Para el GandCrab ransomware para ser extendido, el virus utiliza diferentes formas de replicación y métodos de infección. A continuación, hemos resumido de cada método y nos muestran más sobre ellas.
Este es el método más comúnmente utilizado para infectar un ordenador con GandCrab ransomware. El virus de la infección de archivo puede ser de varios tipos de archivo y estos tipos de archivos que pueden ser cargados en los e-mails donde se puede pretender ser legítimos de los documentos. A continuación puede ver un ejemplo de este tipo de caso, tomando ventaja de una .JS (JavaScript) archivo que pretende ser una imagen:
Cuando el usuario abre el correo electrónico, él o ella va a ver el archivo contenido en un archivo. Cuando esta infección archivo se extrae y se corrió, es la causa de la infección con GandCrab ransomware:
Otro método utilizado por GandCrab es hacer como si el archivo JavaScript es un documento real y este archivo puede estar contenida en una .7z archive, que extrae automáticamente y se ejecuta el virus en el momento de abrirlo – inteligente, de hecho.
Pero .JS archivos no son la única manera de difundir GandCrab ransomware, ya que el malware autores también han utilizado malicioso documentos de Microsoft Office, así como de Adobe .Los archivos PDF para infectar a sus víctimas. La forma en la que usan ellos es por disimular el documento actual maliciosa de la naturaleza con obuscators y de infectar con malintencionado Macros. Estas macros son, básicamente, un código que se activa cada vez que cuando usted haga clic en “Habilitar Contenido” o “Habilitar Edición” en un documento y una vez hecho esto, la infección con GandCrab es inevitable. A continuación, puede ver cómo este tipo de ataque puede producirse a través de e-mail:
Este método también es muy utilizado habitualmente y hemos visto GandCrab a los desarrolladores a usar antes. Como Fortinet investigadores ya han informado, se han detectado varias en peligro de WordPress sitios web que contenían GandCrab ransoware la infección de archivo cargar directamente en sitios web que ofrecen software de grietas para los siguientes programas:
- Crack SysTools PST Combinación 3.3
- Crack Securitask 2005 1.40 H
- El Crack de la Fusión de la Imagen a PDF 2.8.0.4
- Crack para Windows Clave de Contraseña de Empresa 9.6.2.
Gracias a Fortinet los investigadores, se pueden ver algunas de las capturas de pantalla de estos virus sitios a continuación:
Además de las grietas, otros archivos infección también puede ser cargado con nuevas versiones que suelen aparecer en el futuro, como falso configuraciones, versiones portátiles de programas, freeware aplicación de los instaladores y muchos otros aparente programas legítimos, que resultan ser malicioso.
GandCrab ransomware es un muy persistente amenaza, que ha evolucionado con muchas nuevas versiones a través de los años. Para resumir estas versiones, vamos a prestar atención a los cambios más significativos para cada versión. Esto va a ayudarle mejor a entender qué tipo de virus se trata.
GandCrab v1 (.GDCB)
La primera versión de lo que podemos llamar GandCrab apareció en enero de 2018. Expertos de seguridad en Comodo han establecido que el virus cifrados de las víctimas de los archivos y generaron una única clave de descifrado. El GandCrab v1 fue el primer ransomware para utilizar nunca el TABLERO en un cyber-esquema de extorsión. El GandCrab ransomware v1 utiliza para copiar los archivos maliciosos en el %AppData%Microsoft directorio y, a continuación, inyectar código malicioso en un sistema de proceso, llamado nslookup.exe. El virus utiliza para comunicar a pv4bot.whatismyipaddress.com en fin a ver lo que es la IP de la PC infectada y, a continuación, ejecute el nslookup servicio para conectarse a GandCrab.bit.a.dnspod.com utilizando el .poco dominio. La versión que se difundió rápidamente, pero no duró mucho tiempo. Los investigadores fueron capaces de idear un decryptor para el virus, y poco después de eso, los ladrones se detuvo la propagación de la infección de archivos.
GandCrab v2 (.CANGREJO)
Esta variante rápidamente salió una semana después de que los investigadores fueron capaces de descifrar la primera versión. Se utiliza el .CANGREJO de extensión que se añade a los archivos, que el virus cifrados mediante el uso de un nuevo algoritmo de cifrado. Para su difusión, los investigadores utilizaron correos electrónicos de spam y después de una infección se realizó, en los dominios de las comunicaciones utilizadas fueron codificados para ransomware.poco y zonealarm.bit.
