Denne analyse er blevet oprettet for at informere dig, og vis dig med instruktioner om, hvordan du kan fjerne GANDCRAB 5.1 ransomware virus fra din computer, og hvordan du kan forsøge at genskabe filer, der er krypteret med det.
Til at inficere en given computer, 5,1 version af GANDCRAB ransomware bruger forskellige typer af metoder og infektion filer.
Den primære infektion metode, der forventes at blive brugt i forhold til GANDCRAB 5.1 infektion er, e-mails, der er sammensat på følgende måde:
Udover den “Betaling Faktura #93611″ emner ovenstående, har vi også fundet andre falske omfattet af e-mails:
- Dokument #72170
- Faktura #21613
- Ordre #87884
- Payment #72985
- Ticket #07009
- Dokumentet #78391
- Din Ordre #16323
- Din Billet #23428
E-mails indeholder en e-mail vedhæftet fil, der er ofte en ondsindet .JS(JavaScript), en ..doc (Microsoft Word) eller .PDF (Adobe Reader) – fil, der fører til en .docx-fil. Filen hedder tilfældigt, som det eksempel, der er forbundet med GANDCRAB, som vi har opdaget tidligere shows:
Hvis den skadelige fil er fra .JS type (JavaScript), blot udvinding og udførelse, vil det resultere i at inficere din computer, som vi har vist nedenfor:
Hvis den skadelige fil er et dokument, da infektionen vil gå gennem ondsindede makroer, der er indlejret i Microsoft Office eller Adobe PDF-dokument, og de vil have dig til at Aktivere Indhold eller Aktivere Redigering for at se, hvad der er i dokumentet. Ved at klikke på dette “Aktiver Redigering” – knappen resulterer i følgende infektion aktiviteter kan finde sted:
Udover via e-mail, infektion proces med GANDCRAB 5.1 ransomare kan finde sted online. Forskere ved Fortinet(https://www.fortinet.com/blog/threat-research/GANDCRAB-v4-0-analysis-new-shell-same-old-menace.html) har tidligere fundet GANDCRAB til at inficere brugerne ved at foregive at være en software knæk af følgende programmer:
- Sammenlægning Billede til PDF.
- Securitask.
- SysTools PST Fusionere.
Mere information om GANDCRAB inficere ofre via software revner, kan findes i den relaterede artikel nedenunder:
GANDCRAB 4 Ransomware Nu Smitter Via Software Revner
Den primære infektion fil af GANDCRAB 5.1 ransomware virus er blevet rapporteret at have følgende IOCs (Identificators af et Kompromis):
Når denne fil er faldet på din computer, kan det umiddelbart udløse Windows komponent “wmic.exe” som administrator for at kunne slette den skygge mængde kopier af din PC. Dette vil forhindre dig i at gendanne dine filer via Windows Recovery service. GANDCRAB 5.1 udløser den følgende kommando som administrator i Windows kommandoprompt:
Så snart GANDCRAB 5.1 har slettet de sikkerhedskopierede filer, ransomware begynder at falde, det er løsesum bemærk-fil, som har følgende budskab til ofre for virussen:
Den løsesum, notat af denne særlige udsnit af GANDCRAB 5.1 , som vi har analyseret fører ofre til følgende løsesum bemærk webside, som kan åbnes kun i TOR browser, der er anført i vejledningen:
Når offeret er betalingsfristen tiden udløber, GANDCRAB kan også vise følgende version af løsepenge note, der siger, at prisen er fordoblet.
Den løsesum, der venligst har følgende vejledning til ofre:
Og i tillæg til disse aktiviteter, GANDCRAB ransomware kan også i sidste ende ændre tapet på den inficerede computer med følgende billede:
Og i løsesum bemærk side, virus tilbyder 1 krypteret fil til gratis download, bare så offeret kan se, at det virker. Som dybest set betyder, at virus kan indeholde Trojanske evner til at kopiere filer fra den inficerede maskine og overføre dem på TOR:
De vigtigste kryptering algoritme, der bruges af GANDCRAB 5.1 er Salsa20 cipher. I modsætning til RSA-og AES-kryptering algoritme, Salsa20 er meget hurtigere og kan kryptere alle filer i omkring under et minuts tid. Ligesom andre GANDCRAB versioner, v5.1 bruger også tilfældig fil forlængelse, som det gerne annoncer til de krypterede filer, efter at det krypterer dem. De filer blive krypteret og ser ud, som billedet nedenfor viser:
Ransomware springer kryptere filer, hvis de er placeret i følgende Windows mapper:
Krypteringen af GANDCRAB ransomware er udført på en sådan måde, at virus sandsynligvis skaber kopier af de originale filer og derefter krypterer disse kopier ved at erstatte blokke af data fra den fil med krypterede data. De cyber-kriminelle kan slette originale filer, og da de slette øjebliksbilleder, som godt, og der synes at være en lille chance for at inddrive de filer, medmindre du betaler skurke, som vi varmt anbefaler at afholde sig fra at gøre.
