Deze analyse is gemaakt om u te informeren en u te laten zien met instructies hoe u het kunt verwijderen van de GANDCRAB 5.1 ransomware virus van uw computer en hoe u kunt proberen en het terugzetten van bestanden, gecodeerd door.
Op het infecteren van een computer, de 5.1 versie van GANDCRAB ransomware maakt gebruik van verschillende types van methoden en infectie bestanden.
De primaire infectie methode die gebruikt zou kunnen worden in relatie tot GANDCRAB 5.1 infectie is de e-mails die zijn samengesteld op de volgende manier:
Naast de “Betaling Factuur #93611″ bovenstaande is, hebben we ook geconstateerd andere nep-onderwerp e-mails:
- Document #72170
- Factuur #21613
- Bestelling #87884
- Payment #72985
- Ticket #07009
- Uw Document #78391
- Uw Bestelling #16323
- Uw Ticket #23428
De e-mails bevatten een e-mailbijlage dat is vaak een kwaadaardig .JS(JavaScript), een .docx (Microsoft Word) of .PDF (Adobe Reader) – bestand dat leidt tot een .docx-bestand. Het bestand met de naam willekeurig, als het bijvoorbeeld geassocieerd met GANDCRAB die we eerder gedetecteerd toont:
Als het kwaadaardige bestand is afkomstig van de .JS type (JavaScript), gewoon uitpakken en uitvoeren van het resultaat in het infecteren van uw computer, zoals we hebben aangetoond hieronder:
Als het kwaadaardige bestand is een document, dan is de infectie zal gaan door middel van kwaadaardige macro ‘ s die zijn ingebed in het Microsoft Office of Adobe PDF-document en ze willen dat je om te kunnen Content of Bewerken Inschakelen om te zien wat er in het document. Te klikken op het “Bewerken Inschakelen” knop resultaten in de volgende infectie activiteiten plaatsvinden:
Behalve via e-mail, het infectie proces met GANDCRAB 5.1 ransomare kan online plaatsvinden. Onderzoekers van Fortinet(https://www.fortinet.com/blog/threat-research/GANDCRAB-v4-0-analysis-new-shell-same-old-menace.html) eerder gedetecteerd GANDCRAB te infecteren gebruikers door te doen alsof een software te kraken van de volgende programma ‘ s:
- Het samenvoegen van afbeeldingen naar PDF.
- Securitask.
- SysTools PST Samenvoegen.
Meer informatie over GANDCRAB het infecteren van slachtoffers via software scheuren kan worden gevonden in het bijbehorende artikel onder:
GANDCRAB 4 Ransomware Nu Infecteert Via Software Scheuren
De belangrijkste infectie bestand van GANDCRAB 5.1 ransomware virus heeft gemeld dat het de volgende IOCs (Identificatoren van Compromis):
Zodra dit bestand is gevallen op uw computer, kunt u het direct activeren van het Windows component “wmic.exe” als beheerder om te verwijderen van de volume shadow kopieën van uw PC. Dit zal voorkomen dat u het herstellen van uw bestanden via de Windows Recovery service. GANDCRAB 5.1 leidt tot de volgende opdracht als beheerder in Windows Opdrachtprompt:
Zodra GANDCRAB 5.1 heeft verwijderd van de back-up bestanden, de ransomware begint te dalen is het losgeld opmerking het bestand met het volgende bericht aan de slachtoffers van het virus:
Het losgeld opmerking van deze steekproef van GANDCRAB 5.1 die we hebben geanalyseerd leidt slachtoffers naar de volgende losgeld opmerking web pagina, die kunnen alleen worden geopend in de TOR browser zoals vermeld in de instructies:
Wanneer het slachtoffer van de betalingstermijn timer afloopt, GANDCRAB kan ook de volgende versie van het losgeld opmerking, die zegt dat de prijs verdubbeld.
Het losgeld opmerking de volgende instructies voor het slachtoffer:
En naast deze activiteiten, GANDCRAB ransomware kan uiteindelijk ook de achtergrond wijzigen op de geïnfecteerde computer bij het volgende beeld:
En in het rantsoen opmerking pagina, het virus heeft 1 versleuteld bestand gratis te downloaden, zo kan het slachtoffer ziet dat het werkt. Dat betekent in feite dat het virus kunnen bevatten, Trojaanse mogelijkheden om bestanden te kopiëren vanaf de geïnfecteerde computer en upload ze op TOR:
De belangrijkste encryptie-algoritme dat wordt gebruikt door GANDCRAB 5.1 is de Salsa20 cipher. In tegenstelling tot de RSA en AES encryptie-algoritmen, de Salsa20 is veel sneller en kan het coderen van alle bestanden in ongeveer minder dan een minuut tijd. Net als andere GANDCRAB versies, v5.1 maakt ook gebruik van willekeurige extensie die het er graag voor over om de advertenties op de versleutelde bestanden na het codeert ze. De bestanden worden gecodeerd en op zoek zoals de afbeelding hieronder laat zien:
De ransomware slaat het versleutelen van bestanden als ze zich in de volgende Windows mappen:
De codering van GANDCRAB ransomware is uitgevoerd op een manier dat het virus waarschijnlijk maakt kopieën van de oorspronkelijke bestanden en vervolgens codeert deze kopieën door het vervangen van blokken gegevens uit het bestand met de gecodeerde data. De cyber-criminelen kunnen de originele bestanden verwijderen en omdat ze te verwijderen van de schaduw kopieën, lijkt er weinig kans om de bestanden te herstellen, tenzij u het betalen van de oplichters, die wij zouden het zeer te adviseren zich te onthouden van het doen van.
