GandCrab ransomware yayılması, virüs çoğaltma ve Enfeksiyon Yöntemleri farklı formları kullanır. Aşağıda, her yöntemi özetlenmiş ve onlar hakkında daha fazla göstereceğiz.
Bu GandCrab ransomware ile bir bilgisayar bulaştırmak için en yaygın olarak kullanılan yöntemdir. Virüs enfeksiyonu çeşitli dosya türleri olabilir ve bu dosya türlerini yasal belgeleri taklit etmek ya da e-posta ile yüklenebilir. Aşağıda böyle bir örnek bakın, bir yararlanarak .Bir resim gibi davrandığı bu JS (JavaScript) dosyası:
Kullanıcı e-posta açıldığında, bir arşiv içindeki dosya göreceksiniz. Bu enfeksiyon dosyasıdır çıkarılan ve koştu, neden olur enfeksiyon ile GandCrab ransomware:
Başka bir yöntemi tarafından kullanılan GandCrab olduğu için, JavaScript dosyası, gerçek bir belgeyi ve bu dosya olabilir bulunan bir .- Zeki gerçekten açtığınızda otomatik olarak ayıklar ve bu 7arasında arşiv virüs yürütür.
Ama .JS dosyaları değil sadece şekilde yayılması GandCrab ransomware, kötü amaçlı yazılım yazarlar da kullanılan kötü amaçlı Microsoft Office belgeleri gibi Adobe .PDF kurban bulaştırmak için dosyaları. Onları kullanmayı obuscators ile gerçek belgenin kötü niyetli doğasını gizlemek ve kötü niyetli Makrolar ile enfekte. Bu makrolar temelde bir kod bunu tetikleyen her zaman tıklayın “İçeriği Etkinleştir” veya “Düzenlemeyi Etkinleştir” bir belge ve bir kez bu işi yaptı, enfeksiyon ile GandCrab kaçınılmazdı. Aşağıda, böyle bir saldırı e nasıl oluşabilir-mail:
Bu yöntem de çok sık kullanılır ve önce kullanmak GandCrab geliştiriciler gördük. Gördü araştırmacılar zaten bildirdin gibi, GandCrab ransoware enfeksiyonu dosyayı doğrudan aşağıdaki programlar için yazılım çatlaklar sunan web sitelerinde karşıya bulunan birden fazla tehlikeye WordPress web siteleri tespit ettiler:
- Crack MS PST 3.3 Birleştirme
- Çatlak H 2005 1.40 Securitask
- Çatlak Görüntü Birleştirme PDF 2.8.0.4
- 9.6.2 Windows Şifre Anahtarı İşletme için çatlak.
Teşekkürler Gördü araştırmacılar, görün bazı ekran görüntüleri bu virüs siteleri aşağıda:
Çatlaklar dışında, diğer enfeksiyon dosyaları da gelecekte çok görünmesini, sahte kurulumları kötü niyetli olduğu ortaya çıkar, programların taşınabilir sürümleri, ücretsiz app yükleyiciler ve diğer birçok görünüşteki yasal programlar gibi olası yeni sürümleri yüklenebilir.
GandCrab ransomware yıllar boyunca birçok yeni sürümleri ile ortaya çıkan çok kalıcı bir tehdit. Bu sürümler özetlemek gerekirse, her versiyon için en önemli değişiklikler dikkat edeceğiz. Bu daha iyi bir virüs gibi neyle karşı karşıya olduğunuzu anlamanıza yardımcı olacaktır.