GandCrab v3
Los delincuentes cibernéticos detrás de GandCrab no deje de evolución y en el mes de abril se han comenzado infección de las campañas con la nueva versión del virus, un v3. El GandCrab v3 iteración destinadas a asegurarse de que las víctimas saben que existe por cambiar el papel tapiz del escritorio de los ordenadores para que la nota de rescate. El virus también tiene como objetivo introducir el miedo en las víctimas por tener secuencias de comandos que se han añadido en la clave RunOnce:
Estos scrips destinadas para cambiar entre el fondo de pantalla y la nota de rescate archivo de texto el virus de forma automática con el fin de presionar a las víctimas a pagar el rescate.
GandCrab v4
La 4ª versión de GandCrab ransomware se hizo para realizar las actividades y además de la nueva .KRAB extensión , también se han añadido un montón de nuevas actualizaciones y cambios. Como investigadores en Comodo ha encontrado, GandCrab v4 utiliza el Tiny Encryption Algorithm, también conocido en el comercio como el TÉ con el fin de evitar ser detectado por los ciber-criminales. El nombre de esta cifra sugiere que es muy rápido en el cifrado de los archivos affter infección.
Además de un recién hechas de papel tapiz, los ladrones, detrás de GandCrab ransomware ahora han comenzado a utilizar nuevos métodos para difundir el virus de software de grietas. Como hemos mencionado en la “distribución” de la sección anterior, los ladrones cargan las grietas y una vez que las víctimas descargado y corriendo, el ransomware se cayó en el PC. Un archivo malicioso se detectó a posar como Crack_Merging_Image_to_PDF.exe. El virus también ha añadido nuevas características, como la capacidad para crear una URL personalizada para que Tor de la página de pago basado en el IDENTIFICADOR único de la computadora infectada. El virus también se utiliza para transmitir los datos de la máquina infectada a su servidor de Comando y Control y los datos son también cifrado XOR para una comunicación segura. No sólo esto, pero los investigadores creen que el virus fue probablemente hecho en Rusia, ya que utiliza una clave muy específicas de la cadena, llamado “jopochlen”, que es una combinación de dos palabras en ruso.
La nota de rescate de GandCrab ransomware me llamaron KRAB-DECRYPT.txt y las comprobaciones de virus para múltiples Windows los archivos y las carpetas del sistema que se salta de cifrado Si se crean en el equipo víctima, como nota de rescate. GandCrab v4 no cambiar los nombres de archivo de los archivos cifrados. Esta fue la primera vez, donde la página de pago de GandCrab comenzó a aparecer con un actualizado y nuevo diseño:
Otros cambios interesantes de los virus que comenzó a atacar a los usuarios de más edad Windows OS, como Windows XP así:
GandCrab Ransomware Actualizado – Objetivos Windows XP y Mayores Servidores
GandCrab v5
La 5ta versión de GandCrab es el más significativo y todavía se utiliza hoy en día. El ransomware virus se ha actualizado la imagen de fondo y en todos es v5 variantes utiliza aleatoria de extensiones de archivo con revuelto de letras. Este es el más cambiado de manera significativa la versión del virus, ya que abandonó el anterior algoritmos de cifrado utilizados por él, y añadió que el Salsa20 modo de encriptación. No sólo esto, sino que los ciber-criminales también han conseguido averiguar que el rescate de la página de el virus también se ha cambiado a la siguiente:
El principal archivo de texto con la nota de rescate también fue cambiado y actualmente está en busca de la siguiente:
El fondo de pantalla de 5.0 versiones también fue cambiado de tener la versión, la nota de rescate de extensiones y el añadido de una pantalla en rojo:
La principal nota de rescate en el fondo de pantalla el virus empezó a buscar como la siguiente:
El cifrado de GandCrab ransomware ha cambiado bastante a lo largo de los años, y un montón de versiones que hasta ahora han sido descifrados:
Cómo Descifrar los Archivos Cifrados por GandCrab Ransomware (Gratis)
Sin embargo, la nueva v5 variantes de los virus son aún indetectable y los investigadores todavía están tratando de avanzar hacia la decodificación de los archivos.
El cifrado de enrutamiento de este virus comienza con la Salsa20 modo de encriptación, que es fuerte y rápida y está hecho de tal manera de evitar la detección. El virus tiene el objetivo de cifrar absolutamente utilizables para todos los tipos de archivo en Windows, además de las que en su lista Blanca. Antes de iniciar el cifrado real, GandCrab ransomware comprueba en su equipo los siguientes datos:
- Nombre de usuario.
