Para o GandCrab ransomware para ser transmitido, o vírus utiliza diferentes formas de replicação e infecção métodos. Abaixo, temos resumida de cada método e vamos mostrar-lhe mais sobre eles.
Este é o método mais comumente usado para infectar um computador com GandCrab ransomware. A infecção provocada por vírus de arquivo pode ser de vários tipos de arquivos e esses tipos de arquivo podem ser enviados em e-mails, onde eles podem fingir ser legítimo documentos. Abaixo você pode ver um exemplo de tal caso, tirando proveito de uma .JS (JavaScript) que finge ser uma imagem:
Quando o usuário abre o e-mail, ele ou ela vai ver o arquivo contido em um arquivo. Quando esta infecção arquivo é extraído e corria, ele faz com que a infecção com GandCrab ransomware:
Outro método usado por GandCrab é torná-lo como se o arquivo JavaScript é um documento real e esse arquivo pode estar contido em um .7z arquivo que extrai automaticamente e executa o vírus, quando você abri-lo – inteligente de fato.
Mas .JS não são a única forma de propagação de GandCrab ransomware, uma vez que o malware autores também têm usado mal-intencionados do Microsoft Office documentos, bem como Adobe .Arquivos PDF para infectar vítimas. A maneira de usá-los é por disfarçar o real do documento malicioso da natureza com obuscators e infectando-o com Macros maliciosas. Estas macros são, basicamente, um código que é acionado a cada vez que quando você clique em “Permitir que o Conteúdo” ou “Ativar Edição” em um documento e uma vez que isso é feito, a infecção com GandCrab é inevitável. Abaixo, você pode ver como um ataque pode ocorrer através do e-mail:
Este método também é muito comumente utilizado e nós temos visto, GandCrab programadores para se usar antes. Como Fortinet pesquisadores já relataram, eles detectaram vários comprometida WordPress sites que continham GandCrab ransoware a infecção de arquivos carregados diretamente em sites que oferecem software de fendas para os seguintes programas:
- Crack SysTools PST Série 3.3
- Crack Securitask 2005 1.40 H
- Crack Fusão de Imagem para PDF 2.8.0.4
- Crack para Windows palavra-Passe de Chave de Empresa 9.6.2.
Graças a Fortinet investigadores, você pode ver algumas das imagens desses vírus sites abaixo:
Além de rachaduras, outros arquivos de infecção também pode ser carregado com novas versões que são susceptíveis de aparecer também no futuro, gostaria de falso montagens, versões portáteis de programas, freeware os instaladores de aplicativos e muitos outros aparente programas legítimos, que acabam por ser mal-intencionado.
GandCrab ransomware é uma ameaça persistente, que evoluiu com muitas novas versões ao longo dos anos. Para sintetizar estas versões, vamos prestar atenção para as mudanças mais significativas para cada versão. Isto irá ajudá-lo melhor compreender o tipo de vírus que você está lidando com.
GandCrab v1 (.GDCB)
A primeira versão do que podemos chamar de GandCrab apareceu em janeiro de 2018. Especialistas de segurança da Comodo ter estabelecido que o vírus criptografado vítimas de arquivos e gerado uma única chave de descriptografia. O GandCrab v1 foi o primeiro ransomware para nunca usar o TRAÇO de um cyber-esquema de extorsão. O GandCrab ransomware v1 usado para copiar os arquivos maliciosos no %AppData%Microsoft directory e, em seguida, injetar código malicioso em um processo do sistema, chamado de nslookup.exe. O vírus usado para comunicar pv4bot.whatismyipaddress.com em ordem para ver o que é o IP no PC infectado e, em seguida, execute o nslookup para se conectar ao serviço de GandCrab.bit.a.dnspod.com usando os .pouco domínio. A versão espalhou-se rapidamente, mas não durou muito tempo. Os pesquisadores foram capazes de conceber um decryptor para o vírus e, logo depois, os bandidos parou de espalhar a infecção de arquivos.
GandCrab v2 (.CARANGUEJO)
Esta variante rapidamente saiu uma semana depois de os investigadores foram capazes de descriptografar a primeira versão. Ele usou o .CARANGUEJO de extensão , que é adicionado aos arquivos, de que o vírus criptografado utilizando um novo algoritmo de criptografia. Para espalhá-lo, os pesquisadores usaram o spam de e-mails e depois de uma infecção foi feito, os domínios de comunicação utilizados foram codificados para ransomware.bits e o zonealarm.bit.