Før du begynder selv at tænke fjerne GANDCRAB 5.1 ransomware, vil vi anbefale, at du foretager en backup af dine filer, selv hvis de er krypterede, fordi hvis du prøver at remvoe denne variant af GANDCRAB, chancerne er, at din PC kan fejl og bryde OS uigenkaldeligt.
Til fjernelse af GANDCRAB 5.1, har vi udarbejdet nedenstående trin. Sørg for at følge de to første trin, hvis du har en vis erfaring i fjernelse af malware og vide, hvad du laver. Ellers ville vi anbefale, hvad de fleste cybersecurity eksperter rådgive ofrene – til at scanne din computer for GANDCRAB malware filer med en avanceret anti-malware program og fjerne alle ondsindede filer og objekter, der tilhører den automatisk.
For fil opsving, vil vi foreslå, at du tjekke de trin “kan du Prøve at Gendanne filer, der er krypteret med GANDCRAB 5.1″ nedenfor. De indeholder flere metoder til at forklare, hvad recovery-metode, der er den bedste for dig, og selv om de metoder, der er beskrevet, ikke kommer med en 100% garanti for at gendanne dine filer, kan du teoretisk set være i stand til at genskabe i det mindste nogle af dine filer.
Advarsel, har flere anti-virus scannere fundet mulige malware i GANDCRAB.
| Anti-virus Software | Version | Afsløring |
|---|---|---|
| Dr.Web | Adware.Searcher.2467 | |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
GANDCRAB adfærd
- Omdirigere browseren til inficerede sider.
- Ændrer skrivebordet og Browser-indstillingerne.
- GANDCRAB deaktiveres installeret sikkerhedssoftware.
- Viser falske sikkerhedsadvarsler, Pop-ups og annoncer.
- GANDCRAB forbinder til internettet uden din tilladelse
- Fordeler sig gennem pay-per-install eller er bundlet med software fra tredjepart.
- Ændrer brugerens hjemmeside
- Stjæler eller bruger dine fortrolige Data
- Bremser internetforbindelse
- GANDCRAB viser kommercielle annoncer
- Fælles GANDCRAB adfærd og nogle andre tekst emplaining som info relateret til adfærd
- Indlægger sig uden tilladelser
- Integrerer i webbrowser via browserudvidelse GANDCRAB
GANDCRAB foretages Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GANDCRAB geografi
Fjerne GANDCRAB fra Windows
Slette GANDCRAB fra Windows XP:
- Klik på Start til at åbne menuen.
- Vælg Control Panel og gå til Tilføj eller fjern programmer.
- Vælg og fjerne det uønskede program.
Fjern GANDCRAB fra din Windows 7 og Vista:
- Åbn menuen Start og vælg Control Panel.
- Flytte til Fjern et program
- Højreklik på den uønskede app og vælge afinstallere.
Slette GANDCRAB fra Windows 8 og 8.1:
- Højreklik på den nederste venstre hjørne og vælg Kontrolpanel.
- Vælg Fjern et program og Højreklik på den uønskede app.
- Klik på Afinstaller .
Slette GANDCRAB fra din browsere
GANDCRAB Fjernelse fra Internet Explorer
- Klik på tandhjulsikonet , og vælg Internetindstillinger.
- Gå til fanen Avanceret , og klik på Nulstil.
- Kontrollere Slet personlige indstillinger og klikke på Nulstil igen.
- Klik på Luk og vælge OK.
- Gå tilbage til tandhjulsikonet, vælge Administrer tilføjelsesprogrammer → værktøjslinjer og udvidelser, og Slet uønskede udvidelser.
- Gå til Søgemaskiner og vælge en ny standard søgemaskine
Slette GANDCRAB fra Mozilla Firefox
- Indtast "about:addons" i URL- feltet.
- Gå til udvidelser og fjerne mistænkelige browserudvidelser
- Klik på menuen, skal du klikke på spørgsmålstegnet og åbne Firefox hjælp. Klik på Opdater Firefox knappen og vælg Opdater Firefox at bekræfte.
Opsige GANDCRAB fra Chrome
- Skrive "chrome://extensions" i URL- feltet og tryk på Enter.
- Opsige upålidelige browser extensions
- Genstart Google Chrome.
- Åbne Chrome menu, klik på Indstillinger → Vis avancerede indstillinger, Vælg Nulstil webbrowserindstillinger og klikke på Nulstil (valgfrit).