GandCrab v1 (.GDCB)
GandCrab geri Ocak 2018 yılında ortaya çıktı diyebileceğimiz ilk sürümü. Sağladığı güvenlik uzmanları, virüsün kurbanların dosyaları şifreli ve benzersiz bir şifre oluşturan kurduk. Bu GandCrab v1 bugüne kadar bir siber-zorbalık düzeni DASH kullanan ilk ransomware olduğunu. Bu GandCrab ransomware v1 kullanılan kopya kadar zararlı dosyaları %AppData%Microsoft dizin ve sonra enjekte kötü niyetli kod bir sistem işlemi olarak adlandırılan nslookup.exe. Virüs kullanılan iletişim pv4bot.whatismyipaddress.com sipariş için bakın ne IP üzerine bulaşmış PC ve sonra Çalıştır kullanırlar servise bağlanmak için GandCrab.bit.a.dnspod.com kullanarak .etki alanı bit. Sürümü hızla yayıldı, ama uzun sürmedi. Araştırmacılar kısa bir süre sonra virüs için bir decryptor hazırlamak ve başardık, dolandırıcılar enfeksiyon dosyaları yayılması durdu.
GandCrab v2 (.YENGEÇ)
Araştırmacılar ilk sürümü şifresini çözmek için başardık sonra bu değişken hızlı bir hafta çıktı. Kullanılan .YENGEÇ uzantısı olan bu eklenen dosyalar, virüs şifreli kullanarak yeni bir şifreleme algoritması. Yayılmış, araştırmacılar kullanılan spam e-postalar ve sonra enfeksiyon yapıldığını, etki alanları için iletişim kullanılmıştır kodlanmış için ransomware.bit ve üye.bit.
GandCrab v3
Siber suçluların arkasında GandCrab vermedi dur gelişen ve Nisan onlar başladı enfeksiyon kampanyalar sunan yeni sürüm bir virüs, bir v3. GandCrab v3 yineleme emin kurbanlar orada fidye için tehlikeye bilgisayarlarda masaüstü duvar kağıdı değiştirerek bunu bilmesini sağlamak amaçlanmıştır. Virüs ayrıca RunOnce anahtarını eklenen komut alarak kurbanların korku tanıtmak amaçlı:
Bu reçeteleri otomatik olarak fidye ödeme içine kurbanları baskı için duvar kağıdı ve virüs fidye notu metin dosyası arasında geçiş yapmak amaçlanmıştır.
GandCrab v4
4 sürümü GandCrab ransomware yapılmış gerçekleştirmek oldukça faaliyetlerini ve ayrıca yeni .KRAB uzantısı tarafından kullanılan, aynı zamanda eklenen bir sürü yeni güncellemeler ve değişiklikler için. Kazanan araştırmacılar bulduk, GandCrab v4 sipariş-siber suçlular tarafından tespit edilmesini önlemek için Küçük Şifreleme Algoritması, aynı zamanda ticaret ÇAY olarak bilinen kullanılan. Enfeksiyon affter dosyaları şifreleme çok hızlı eskiden bu cypher adını öneriyor.
Ayrıca yeni yapılmış bir duvar kağıdı, dolandırıcılar, GandCrab arkasında ransomware şimdi virüs yazılımı çatlaklar yaymak için yeni yöntemler kullanmaya başladı. Yukarıdaki “dağıtım” bölümünde de belirttiğimiz gibi, dolandırıcılar çatlaklar yükledi ve kurban indirilen ve onları koştu, ransomware PC üzerinde bırakılır. Bir zararlı dosya tespit için poz Crack_Merging_Image_to_PDF.exe. Virüs de yeni özellikler eklendi, enfekte bilgisayarın benzersiz KİMLİĞİ dayalı Tor ödeme sayfası için özel bir URL oluşturmak için yeteneği gibi. Virüs ayrıca Komuta ve Kontrol sunucusu ve bu veriler de XOR güvenli iletişim için şifreli enfekte makineden veri geçiş için kullanılır. Virüs muhtemelen iki Rus kelimeleri bir arada olduğu çok özel bir anahtar dizesi, “jopochlen” denilen, eskiden beri Rusya’da yapılan, olan sadece bu değil, ancak araştırmacılar inanıyorum.