Alvorens te beginnen, zelfs na te denken over het verwijderen van GANDCRAB 5.1 ransomware, zouden we raden aan dat u een back-up van uw bestanden, zelfs als ze zijn versleuteld, want als je het probeert te remvoe deze variant van GANDCRAB, is de kans groot dat uw PC kunnen storing en het afbreken van uw OS onomkeerbaar.
Voor de verwijdering van GANDCRAB 5.1, wij hebben de stappen hieronder. Zorg ervoor dat u de eerste twee stappen alleen als u al enige ervaring hebben in het verwijderen van malware en weet wat je doet. Anders, raden wij aan wat de meeste cybersecurity-experts adviseren slachtoffers voor het scannen van uw computer voor de GANDCRAB malware bestanden met een geavanceerde anti-malware programma en verwijder alle schadelijke bestanden en objecten die behoren tot het automatisch.
Voor de terugwinning van het dossier, wij stellen voor dat u check out de stap “Probeert te Herstellen van bestanden die zijn gecodeerd door GANDCRAB 5.1″ hieronder. Ze bevatten meerdere methoden die uitleggen wat de recovery methode het beste voor u is en hoewel de methoden die niet zijn voorzien van een 100% garantie om uw bestanden te herstellen, zou je in principe in staat zijn om te herstellen van ten minste enkele van je bestanden.
Waarschuwing, Veelvoudig Anti-virus scanner mogelijk malware in GANDCRAB gedetecteerd.
| Anti-Virus Software | Versie | Detectie |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Dr.Web | Adware.Searcher.2467 | |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
GANDCRAB gedrag
- GANDCRAB deactiveert geïnstalleerde beveiligingssoftware.
- Integreert in de webbrowser via de GANDCRAB Grazen verlenging
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- GANDCRAB verbindt met het internet zonder uw toestemming
- Verspreidt zich via pay-per-install of is gebundeld met terts-verschijnende partij software.
- Steelt of gebruikt uw vertrouwelijke gegevens
- Gemeenschappelijke GANDCRAB gedrag en sommige andere tekst emplaining som info in verband met gedrag
- Uw browser omleiden naar geïnfecteerde pagina's.
- Vertraagt internet-verbinding
- Zichzelf installeert zonder machtigingen
- Wijzigingen van gebruiker homepage
- GANDCRAB shows commerciële advertenties
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
GANDCRAB verricht Windows OS versies
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GANDCRAB Geografie
GANDCRAB elimineren van Windows
GANDCRAB uit Windows XP verwijderen:
- Klik op Start om het menu te openen.
- Selecteer Het Configuratiescherm en ga naar toevoegen of verwijderen van programma's.
- Kies en Verwijder de ongewenste programma.
Verwijderen GANDCRAB uit uw Windows 7 en Vista:
- Open menu Start en selecteer Configuratiescherm.
- Verplaatsen naar een programma verwijderen
- Klik met de rechtermuisknop op het ongewenste app en pick verwijderen.
Wissen GANDCRAB van Windows 8 en 8.1:
- Klik met de rechtermuisknop op de linkerbenedenhoek en selecteer Configuratiescherm.
- Kies een programma verwijderen en Klik met de rechtermuisknop op het ongewenste app.
- Klik op verwijderen .
GANDCRAB verwijderen uit uw Browsers
GANDCRAB Verwijdering van Internet Explorer
- Klik op het pictogram van het vistuig en selecteer Internet-opties.
- Ga naar het tabblad Geavanceerd en klikt u op Beginwaarden.
- Controleer verwijderen persoonlijke instellingen en klik op Beginwaarden opnieuw.
- Klik op sluiten en selecteer OK.
- Ga terug naar het pictogram van de versnelling, Invoegtoepassingen beheren → Kies werkbalken en uitbreidingen, en verwijderen ongewenste extensies.
- Ga naar Search Providers en kies een nieuwe standaard zoekmachine
Wissen GANDCRAB van Mozilla Firefox
- Voer "about:addons" in het URL -veld.
- Ga naar Extensions en verwijderen verdachte browser-extensies
- Klik op het menu, klikt u op het vraagteken en Firefox Helpopenen. Klik op de Firefox knop Vernieuwen en selecteer vernieuwen Firefox om te bevestigen.
Beëindigen GANDCRAB van Chrome
- Typ in "chrome://extensions" in het veld URL en tik op Enter.
- Beëindigen van onbetrouwbare browser- extensies
- Opnieuw Google Chrome.
- Chrome menu openen, klik op instellingen → Toon geavanceerde instellingen, selecteer Reset browserinstellingen en klikt u op Beginwaarden (optioneel).