Für die GandCrab ransomware zu verbreiten, der virus nutzt verschiedene Formen der Replikation und Infektion Methoden. Nachfolgend haben wir zusammengefasst, jede Methode und wir zeigen Euch mehr über Sie.
Dies ist die am häufigsten verwendete Methode, einen computer zu infizieren mit GandCrab ransomware. Die virus-Infektion ist die Datei möglicherweise verschiedene Dateitypen, und diese Datei-Typen können hochgeladen werden, werden die e-mails, in denen Sie so tun, als sein legitimer Dokumente. Unten sehen Sie ein Beispiel für einen solchen Fall, unter Ausnutzung einer .JS (JavaScript) – Datei, die vorgibt, ein Bild:
Wenn der Benutzer öffnet die e-mail -, er oder Sie werden sehen, die Datei im Archiv enthaltenen. Wenn diese Infektion-Datei extrahiert wurde und lief, es bewirkt, dass die Infektion mit GandCrab ransomware:
Eine andere Methode, die von GandCrab zu machen, ist es, als ob die JavaScript-Datei ist ein Dokument und darf diese Datei enthalten sein .7z-Archiv, das extrahiert automatisch und führt das virus, wenn Sie es öffnen – wirklich schlau.
Aber .JS-Dateien sind nicht die einzige Möglichkeit der Verbreitung von GandCrab ransomware, da die malware-Autoren haben auch bösartigen Microsoft-Office-Dokumente sowie Adobe .PDF-Dateien zu infizieren Opfer. Die Art, wie Sie Sie verwenden ist, indem er das eigentliche Dokument ist bösartige Natur mit obuscators und infizieren Sie mit bösartigen Makros. Diese Makros sind im Grunde ein code, der ausgelöst wird, jedes mal, wenn Sie klicken Sie auf “Inhalt Aktivieren” oder “Enable Editing” , in einem Dokument, und sobald dies geschehen ist, eine Infektion mit GandCrab ist unvermeidlich. Unten können Sie sehen, wie solch ein Angriff kann erfolgen über e-mail:
Diese Methode wird auch sehr Häufig verwendet, und wir haben gesehen, GandCrab Entwickler vorher verwenden. Als Fortinet-Forscher haben bereits berichtet, dass Sie erkannt haben mehrere kompromittierte WordPress-websites, die enthalten GandCrab ransoware – Infektion-Datei direkt hochgeladen auf websites, bieten software-cracks für folgende Programme:
- Crack SysTools PST Merge 3.3
- Crack Securitask 2005 1.40 H
- Crack Merging Image to PDF 2.8.0.4
- Crack für Windows Password Key Enterprise 9.6.2.
Dank Fortinet Forscher, können Sie sehen einige der screenshots von diese virus-Websites unter:
Neben Risse, andere Infektion Dateien können auch hochgeladen werden, mit neuen Versionen, die möglicherweise in der Zukunft zu, wie fake setups, portable Versionen von Programmen, die freeware-app für Installateure und viele andere scheinbar legitime Programme, dass wiederum schädlich sind.
GandCrab ransomware ist eine sehr hartnäckige Bedrohung, die entwickelt hat mit vielen neuen Versionen über die Jahre. Zusammenfassen diese Versionen, zahlen wir die Aufmerksamkeit auf die wichtigsten änderungen für jede version. Das wird besser helfen zu verstehen, welche Art von virus es sich handelt.
GandCrab v1 (.GDCB)
Die erste version, die wir nennen können GandCrab erschien bereits im Januar, 2018. Sicherheits-Experten von Comodo haben festgestellt, dass der virus verschlüsselt Opfer-Dateien und generiert einen eindeutigen Schlüssel für die Entschlüsselung. Die GandCrab v1 war die erste ransomware immer benutzen DASH in einer cyber-Erpressung-Schema. Die GandCrab ransomware v1 verwendet, um es zu kopieren schädliche Dateien in den %AppData%Microsoft Verzeichnis und dann injizieren Schadcode in ein system-Prozess, genannt nslookup.exe. Das virus benutzt, um zu kommunizieren pv4bot.whatismyipaddress.com um zu sehen, was ist die IP auf dem infizierten PC und führen Sie dann den Befehl nslookup – Dienst eine Verbindung zu GandCrab.bit.a.dnspod.com mit der .bit-Domäne. Die version verbreitete sich rasch, aber es dauerte nicht lange. Die Forscher waren in der Lage, zu entwickeln ein decryptor des virus und kurz nach, dass die Gauner nicht mehr verbreiten die Infektion von Dateien.
