

Slette GandCrab fra Windows 8 og 8.1:

  1. Højreklik på den nederste venstre hjørne og vælg Kontrolpanel.win8-control-panel-search GandCrab
  2. Vælg Fjern et program og Højreklik på den uønskede app.
  3. Klik på Afinstaller .

Slette GandCrab fra din browsere

GandCrab Fjernelse fra Internet Explorer

  • Klik på tandhjulsikonet , og vælg Internetindstillinger.
  • Gå til fanen Avanceret , og klik på Nulstil.reset-ie GandCrab
  • Kontrollere Slet personlige indstillinger og klikke på Nulstil igen.
  • Klik på Luk og vælge OK.
  • Gå tilbage til tandhjulsikonet, vælge Administrer tilføjelsesprogrammerværktøjslinjer og udvidelser, og Slet uønskede udvidelser.ie-addons GandCrab
  • Gå til Søgemaskiner og vælge en ny standard søgemaskine

Slette GandCrab fra Mozilla Firefox

  • Indtast "about:addons" i URL- feltet.firefox-extensions GandCrab
  • Gå til udvidelser og fjerne mistænkelige browserudvidelser
  • Klik på menuen, skal du klikke på spørgsmålstegnet og åbne Firefox hjælp. Klik på Opdater Firefox knappen og vælg Opdater Firefox at bekræfte.firefox_reset GandCrab

Opsige GandCrab fra Chrome

  • Skrive "chrome://extensions" i URL- feltet og tryk på Enter.extensions-chrome GandCrab
  • Opsige upålidelige browser extensions
  • Genstart Google Chrome.chrome-advanced GandCrab
  • Åbne Chrome menu, klik på Indstillinger → Vis avancerede indstillinger, Vælg Nulstil webbrowserindstillinger og klikke på Nulstil (valgfrit).
Download værktøj til fjernelse affjerne GandCrab