GandCrab v3
Os cyber-criminosos por trás GandCrab não parar de evoluir e, em abril, eles começaram a infecção campanhas com a nova versão do vírus, um v3. O GandCrab v3 iteração destinadas para certificar-se de que as vítimas saber que ele existe alterando o papel de parede da área de trabalho em computadores comprometidos para que a nota de resgate. O vírus também se destina a introduzir o medo nas vítimas por ter scripts que foram adicionados na chave RunOnce:
Estes scrips destinadas para alternar entre o papel de parede e a nota de resgate arquivo de texto do vírus automaticamente para a pressão de vítimas em pagar o resgate.
GandCrab v4
A 4ª versão do GandCrab ransomware foi feita para realizar bem as atividades e, além do novo .CASCUDO extensão usada por ele, ele também adicionou um monte de novas atualizações e alterações. Tal como os investigadores Comodo ter encontrado, GandCrab v4 usada a Pequena Algoritmo de Criptografia, também conhecido no comércio como o CHÁ, a fim de evitar ser detectado pelos ciber-criminosos. O nome deste cypher sugere que é usado para ser muito rápido em sistema de encriptação de ficheiros affter infecção.
Além de um recém-feito de papel de parede, os bandidos, por trás GandCrab ransomware agora começaram a utilizar novos métodos para espalhar o vírus de software rachaduras. Como mencionado na “distribuição” acima, os bandidos carregado rachaduras e uma vez que as vítimas baixado e correu-los, o ransomware é descartado no PC. Um arquivo malicioso foi detectado para posar como Crack_Merging_Image_to_PDF.exe. O vírus também tinha adicionados novos recursos, como a capacidade de criar uma URL personalizada para ele Tor página de pagamento com base no ID exclusivo do computador infectado. O vírus também utilizado para transmitir dados a partir do computador infectado para que o servidor de Comando e Controle, e essa informação também é XOR encriptado para uma comunicação segura. Não só isso, mas os pesquisadores acreditam que o vírus foi provavelmente feito na Rússia, uma vez que é utilizado um tipo muito específico de seqüência de caracteres de chave, chamado “jopochlen”, que é uma combinação de dois russo palavras.
A nota de resgate de GandCrab ransomware fui chamado KRAB-DECRYPT.txt e as verificações de vírus para várias Windows arquivos e pastas de sistema que ignora a criptografia Se eles são criados na vítima máquina, como se fosse nota de resgate. GandCrab v4 não alterar os nomes de arquivo dos arquivos criptografados. Esta foi a primeira vez, onde a página de pagamento do GandCrab começou a aparecer com um atualizado e novo design:
Outras mudanças interessantes do vírus foram que ele começou a segmentação de usuários dos mais velhos Windows OS, como Windows XP:
GandCrab Ransomware Atualizado – Metas Windows XP e Servidores mais Antigos
GandCrab v5
A 5ª versão do GandCrab é a mais significativa e está sendo usada ainda hoje. O vírus ransomware foi actualizada do papel de parede e, em todos os seus v5 variantes ele usa aleatório extensões de arquivo com letras, misturadas. Este é o mais significativo de uma versão modificada do vírus, já que ele abandonou o anterior algoritmos de criptografia usados por ele e adicionado o Salsa20 modo de encriptação. Não só isso, mas os cyber-criminosos também conseguiu descobrir que o resgate página do vírus também foi alterado para o seguinte:
O principal arquivo de texto com a nota de resgate também foi alterado e está atualmente à procura como o seguinte:
O papel de parede do 5.0 versões também foi alterado, tendo a versão, a nota de resgate e as extensões adicionadas em uma tela vermelha:
A principal nota de resgate do papel de parede do vírus começou a olhar como o seguinte:
A criptografia de GandCrab ransomware mudou um pouco ao longo dos anos, e um monte de versões têm sido até agora descriptografado:
Como Descriptografar Arquivos Criptografados por GandCrab Ransomware (Gratuito)
No entanto, o mais recente v5 variantes do vírus ainda são indetectáveis, e os pesquisadores ainda estão tentando fazer progressos no sentido de decodificação de arquivos.
A criptografia de roteamento de que este vírus começa com o Salsa20 modo de encriptação que é forte e rápida e é feita de tal forma a evitar a detecção. O vírus tem como objetivo criptografar absolutamente tudo utilizável tipos de arquivo em Windows, além daqueles na lista Branca. Antes de iniciar a criptografia real, GandCrab ransomware verifica se seu computador os seguintes dados:
- Nome de usuário.