- Nombre del equipo.
- Grupo pertenece el equipo.
- Si un antivirus instalado.
- Es el lenguaje.
- Es el idioma del teclado.
- Información del sistema operativo.
- Unidad De Disco Duro Información.
- La dirección IP.
El virus se transmite la información recopilada a su servidor de comando y control a través de la comunicación cifrada modos. Entonces, el ransomware se procede a cifrar todos los archivos de la víctima PC, donde se excluye a los siguientes archivos y carpetas:
Después de que el cifrado se ha completado, dependiendo de la versión de la misma, GandCrab ransomware puede eliminar los archivos.
Siempre hemos creído que GandCrab y Cerber ransomware fueron hechas por la misma gente, lo que significa que este virus es muy avanzado, y la persistente amenaza, que es probable que mantenga el terroizing equipos, ya sea a través de este nombre o con otro.
Si quieres probar y restaurar los archivos, usted puede haber descubierto ahora que el cifrado utilizado por GandCrab es muy difícil de romper si su variante no está entre los decryptable. En este caso, le aconsejamos que pruebe a utilizar la alternativa de recuperación de archivos de los métodos que hemos proporcionado a continuación en la “intentar restaurar” en el paso. No puede ser una garantía del 100% de la solución para la recuperación de archivos, pero con su ayuda, usted puede ser capaz de obtener al menos algunos de los archivos de vuelta a la normalidad. Por último, pero no menos importante, le recomendamos que haga una copia de seguridad de GandCrab de la nota de rescate y archivos cifrados así, debido a que estos virus son peligrosos y pueden romper sus archivos más allá de descifrado si intenta manipular con ellos directamente.
ADVERTENCIA, varios escáneres anti-virus han detectado posible malware en GandCrab.
| El Software antivirus | Versión | Detección |
|---|---|---|
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Dr.Web | Adware.Searcher.2467 | |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
Comportamiento de GandCrab
- Comportamiento común de GandCrab y algún otro texto emplaining som info relacionadas al comportamiento
- Se integra en el navegador web de la extensión del navegador de GandCrab
- GandCrab se conecta a internet sin su permiso
- Se instala sin permisos
- Anuncios, ventanas emergentes y programas de seguridad falsos alertas.
- Se distribuye a través de pay-per-install o está incluido con el software de terceros.
GandCrab efectuado versiones del sistema operativo Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografía de GandCrab
Eliminar GandCrab de Windows
Borrar GandCrab de Windows XP:
- Haz clic en Inicio para abrir el menú.
- Seleccione Panel de Control y vaya a Agregar o quitar programas.
- Seleccionar y eliminar programas no deseados.
Quitar GandCrab de su Windows 7 y Vista:
- Abrir menú de Inicio y seleccione Panel de Control.
- Mover a desinstalar un programa
- Haga clic derecho en la aplicación no deseada y elegir desinstalar.
Erase GandCrab de Windows 8 y 8.1:
- Haga clic en la esquina inferior izquierda y selecciona Panel de Control.
- Seleccione desinstalar un programa y haga clic derecho en la aplicación no deseada.
- Haga clic en desinstalar .
Borrar GandCrab de su navegador
GandCrab Retiro de Internet Explorer
- Haga clic en el icono de engranaje y seleccione Opciones de Internet.
- Ir a la pestaña Opciones avanzadas y haga clic en restablecer.
- Compruebe Eliminar configuración personal y hacer clic en restablecer .
- Haga clic en cerrar y seleccione Aceptar.
- Ir al icono de engranaje, elija Administrar complementos → barras de herramientas y extensionesy eliminar no deseados extensiones.
- Ir a Proveedores de búsqueda y elija un nuevo defecto motor de búsqueda
Borrar GandCrab de Mozilla Firefox
- Introduzca "about:addons" en el campo de URL .
- Ir a extensiones y eliminar extensiones de explorador sospechosos
- Haga clic en el menú, haga clic en el signo de interrogación y abrir la ayuda de Firefox. Haga clic en la actualización botón Firefox y seleccione Actualizar Firefox a confirmar.
Terminar GandCrab de Chrome
- Escriba "chrome://extensions" en el campo URL y pulse Enter.
- Terminar el navegador fiable extensiones
- Reiniciar Google Chrome.
- Abrir menú Chrome, haga clic en ajustes → Mostrar avanzada, seleccione restablecer configuración del explorador y haga clic en restaurar (opcional).