Fidye notu GandCrab ransomware ben diye KRAB-DECRYPT.txt ve virüs kontrolleri için birden fazla Windows dosyaları ve sistem klasörleri olan atlar şifreleme Eğer onlar oluşturulan kurban makinesi gibi fidye notu. GandCrab v4 vermedi değişiklik dosya adları şifrelenmiş dosyaları. Bu ilk kez, ödeme sayfasının GandCrab başladı görünen bir güncellenen ve yeni tasarım:
Eski Windows OS, Windows XP gibi kullanıcıları hedefleme başladı bu virüsün diğer ilginç değişiklikler oldu:
GandCrab Ransomware – Hedefler Windows XP ve Eski Sunucuları Güncellendi
GandCrab v5
5. sürüm GandCrab en önemli ve hala kullanılmakta bugün. Ransomware virüs kağıdı ve tüm güncelledi şifreli harfler rastgele dosya uzantılarını kullanır v5 türevleri. Bu en önemli ölçüde değişti sürüm virüs, yana bırakıp önceki şifreleme algoritmaları tarafından kullanılan ve eklenen Salsa20 şifreleme modu. Sadece bu değil, ama siber suçlular da virüs fidye sayfası da aşağıdaki gibi değiştirildi bulmak için yönetilen:
Fidye notu ile ana metin dosyası da değişti ve şu anda aşağıdaki gibi görünüyor:
Duvar kağıdı 5.0 sürümleri olduğunu da değiştirmiş versiyonu, fidye notu ve uzantıları eklendi için bir kırmızı ekran:
Virüsün duvar kağıdı ana fidye notu aşağıdaki gibi görünmeye başladı:
Şimdiye kadar GandCrab ransomware şifreleme biraz yıllar içinde değişti, ve bu sürümleri çok deşifre edilmiştir:
GandCrab Ransomware tarafından Şifrelenmiş Dosyaların Şifresini nasıl yapılır (Ücretsiz)
Ancak, virüs daha yeni v5 türevleri hala belirlenemeyen ve araştırmacılar hala dosyaları çözme yolunda ilerlemek için çalışıyoruz.
Bu virüsün şifreleme yönlendirme güçlü ve hızlı olduğunu ve yakalanmamak için bu şekilde yapılacak olan Salsa20 şifreleme modu ile başlar. Virüs Windows kesinlikle kullanılabilir tüm dosya türlerini şifrelemek için, Beyaz listede olanlar dışında amaçlar. Gerçek şifreleme başlamadan önce, GandCrab ransomware aşağıdaki verileri için bilgisayarınızı denetler:
- Kullanıcı adı.
- Bilgisayarın adı.
- Grup bilgisayara ait.
- Eğer bir antivirüs yüklü.
- Dil.
- Klavye dil.
- İşletim sistemi bilgileri.
- Sabit Disk Bilgileri.
- IP adresi.
Virüs daha sonra şifreli iletişim modu ile sunucu komut ve kontrolü için toplanan bilgileri aktarır. Sonra, ransomware aşağıdaki dosya ve klasörleri hariç nerede mağdur bilgisayara tüm dosyaları şifrelemek için devam eder:
Sonra şifreli oldu tamamlandı bağlı olarak bu versiyonu, GandCrab ransomware olabilir kendini sil dosyaları.
Biz her zaman inandığını GandCrab ve Cerber ransomware tarafından yapılan aynı kişi, yani bu virüs bir çok gelişmiş ve sürekli tehdit, o olacak büyük olasılıkla devam terroizing bilgisayarlar üzerinden de bu adı ya da başka bir tane.
Eğer dosyaları denemek ve geri yüklemek istiyorsanız, GandCrab tarafından kullanılan şifreleme türevine decryptable olanlar arasında değilse kırmak için çok zor olduğunu anladım olabilir. Bu durumda aşağıdaki “try adım geri” verdiğimiz alternatif dosya kurtarma yöntemleri kullanarak deneyin öneririz. Dosya kurtarma için %100 garanti bir çözüm olmayabilir, ama onların yardımı ile, normale en azından bazı dosyaları almak mümkün olabilir. Son ama en az değil, güçlü virüsler tehlikelidir ve eğer onlarla doğrudan müdahale etmeye kalkarsan şifre çözme ötesinde dosyalarınızı bozabilir çünkü GandCrab fidye notu bir yedekleme yapmak ve dosyaları şifreli öneriyoruz.