GandCrab v2 (.KRABBE)
Diese Variante schnell kam eine Woche, nachdem die Forscher waren in der Lage zu entschlüsseln die erste version. Es verwendet die .KRABBE-Erweiterung , die es Hinzugefügt, um die Dateien, die der virus verschlüsselt durch die Verwendung einer Marke neue Verschlüsselungs-Algorithmus. Zu verbreiten, verwendeten die Forscher spam-e-mails und nach einer Infektion fertig war, die Domänen für die Kommunikation verwendet wurden fest auf ransomware.bit und zonealarm.bit.
GandCrab v3
Die cyber-kriminellen hinter GandCrab nicht aufhören weiter und im April haben Sie begonnen, Infektion Kampagnen mit der neuen version des virus, ein v3. Die GandCrab v3 iteration hat, um sicherzustellen, dass die Opfer wissen, dass es da durch ändern der desktop-wallpaper auf den infizierten Computern ist es Lösegeldforderung. Der virus hat auch zur Einführung Angst im Opfer, indem er Skripte, die Hinzugefügt wurden, in den RunOnce-Schlüssel:
Diese Scripte hat, um wechseln Sie zwischen die Tapete und die Lösegeldforderung text-Datei, die den virus automatisch, um den Druck, die Opfer in die Zahlung der Lösegeld.
GandCrab v4
Die 4. version von GandCrab ransomware wurde auf eine Recht der Aktivitäten und neben den neuen .KRAB-Erweiterung verwendet, ist es außerdem eine Menge neuer updates und änderungen. Als Forscher an der Comodo herausgefunden haben, GandCrab v4 verwendet, die den Tiny Encryption Algorithmus, auch bekannt im Handel als TEE, um zu vermeiden, entdeckt zu werden, die von den cyber-kriminellen. Der name dieser cypher deutet darauf hin, dass es verwendet werden, um sehr schnell in der Verschlüsselung von Dateien affter-Infektion.
Neben einer neu-made wallpaper, die Gauner, die hinter GandCrab ransomware nun haben begonnen, mit neuen Methoden zu verbreiten das virus – software Risse. Wie wir bereits in der “distribution” – Bereich oben, der Gauner hochgeladen Risse und einmal die Opfer, die heruntergeladen und ausgeführt haben, die ransomware gelöscht auf dem PC. Eine schädliche Datei erkannt wurde, darstellen Crack_Merging_Image_to_PDF.exe. Das virus hatte auch neue features Hinzugefügt, wie die Möglichkeit zum erstellen eines benutzerdefinierten URL für seine Tor-Zahlung-Seite basierend auf der eindeutigen Identifikationsnummer des infizierten Computers. Den virus auch zum weiterleiten von Daten aus dem infizierten Computer, um es Command und Control-server und diese Daten werden auch XOR-Verschlüsselung für eine sichere Kommunikation. Nicht nur das, aber die Forscher glauben, dass das virus wurde wahrscheinlich in Russland gemacht, da es mit einer sehr spezifischen Schlüssel-string, genannt “jopochlen”, die eine Kombination von zwei Russischen Worten.
