Questa analisi è stata creata per comunicare e mostrare con le istruzioni su come è possibile rimuovere il GANDCRAB 5.1 virus ransomware dal tuo computer e come si può provare a ripristinare i filecrittografato.
Per infettare un computer, la versione 5.1 di GANDCRAB ransomware utilizza diversi tipi di metodi e file di infezione.
L’infezione primaria metodo che potrebbe essere utilizzato in relazione a GANDCRAB 5.1 infezione è l’e-mail che sono composti nel modo seguente:
Oltre al “Pagamento Fattura #93611″ i soggetti di cui sopra, abbiamo rilevato anche altri falsi oggetto e-mail:
- Documento #72170
- Fattura #21613
- Ordine #87884
- Pagamento #72985
- Biglietto #07009
- Il Documento #78391
- Ordine #16323
- Il Biglietto #23428
L’e-mail contiene un allegato di posta elettronica che è spesso dannoso .JS(JavaScript), un .docx (Microsoft Word) o .PDF (Adobe Reader) file che porta a un .file docx. Il file è denominato in modo casuale, come per esempio associato con GANDCRAB che abbiamo rilevato in precedenza mostra:
Se il file maligno è dal .JS tipo (JavaScript), semplicemente estrazione e l’esecuzione il risultato sarà infettare il vostro computer, come illustrato di seguito:
Se il file maligno è un documento, quindi l’infezione passerà attraverso macro dannose che sono incorporati all’interno di Microsoft Office o Adobe PDF documento e vogliono Abilitare il Contenuto o Abilitare la Modifica per vedere cosa c’è nel documento. Cliccando su questo “Attiva Modifica” pulsante genera il seguente infezione attività:
Oltre alla via e-mail, il processo di infezione con GANDCRAB 5.1 ransomare può avvenire online. I ricercatori Fortinet(https://www.fortinet.com/blog/threat-research/GANDCRAB-v4-0-analysis-new-shell-same-old-menace.html) sono già rilevato GANDCRAB per infettare gli utenti facendo finta di essere un software crack dei seguenti programmi:
- La fusione di Immagine in formato PDF.
- Securitask.
- SysTools PST Merge.
Più informazioni su GANDCRAB infettare le vittime attraverso il software di fessure può essere trovato nel relativo articolo sotto:
GANDCRAB 4 Ransomware Ora Infetta Tramite il Software di Fessure
La principale infezione file di GANDCRAB 5.1 ransomware virus è stato segnalato per avere le seguenti Ioc (Identificators di Compromesso):
Una volta che questo file è sceso sul vostro computer, è possibile attivare immediatamente l’Windows componente “wmic.exe” come amministratore, al fine di eliminare l’ombra del volume di copie del tuo PC. Questo vi impedirà di recuperare i vostri file tramite il Windows servizio di Recupero. GANDCRAB 5.1 innesca il seguente comando come amministratore in Windows Prompt dei comandi:
Non appena GANDCRAB 5.1 ha cancellato i file di backup, il ransomware comincia a cadere la nota di riscatto file, che presenta il seguente messaggio alle vittime del virus:
La nota di riscatto di questo particolare esempio di GANDCRAB 5.1 che abbiamo analizzato porta le vittime a seguito di richiesta di riscatto pagina web, che può essere aperto solo il browser TOR elencati nelle istruzioni:
Quando la vittima del termine di pagamento di scadenza del timer, GANDCRAB può anche indicare la seguente versione della nota di riscatto, che dice che il prezzo è raddoppiato.
La nota di riscatto con le seguenti istruzioni per le vittime:
E in aggiunta a tali attività, GANDCRAB ransomware può anche eventualmente di modificare lo sfondo del computer infetto con la seguente immagine:
E nella nota di riscatto pagina, il virus offre 1 file crittografato per il download gratuito, solo così la vittima può vedere che funziona. Che in pratica significa che il virus può contenere Trojan capacità di copiare i file dal computer infetto e caricarle su TOR:
Il principale algoritmo di crittografia utilizzato da GANDCRAB 5.1 è il Salsa20 di crittografia. A differenza di RSA e algoritmi di crittografia AES, il Salsa20 è molto più veloce e in grado di crittografare tutti i file in giro per meno di un minuto di tempo. Proprio come gli altri GANDCRAB versioni, v5.1 utilizza anche casuale estensione di file che volentieri annunci ai file crittografati dopo la cifra. I file sono criptati e cercando come l’immagine qui sotto mostra:
Il ransomware salta la crittografia di file se si trovano nelle seguenti Windows directory:
Il processo di crittografia di GANDCRAB ransomware è condotta in modo che il virus è probabile che crea copie dei file originali e codifica di tali copie dalla sostituzione di blocchi di dati da un file con i dati disordinati. I cyber-criminali possono eliminare i file originali e dal momento che elimina le copie shadow, sembra che ci sia poca possibilità di recuperare i file a meno che non paghi i truffatori, che ci avrebbe consiglia di astenersi dal fare.
