Pour le GandCrab ransomware à se propager, le virus utilise les différentes formes de la réplication et de méthodes d’infection. Ci-dessous, nous avons un résumé de chaque méthode et nous vous en montrer plus sur eux.
C’est la méthode la plus utilisée pour infecter un ordinateur avec GandCrab ransomware. Le virus de l’infection de fichier peut être de plusieurs types de fichier et les types de fichier suivants peuvent être téléchargés dans les e-mails où ils peuvent faire semblant d’être légitime documents. Ci-dessous vous pouvez voir un exemple de tels cas, profitant d’une .JS (JavaScript) fichier qui prétend être une image:
Lorsque l’utilisateur ouvre l’e-mail, il ou elle va voir le fichier contenu dans une archive. Lors de cette infection fichier est extrait et a couru, il provoque l’infection avec GandCrab ransomware:
Une autre méthode utilisée par les GandCrab est de faire comme si le fichier JavaScript est un document réel et ce fichier peut être contenue dans une .7z archives qui extrait automatiquement et exécute les virus lorsque vous l’ouvrez – sage en effet.
Mais .JS fichiers ne sont pas la seule façon de répandre GandCrab ransomware, puisque les auteurs de malwares ont également utilisé malicieux des documents Microsoft Office et Adobe .Les fichiers PDF pour infecter les victimes. La façon dont ils les utilisent est en masquant la véritable document de nature malveillante avec obuscators et d’infecter avec des Macros. Ces macros sont essentiellement un code qui est déclenché à chaque fois que vous cliquez sur « Activer le Contenu » ou « Activer la Modification » dans un document et une fois cela fait, l’infection par GandCrab est inévitable. Ci-dessous, vous pouvez voir comment une telle attaque peut se produire par e-mail:
Cette méthode est aussi très couramment utilisé et nous avons vu GandCrab les développeurs à l’utiliser avant. Comme Fortinet chercheurs ont déjà signalé, ils ont détecté plusieurs compromis de sites WordPress qui contenait GandCrab ransoware de l’infection de fichier directement téléchargés sur les sites web qui offrent des cracks de logiciels pour les programmes suivants:
- Fissure SysTools PST Merge 3.3
- Fissure Securitask 2005 1.40 H
- Fissure de la Fusion de l’Image au format PDF 2.8.0.4
- Crack pour Windows Clé de Mot de passe de l’Entreprise 9.6.2.
Grâce à Fortinet chercheurs, vous pouvez voir quelques captures d’écran de ces virus sites ci-dessous:
En plus de fissures, d’autres de l’infection fichiers peuvent également être téléchargés avec de nouvelles versions qui sont susceptibles d’apparaître dans le futur, comme faux configurations, les versions portables de programmes, freeware app installateurs et de nombreux autres apparente des programmes légitimes, qui à son tour d’être malveillant.
GandCrab ransomware est un très persistante menace, qui a évolué avec de nombreuses nouvelles versions au fil des années. Pour résumer ces versions, nous allons prêter attention à des changements les plus importants pour chaque version. Cela permettra de mieux vous aider à comprendre quel genre de virus qui vous avez affaire.
GandCrab v1.GDCB)
La première version qu’on peut appeler GandCrab semblait de retour en janvier 2018. Les experts en sécurité à Comodo ont établi que le virus chiffré des victimes et fichiers générés un unique clé de déchiffrement. Le GandCrab v1 a été le premier ransomware à utiliser des tirets dans un cyber-extorsion régime. Le GandCrab ransomware v1 utilisé pour copier des fichiers malveillants dans le %AppData%Microsoft directory, puis à injecter du code malveillant dans le système de processus, appelé nslookup.exe. Le virus utilisé pour communiquer à pv4bot.whatismyipaddress.com afin de voir quelle est l’adresse IP sur l’ordinateur infecté, puis exécutez le nslookup service pour se connecter à GandCrab.bit.a.dnspod.com en utilisant le .peu de domaine. La version se propager rapidement, mais il n’a pas duré longtemps. Les chercheurs ont été en mesure de concevoir une decryptor pour les virus et peu de temps après, les escrocs arrêté la propagation de l’infection des fichiers.
GandCrab v2 (.CRABE)
Cette variante est rapidement venue une semaine après que les chercheurs ont été en mesure de déchiffrer la première version. Il a utilisé l’ .CRABE extension qui il a ajouté aux fichiers, que le virus s’est chiffré à l’aide d’une nouvelle marque de l’algorithme de chiffrement. Pour l’étaler, les chercheurs ont utilisé des e-mails de spam et après une infection a été fait, les domaines de communications utilisés ont été codés en dur pour ransomware.bits et zonealarm.bit.