Die Lösegeldforderung von GandCrab ransomware wurde ich angerufen KRAB-DECRYPT.txt und der virus Prüfungen für mehrere Windows Dateien und system Ordner, die er überspringt, zu verschlüsseln, Wenn Sie erstellt werden, in der das Opfer der Maschine, wie es Lösegeldforderung. GandCrab v4 nicht ändern, die Dateinamen der verschlüsselten Dateien. Dies war das erste mal, wo die payment-Seite von GandCrab gestartet, erscheint mit einem aktualisierten design und neue:
Andere interessante änderungen des virus waren, begann es für Nutzer von älteren Windows OS ist, wie Windows XP:
GandCrab Ransomware Aktualisiert – Ziele Windows XP und Älteren Servern
GandCrab v5
Die 5. version von GandCrab ist die bedeutendste und heute noch verwendet wird. Die ransomware-virus aktualisiert hat es die Tapete und alle die v5 Variante (N) verwendet es zufällige Datei-Erweiterungen mit Buchstaben. Dies ist die deutlich veränderte version des virus, da es ditched die bisherigen Verschlüsselungs-algorithmen verwendet, indem Sie es und fügte hinzu, die Salsa20 – Verschlüsselung-Modus. Nicht nur das, aber die cyber-kriminellen haben es auch geschafft, herauszufinden, dass das Lösegeld Seite des virus wurde auch geändert, um die folgenden:
Der Haupt-text-Datei mit der Lösegeldforderung wurde auch geändert und ist derzeit auf der Suche, wie die folgenden:
Die Tapete von den 5.0 Versionen wurde auch geändert mit der version, die Lösegeldforderung und die Erweiterungen Hinzugefügt, um es in einen red screen:
Die wichtigsten Lösegeldforderung in den hintergrund des virus begann zu suchen wie den folgenden:
Die Verschlüsselung von GandCrab ransomware hat sich ziemlich verändert über die Jahre, und eine Menge von es-Versionen wurden bisher entschlüsselt:
Wie zum Entschlüsseln von Verschlüsselten Dateien durch GandCrab Ransomware (Kostenlos)
Allerdings, die neueren v5-Varianten des virus noch nicht nachweisbar, und die Forscher sind immer noch versuchen, um die Fortschritte in Richtung Dekodieren von Dateien.
Die Verschlüsselung routing dieses virus beginnt mit der Salsa20-Verschlüsselung-Modus, der ist stark und schnell und ist in einer solchen Weise eine Erkennung zu vermeiden. Der virus soll verschlüsseln absolut alle nutzbaren Dateitypen in Windows, außer diejenigen, die auf der Weißen Liste. Vor Beginn der eigentlichen Verschlüsselung, GandCrab ransomware überprüft Ihren computer für die folgenden Daten:
- Benutzername.
- Name des Computers.
- Gruppe, der der computer angehört.
- Wenn ein antivirus installiert ist.
- Es ist die Sprache.
- Es ist Tastatur-Sprachen.
- Informationen zum Betriebssystem.
- Die Festplatten-Informationen.
- Die IP-Adresse.
Der virus, dann leitet die gesammelten Informationen, um es den command und control-server über verschlüsselte Kommunikations-Modi. Dann die ransomware Erlös zum verschlüsseln aller Dateien auf dem Opfer-PC, auf dem es schließt die folgenden Dateien und Ordner:
Nachdem die Verschlüsselung abgeschlossen ist, je nach version, es ist in, GandCrab ransomware kann selbst-löschen und dann die Dateien.
Wir haben immer daran geglaubt, dass GandCrab und Cerber ransomware wurden von den gleichen Leuten, was bedeutet, dass dieses virus ist ein sehr fortschrittliches und persistent threat, das wird wahrscheinlich halten terroizing Computer entweder über diesen Namen oder einen anderen.
Wenn Sie möchten, um zu versuchen und Wiederherstellung von Dateien, können Sie herausgefunden haben, dass die Verschlüsselung von GandCrab ist ziemlich schwierig zu brechen, wenn Sie Ihre Variante ist nicht unter den decryptable lieben. In diesem Fall würden wir Ihnen raten, versuchen Sie es mit der alternative Datei-recovery-Methoden, die wir zur Verfügung gestellt haben unten in dem “Versuch der Wiederherstellung” Schritt. Sie können nicht eine 100% Garantie-Lösung für Datei-recovery, aber mit Ihrer Hilfe könnten Sie in der Lage sein, zumindest einige Dateien wieder normal. Nicht zuletzt, würden wir empfehlen Ihnen dringend, ein backup von GandCrab die Lösegeldforderung und verschlüsselten Dateien, da diese Viren sind gefährlich und können brechen, Ihre Dateien über die Entschlüsselung, wenn Sie versuchen, zu manipulieren, mit Ihnen direkt.