Prima di iniziare a pensare anche di rimozione GANDCRAB 5.1 ransomware, si consiglia di fare un backup dei tuoi file, anche se sono criptati, perché se si tenta di remvoe questa variante di GANDCRAB, le probabilità sono il vostro PC potrebbe non funzionare correttamente e abbattere il sistema operativo in modo irreversibile.
Per la rimozione di GANDCRAB 5.1, abbiamo preparato le istruzioni di seguito. Assicurarsi di seguire i primi due passaggi solo se hai una certa esperienza nella rimozione di malware e sapere cosa si sta facendo. In caso contrario, si consiglia di ciò che la maggior parte esperti di sicurezza informatica informare le vittime – per la scansione del computer per i GANDCRAB malware file con un avanzato programma anti-malware e rimuovere tutti i file dannosi e di oggetti appartenenti ad esso automaticamente.
Per il recupero di file, vi consigliamo vivamente di controllare il passaggio di “Provare a Ripristinare i file criptati da GANDCRAB 5.1″ qui di seguito. Essi contengono più metodi che spiegano che cosa metodo di recupero è la migliore per voi e anche se i metodi forniti non sono dotati di una garanzia di 100% per recuperare i vostri file, si potrebbe teoricamente essere in grado di ripristinare almeno alcuni dei tuoi file.
Attenzione, più anti-virus scanner hanno rilevato malware possibili in GANDCRAB.
| Software Anti-Virus | Versione | Rilevazione |
|---|---|---|
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Comportamento di GANDCRAB
- GANDCRAB disattiva il Software di sicurezza installati.
- Si distribuisce attraverso pay-per-installare o è in bundle con software di terze parti.
- GANDCRAB spettacoli annunci commerciali
- Si installa senza autorizzazioni
- Reindirizzare il browser a pagine infette.
- Si integra nel browser web tramite l'estensione del browser di GANDCRAB
- Modifica le impostazioni Browser e Desktop.
- Cambia la pagina iniziale dell'utente
- Rallenta la connessione a internet
- Ruba o utilizza i vostri dati confidenziali
- Spettacoli falsi avvisi di sicurezza, popup e annunci.
GANDCRAB effettuate versioni del sistema operativo Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografia di GANDCRAB
Eliminare GANDCRAB da Windows
Elimina GANDCRAB da Windows XP:
- Fare clic su Start per aprire il menu.
- Selezionare Pannello di controllo e vai a Aggiungi o Rimuovi programmi.
- Scegliere e rimuovere il programma indesiderato.
Rimuovi GANDCRAB dal tuo Windows 7 e Vista:
- Aprire il menu Start e selezionare Pannello di controllo.
- Spostare Disinstalla un programma
- Pulsante destro del mouse sull'app indesiderato e scegliere Disinstalla.
Cancella GANDCRAB da Windows 8 e 8.1:
- Pulsante destro del mouse sull'angolo inferiore sinistro e selezionare Pannello di controllo.
- Scegliere Disinstalla un programma e fare clic destro sull'applicazione indesiderata.
- Fare clic su disinstallare .
Eliminare GANDCRAB dal tuo browser
GANDCRAB Rimozione da Internet Explorer
- Fare clic sull' icona dell'ingranaggio e seleziona Opzioni Internet.
- Vai alla scheda Avanzate e fare clic su Reimposta.
- Verifica Elimina impostazioni personali e clicca Reset nuovamente.
- Fare clic su Chiudi e scegliere OK.
- Tornare indietro per l' icona dell'ingranaggio, scegliere Gestione componenti aggiuntivi → estensioni e barre degli strumentie delete indesiderati estensioni.
- Vai al Provider di ricerca e scegliere un nuovo motore di ricerca di predefinito
Cancellare GANDCRAB da Mozilla Firefox
- Inserire "about:addons" nel campo URL .
- Vai a estensioni ed eliminare le estensioni browser sospette
- Scegliere dal menu, fare clic sul punto interrogativo e aprire la Guida di Firefox. Fare clic sul pulsante Firefox Aggiorna e selezionare Aggiorna Firefox per confermare.
Terminare GANDCRAB da Chrome
- Digitare "chrome://extensions" nel campo URL e premere invio.
- Terminare le estensioni del browser inaffidabile
- Riavviare Google Chrome.
- Aprire Chrome menu, fare clic su impostazioni → impostazioni di Show advanced, selezionare Reimposta le impostazioni del browser e fare clic su Reimposta (opzionale).