GandCrab v3
Les cyber-criminels derrière les GandCrab ne cesse d’évoluer et, en avril, ils ont commencé à l’infection des campagnes mettant en vedette la nouvelle version du virus, un v3. Le GandCrab v3 itération visant à assurez-vous que les victimes savent qu’il est là, en changeant le fond d’écran sur les ordinateurs infectés à la demande de rançon. Le virus a également pour objectif de présenter la peur chez les victimes par le fait d’avoir des scripts qui ont été ajoutées à la clé RunOnce:
Ces scripts visant à basculer entre le papier peint et la demande de rançon d’un fichier texte le virus automatiquement afin de faire pression sur les victimes en leur faisant payer la rançon.
GandCrab v4
La 4ème version de GandCrab ransomware a été fait pour rendre les activités et les outre le .KRAB extension utilisée par elle, il a aussi ajouté beaucoup de nouvelles mises à jour et modifications. En tant que chercheurs à Comodo avons constaté, GandCrab v4 utilisé le petit Algorithme de Chiffrement, également connu dans le commerce comme le THÉ, afin d’éviter d’être détecté par les cyber-criminels. Le nom de ce chiffre suggère que c’est utilisé pour être très rapide dans le cryptage des fichiers affter infection.
En plus d’un nouvellement peint, les escrocs, derrière GandCrab ransomware ont maintenant commencé à utiliser de nouvelles méthodes pour propager le virus – logiciel de fissures. Comme nous l’avons mentionné dans la « distribution » de la section ci-dessus, les escrocs téléchargé les fissures et une fois que les victimes téléchargé et exécuté, le ransomware est tombé sur le PC. Un fichier malveillant a été détecté à poser en tant que Crack_Merging_Image_to_PDF.exe. Le virus avait également ajouté de nouvelles fonctionnalités, comme la possibilité de créer une URL personnalisée pour Tor page de paiement basé sur l’ID unique de l’ordinateur infecté. Le virus a également utilisé pour transmettre des données à partir de la machine infectée à son Commandement et de Contrôle du serveur et des données est également XOR chiffrées pour une communication sécurisée. Non seulement cela, mais les chercheurs croient que le virus a probablement été fait en Russie, car il a utilisé un très spécifique de la chaîne de clé, appelé « jopochlen », qui est une combinaison de deux mots russes.
La demande de rançon de GandCrab ransomware , j’ai été appelé KRAB-DECRYPT.txt et le virus vérifie plusieurs Windows les fichiers et dossiers système dont il ignore le chiffrement S’ils sont créés à la victime de la machine, comme c’est la rançon de la note. GandCrab v4 ne pas modifier les noms de fichier les fichiers chiffrés. C’était la première fois où la page de paiement de GandCrab ont commencé à apparaître avec une mise à jour et nouveau design:
D’autres changements intéressants du virus ont été qu’il a commencé à cibler des utilisateurs plus âgés Windows OS, comme Windows XP ainsi:
GandCrab Ransomware mise à Jour des Objectifs Windows XP et les Serveurs les plus Anciens
GandCrab v5
La 5ème version de GandCrab est la plus importante et qui est encore utilisé aujourd’hui. Le ransomware virus est mis à jour, c’est le papier peint et dans l’ensemble de sa v5 variantes il utilise aléatoire des extensions de fichier avec des lettres. C’est le plus significativement changé la version du virus, car il a abandonné le précédent, les algorithmes de chiffrement utilisés par elle et a ajouté l’ Salsa20 mode de cryptage. Non seulement cela, mais les cyber-criminels ont également réussi à savoir que la rançon de la page du virus a également été modifié à la suivante:
Le principal fichier texte avec la demande de rançon a été changé et est actuellement à la recherche comme suit:
Le fond d’écran de l’ 5.0 versions a également été modifié avoir la version, la demande de rançon et les extensions ajoutées dans un écran rouge:
La principale demande de rançon dans le fond d’écran le virus a commencé à ressembler à la suivante:
Le chiffrement de GandCrab ransomware a un peu changé au fil des ans, et beaucoup de versions ont été déchiffrés:
Comment Décrypter les Fichiers Cryptés par GandCrab Ransomware (Gratuit)
Cependant, le plus récent v5 variantes du virus sont toujours indétectable et les chercheurs sont encore en train de faire des progrès vers le décodage des fichiers.
Le chiffrement de routage de ce virus commence avec la Salsa20 mode de chiffrement qui est fort et rapide, et est faite de telle façon à éviter la détection. Le virus vise à crypter absolument tout utilisables types de fichiers dans Windows, en plus de celles sur liste Blanche. Avant de commencer le chiffrement, GandCrab ransomware vérifie votre ordinateur pour les données suivantes:
- Nom d’utilisateur.
- Nom de l’ordinateur.
- Groupe appartient l’ordinateur.
- Si un antivirus est installé.