Achtung, mehrere Anti-Viren-Scanner möglich Malware in GandCrab gefunden.
| Antiviren-Software | Version | Erkennung |
|---|---|---|
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Dr.Web | Adware.Searcher.2467 | |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
Verhalten von GandCrab
- Leiten Sie Ihren Browser auf infizierten Seiten.
- GandCrab deaktiviert installierten Sicherheits-Software.
- Vertreibt selbst durch Pay-pro-Installation oder mit Drittanbieter-Software gebündelt.
- Bremst Internetverbindung
- Integriert in den Webbrowser über die Browser-Erweiterung für GandCrab
- Ändert die Desktop- und Browser-Einstellungen.
- Zeigt gefälschte Sicherheitswarnungen, Popups und anzeigen.
- GandCrab zeigt kommerzielle Werbung
- Stiehlt oder nutzt Ihre vertraulichen Daten
GandCrab erfolgt Windows-Betriebssystemversionen
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GandCrab-Geographie
Zu beseitigen GandCrab von Windows
Löschen Sie GandCrab aus Windows XP:
- Klicken Sie auf Start , um das Menü zu öffnen.
- Wählen Sie Systemsteuerung und gehen Sie auf Software hinzufügen oder entfernen.
- Wählen und das unerwünschte Programm zu entfernen .
Entfernen GandCrab aus Ihren Windows 7 und Vista:
- Öffnen Sie im Startmenü , und wählen Sie Systemsteuerung.
- Verschieben Sie auf Programm deinstallieren
- Mit der rechten Maustaste auf die unerwünschten app und wählen deinstallieren.
Löschen GandCrab aus Windows 8 und 8.1:
- Mit der rechten Maustaste auf die linke untere Ecke und wählen Sie Systemsteuerung.
- Wählen Sie Programm deinstallieren und mit der rechten Maustaste auf die unerwünschten app.
- Klicken Sie auf deinstallieren .
GandCrab aus Ihrem Browser löschen
GandCrab Entfernung von Internet Explorer
- Klicken Sie auf das Zahnradsymbol und wählen Sie Internetoptionen.
- Gehen Sie auf die Registerkarte erweitert , und klicken Sie auf Zurücksetzen.
- Überprüfen Sie die persönliche Einstellungen löschen und erneut auf Zurücksetzen .
- Klicken Sie auf Schließen , und klicken Sie auf OK.
- Gehen Sie zurück auf das Zahnrad-Symbol, wählen Sie Add-ons verwalten → Symbolleisten und Erweiterungenund Delete, die unerwünschte Erweiterungen.
- Gehen Sie auf Suchanbieter und wählen Sie eine neue Standard- Suchmaschine
Löschen Sie GandCrab von Mozilla Firefox
- Geben Sie im URL -Feld "about:addons".
- Gehen Sie zu Extensions und löschen Sie verdächtige Browser-Erweiterungen
- Klicken Sie auf das Menü, klicken Sie auf das Fragezeichen und öffnen Sie Firefox Hilfezu. Klicken Sie auf die Schaltfläche Firefox aktualisieren , und wählen Sie Aktualisieren Firefox zu bestätigen.
Beenden Sie GandCrab von Chrome
- Geben Sie "chrome://extensions" in das URL -Feld und tippen Sie auf die EINGABETASTE.
- Beenden von unzuverlässigen Browser- Erweiterungen
- Starten Sie Google Chrome.
- Öffnen Sie Chrome-Menü zu, klicken Sie Einstellungen → Erweiterte anzeigen Einstellungen wählen Sie Reset Browser-Einstellungen und klicken Sie auf Zurücksetzen (optional).