Uyarı, birden fazla anti-virüs tarayıcıları GandCrab içinde olası kötü amaçlı yazılım tespit etti.
Anti-virüs yazılımı | Sürüm | Algılama |
---|---|---|
Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
VIPRE Antivirus | 22224 | MalSign.Generic |
Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
VIPRE Antivirus | 22702 | Wajam (fs) |
ESET-NOD32 | 8894 | Win32/Wajam.A |
McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
Dr.Web | Adware.Searcher.2467 | |
Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
GandCrab davranışı
- Kendisi ödeme başına yükleme dağıtır veya üçüncü taraf yazılım ile birlikte verilmektedir.
- Masaüstü ve tarayıcı ayarlarını değiştirir.
- GandCrab yüklü güvenlik yazılımı devre dışı bırakır.
- GandCrab davranış ve davranışları ile ilgili bazı diğer metin emplaining som bilgi
- GandCrab tarayıcı uzantısı üzerinden web tarayıcısı içine entegre
- GandCrab sizin izniniz olmadan Internet'e bağlanır.
- Internet bağlantısı yavaşlatır
- Kullanıcının ana sayfasını değiştirir
GandCrab Windows işletim sistemi sürümleri etkilenir.
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GandCrab Coğrafya
GandCrab--dan pencere eşiği ortadan kaldırmak.
GandCrab Windows XP'den silin:
- Menüyü açmak için Başlat ' ı tıklatın.
- Denetim Masası'nı seçin ve Ekle / Kaldırgidin.
- Seçin ve Kaldır istenmeyen programı.
Kaldır GandCrab senin Windows 7 ve Vista:
- Başlat menüsünü açın ve Denetim Masası'nıseçin.
- Program Kaldır için hareket
- İstenmeyen app ve çekme kaldırmaüzerinde sağ tıklatın .
Erase GandCrab Windows üzerinden 8 ve 8.1:
- Sağ ve sol alt köşesinde seçin Denetim Masasıüzerinde.
- Program Kaldır ve istenmeyen app üzerinde sağ tıklatın seçin.
- Kaldır seçeneğini tıklatın.
GandCrab Your tarayıcılardan gelen silme
GandCrab Internet Explorer kaldırılması
- Dişli simgesini tıklayın ve Internet Seçenekleri'niseçin.
- Gelişmiş sekmesine gidin ve Sıfırla' yı tıklatın.
- Kişisel ayarları sil kontrol edin ve tekrar Sıfırla ' yı tıklatın.
- Kapat ' ı tıklatın ve Tamam' ý seçin.
- Geri gitmek için dişli simgesini, Eklentileri Yönet → pick araç çubukları ve uzantılarıve uzantıları istenmeyen Sil.
- Arama sağlayıcıları için gidin ve yeni bir varsayılan arama motoru seçin
GandCrab Mozilla Firefox silmek
- "about:addons" URL alanına girin.
- Uzantıları git ve şüpheli tarayıcı uzantılarını silmek
- Menüsünütıklatın, soru işareti ve Firefox yardım' ı açın. Yenile Firefox düğmesi üzerinde'yi tıklatın ve onaylamak için Firefox Yenile seçin.
Chrome GandCrab sonlandırma
- "chrome://extensionsiçinde" URL alanına yazın ve Enter' a dokunun.
- Güvenilir olmayan tarayıcı uzantıları sonlandırmak
- Google Chrome yeniden başlatın .
- Chrome menüsünü açın, ayarlar → gösteri Gelişmiş Ayarlar'ı tıklatın, sıfırlama tarayıcı ayarları'nı seçin ve (isteğe bağlı) Sıfırla'yı tıklatın.