- C’est un langage.
- C’est les langues du clavier.
- Informations du système d’exploitation.
- Informations Relatives Au Disque Dur.
- Adresse IP.
Le virus est ensuite relayé l’information recueillie à la commande et de contrôle du serveur via chiffré modes de communication. Ensuite, le ransomware produit pour crypter tous les fichiers de la victime sur PC, où il exclut les fichiers et dossiers suivants:
Après le cryptage a été réalisé, selon la version, il est GandCrab ransomware peut s’auto-supprimer les fichiers.
Nous avons toujours cru que GandCrab et Cerber ransomware ont été faites par les mêmes personnes, ce qui signifie que ce virus est très avancée et la menace persistante, qui seront probablement garder terroizing des ordinateurs par l’intermédiaire de ce nom ou un autre.
Si vous voulez essayer et de restaurer les fichiers, vous pouvez avoir compris maintenant que le cryptage utilisé par GandCrab est assez difficile de se briser si votre variante n’est pas parmi les decryptable. Dans ce cas, nous vous conseillons d’essayer en utilisant les alternatives de récupération de fichiers des méthodes, nous avons fourni ci-dessous dans « essayez de restaurer ». Ils peuvent ne pas être une garantie de 100% solution pour la récupération des fichiers, mais avec leur aide, vous pourriez être en mesure d’obtenir au moins certains des fichiers de retour à la normale. Dernier mais non le moindre, nous vous recommandons fortement de faire une sauvegarde de GandCrab de demande de rançon et des fichiers chiffrés ainsi, en raison de tels virus sont dangereux et peuvent casser vos fichiers au-delà de déchiffrement si vous essayez de les manipuler directement.
Attention, plusieurs analyseurs antivirus ont détecté malware possible dans GandCrab.
| Un logiciel anti-virus | Version | Détection |
|---|---|---|
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Dr.Web | Adware.Searcher.2467 | |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
Comportement de GandCrab
- S'installe sans autorisations
- S'intègre dans le navigateur web par l'intermédiaire de l'extension de navigateur de GandCrab
- Change la page d'accueil de l'utilisateur
- GandCrab montre des annonces commerciales
- Rediriger votre navigateur vers des pages infectées.
- Modifie le bureau et les paramètres du navigateur.
- GandCrab désactive les logiciels de sécurité installés.
- Ralentit la connexion internet
- Spectacles fausses alertes de sécurité, des pop-ups et des annonces.
GandCrab a effectué les versions de système d'exploitation Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Géographie de GandCrab
Éliminer GandCrab de Windows
Supprimer GandCrab de Windows XP :
- Cliquez sur Démarrer pour ouvrir le menu.
- Sélectionnez le Panneau de commande et accédez à Ajout / suppression de programmes.
- Sélectionnez et supprimez le programme indésirable.
Retirer GandCrab de votre Windows 7 et Vista :
- Ouvrez le menu Démarrer et sélectionnez Panneau de configuration.
- Se déplacer à désinstaller un programme
- Faites un clic droit sur l'app indésirable et choisissez désinstaller.
Effacer GandCrab de Windows 8 et 8.1 :
- Faites un clic droit sur le coin inférieur gauche et sélectionnez Panneau de configuration.
- Choisir de désinstaller un programme et faites un clic droit sur l'application non désirée.
- Cliquez sur désinstaller .
Delete GandCrab depuis votre navigateur
GandCrab Suppression de Internet Explorer
- Cliquez sur l' icône d'engrenage et sélectionnez Options Internet.
- Allez dans l'onglet avancé , puis cliquez sur Réinitialiser.
- Vérifiez Supprimer les paramètres personnels et cliquez de nouveau sur Réinitialiser .
- Cliquez sur Fermer et cliquez sur OK.
- Revenir à l' icône d'engrenage, choisissez gérer Add-ons → barres d'outils et Extensionset supprimer les indésirables des extensions.
- Allez dans Les moteurs de recherche et choisissez un nouveau moteur de recherche de défaut
Effacer GandCrab de Mozilla Firefox
- Tapez "about:addons" dans le champ URL .
- Allez aux Extensions et supprimer les extensions du navigateur suspectes
- Cliquez sur le menu, cliquez sur point d'interrogation et ouvrez l'aide de Firefox. Cliquez sur rafraîchissement Firefox bouton et sélectionnez Actualiser Firefox pour confirmer.
Terminez GandCrab de Chrome
- Tapez "chrome://extensions" dans le champ URL et appuyez sur entrée.
- Résilier les extensions du navigateur peu fiables
- Redémarrez Google Chrome.
- Ouvrez le menu Chrome, cliquez sur paramètres → paramètres de Show advanced, sélectionnez rétablir les paramètres de navigateur et cliquez sur Reset (en option).