- Nome do computador.
- Grupo o computador pertence.
- Se um antivírus é instalado.
- É linguagem.
- Ele idiomas de teclado.
- Informações do sistema operacional.
- Informações Do Disco Rígido.
- Endereço IP.
O vírus, em seguida, retransmite as informações recolhidas para que o servidor de comando e controle através de uma comunicação criptografada modos. Em seguida, o ransomware produto para criptografar todos os arquivos no vitimado PC, onde ele exclui os seguintes arquivos e pastas:
Depois que a criptografia tenha sido concluída, dependendo da versão é, GandCrab ransomware pode auto-apagar arquivos.
Nós sempre acreditamos que GandCrab e Cerber ransomware foram feitas pelas mesmas pessoas, o que significa que este vírus é muito avançado e ameaça persistente, que provavelmente vai manter terroizing computadores através de este nome ou outro.
Se você quiser tentar e restauração de arquivos, você pode ter descoberto agora que a criptografia usada por GandCrab é muito difícil quebrar se sua variante, não está entre os desencriptado. Neste caso, aconselhamos que você tente usar a alternativa de recuperação de arquivo, métodos de nós fornecemos abaixo em “tentar restaurar a” etapa. Eles podem não ser uma garantia de 100% de solução de recuperação de arquivo, mas com a sua ajuda, você pode ser capaz de obter pelo menos alguns arquivos de volta ao normal. Por último, mas não menos importante, nós recomendamos que você faça uma cópia de segurança de GandCrab da nota de resgate e arquivos criptografados bem, porque tais vírus são perigosos e podem quebrar seus arquivos além de descriptografia se você tentar mexer com eles diretamente.
Atenção, vários scanners antivírus detectaram possível malware em GandCrab.
| Software anti-vírus | Versão | Deteção |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Comportamento de GandCrab
- Modifica o Desktop e as configurações do navegador.
- Integra no navegador da web através da extensão do navegador de GandCrab
- GandCrab mostra anúncios comerciais
- Retarda a conexão com a internet
- Redirecione o navegador para páginas infectadas.
- GandCrab se conecta à internet sem a sua permissão
- Instala-se sem permissões
- Altera a página inicial do usuário
GandCrab efetuado versões de sistema operacional Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografia de GandCrab
Eliminar GandCrab do Windows
Exclua GandCrab de Windows XP:
- Clique em Iniciar para abrir o menu.
- Selecione Painel de controle e vá para Adicionar ou remover programas.
- Escolher e remover o programa indesejado.
Remover GandCrab do seu Windows 7 e Vista:
- Abra o menu Iniciar e selecione Painel de controle.
- Mover para desinstalar um programa
- Botão direito do mouse sobre o app indesejado e escolha desinstalar.
Apagar GandCrab de Windows 8 e 8.1:
- Botão direito do mouse sobre o canto inferior esquerdo e selecione Painel de controle.
- Escolha desinstalar um programa e com o botão direito sobre o app indesejado.
- Clique em desinstalar .
Excluir GandCrab de seus navegadores
GandCrab Remoção de Internet Explorer
- Clique no ícone de engrenagem e selecione Opções da Internet.
- Vá para a aba avançado e clique em Redefinir.
- Verifique excluir configurações pessoais e clique em Redefinir novamente.
- Clique em fechar e selecione Okey.
- Voltar para o ícone de engrenagem, escolha Gerenciar Complementos → barras de ferramentas e extensõese delete indesejados extensões.
- Vá para Provedores de pesquisa e escolher um novo padrão de pesquisa
Apagar GandCrab da Mozilla Firefox
- Digite "about:addons" no campo de URL .
- Vá para extensões e excluir extensões do navegador suspeito
- Clique sobre o menu, clique no ponto de interrogação e abrir a ajuda do Firefox. Clique sobre o botão Firefox actualizar e selecione Atualizar Firefox para confirmar.
Encerrar GandCrab de Chrome
- Digite "chrome://extensions" no campo URL e toque em Enter.
- Encerrar o navegador confiável extensões
- Google Chrome reiniciar .
- Abra o menu Chrome, clique em configurações → Show advanced settings, selecione Redefinir as configurações do navegador e clique em redefinir (opcional).