Come eliminare GandCrab

Pubblicato su

Per il GandCrab ransomware di diffondersi il virus utilizza diverse forme di replica e metodi di infezione. Di seguito, una sintesi di ogni metodo, e vi mostriamo di più su di loro.

Questo è il metodo più comunemente usato per infettare un computer con GandCrab ransomware. Il virus file può essere di vari tipi di file e questi tipi di file possono essere caricati e-mail dove si può fingere di essere legittimo documenti. Qui di seguito potete vedere un esempio di questo caso, approfittando di un .JS (JavaScript) file che finge di essere un’immagine:

Quando l’utente apre l’e-mail, lui o lei farà vedere i file contenuti in un archivio. Quando questa infezione file viene estratto e corse, causa l’infezione con GandCrab ransomware:

Un altro metodo utilizzato da GandCrab è farlo come se il file JavaScript è un documento reale e questo file può essere contenuta in un .Archivio 7z che estrae automaticamente ed esegue il virus quando si apre intelligente davvero.

Ma .JS non sono l’unico modo di diffondere GandCrab ransomware, dal momento che gli autori di malware hanno utilizzato anche dannoso documenti di Microsoft Office e Adobe .I file PDF per infettare le vittime. Il modo in cui il loro utilizzo è da mascherare il documento effettivo dannoso per la natura con obuscators e infetta con Macro dannose. Queste macro sono fondamentalmente un codice che viene attivato ogni volta che si fa clic su “Attiva il Contenuto” o “Attiva Modifica” in un documento e una volta fatto questo, l’infezione con GandCrab è inevitabile. Di seguito, si può vedere come un tale attacco può verificarsi tramite e-mail:

Questo metodo è anche molto comunemente usato e abbiamo visto GandCrab agli sviluppatori di utilizzare la prima. Come Fortinet ricercatori hanno già segnalato, hanno rilevato più compromessa siti in WordPress che conteneva GandCrab ransoware l’infezione di file caricati direttamente su siti web che offrono software di fessure per i seguenti programmi:

  • Crack SysTools PST Merge 3.3
  • Crack Securitask 2005 1.40 H
  • Crack Fusione Image to PDF 2.8.0.4
  • Il Crack per Windows Password Chiave Enterprise 9.6.2.

Grazie per Fortinet ricercatori, è possibile vedere alcuni screenshot di questi virus siti di seguito:

Oltre a crepe, altri file di infezione può anche essere caricato con le nuove versioni che rischiano di apparire, anche in futuro, come la contraffazione di installazioni di versioni portatili di programmi, freeware app installatori e molti altri apparente programmi legittimi, che risultano essere dannosi.

GandCrab ransomware è molto persistente minaccia, che si è evoluto con le nuove versioni nel corso degli anni. Per riassumere queste versioni, dobbiamo prestare attenzione ai cambiamenti più significativi per ogni versione. Questo sarà di aiuto per capire meglio che tipo di virus che si sta trattando.

GandCrab v1 (.GDCB)

La prima versione che possiamo chiamare GandCrab è apparso nel gennaio del 2018. Gli esperti di sicurezza di Comodo hanno stabilito che il virus criptati delle vittime e file generato un unica chiave di decodifica. Il GandCrab v1 è stato il primo ransomware mai utilizzare DASH in un cyber-schema di estorsione. Il GandCrab ransomware v1 utilizzato per la copia del file dannosi in %AppData%Microsoft directory e poi iniettare codice dannoso in un processo di sistema, chiamato nslookup.exe. Il virus utilizzato per comunicare pv4bot.whatismyipaddress.com per vedere che cosa è l’IP sul PC infetto, e quindi eseguire il comando nslookup servizio per la connessione a GandCrab.bit.a.dnspod.com utilizzando il .bit di dominio. La versione diffusa rapidamente, ma non durò a lungo. I ricercatori sono stati in grado di elaborare un programma per il virus e poco dopo, truffatori smesso di diffondere l’infezione file.

GandCrab v2 (.GRANCHIO)

Questa variante rapidamente è venuto una settimana dopo che i ricercatori sono stati in grado di decifrare la prima versione. Ha usato l’ .GRANCHIO estensione che ha aggiunto al file, in modo che il virus crittografati utilizzando un nuovo algoritmo di crittografia. La diffusione, i ricercatori hanno usato la e-mail di spam e dopo un’infezione è stato fatto, i domini di comunicazione utilizzati sono stati hardcoded di ransomware.bit e zonealarm.bit.

GandCrab v3

I cyber-criminali dietro GandCrab non ha smesso di evolversi e nel mese di aprile hanno iniziato infezione campagne con la nuova versione del virus, un v3. Il GandCrab v3 iterazione volte per assicurarsi che le vittime di sapere che c’è da cambiare lo sfondo del desktop sul computer compromessi alla richiesta di riscatto. Il virus, inoltre, mira a introdurre la paura delle vittime da avere gli script che sono stati aggiunti in chiave RunOnce:

Questi scrips volte per passare tra lo sfondo e la nota di riscatto file di testo del virus automaticamente in modo da pressione vittime a pagare il riscatto.

GandCrab v4

La versione 4 di GandCrab ransomware è stato fatto per eseguire abbastanza attività e oltre al nuovo .KRAB estensione utilizzato, è anche aggiunto un sacco di nuovi aggiornamenti e modifiche. Come i ricercatori Comodo avere scoperto, GandCrab v4 utilizzato il Piccolo Algoritmo di Crittografia, anche conosciuta nel settore come TÈ, per evitare di essere rilevato da cyber-criminali. Il nome di questo cypher suggerisce che è usato per essere molto veloce in crittografia dei file dopo l’infezione.

Oltre a un recente fatto di carta da parati, truffatori, dietro GandCrab ransomware ora hanno iniziato a utilizzare nuovi metodi per diffondere il virus, il software di fessure. Come abbiamo detto nella “distribuzione” di cui sopra, i truffatori caricato crepe e una volta che le vittime scaricato e di loro, il ransomware è caduto sul PC. Un file “maligno” è stato rilevato a posare come Crack_Merging_Image_to_PDF.exe. Il virus aveva anche aggiunto nuove funzionalità, come la possibilità di creare un URL personalizzato per Tor di pagamento, in base all’ID univoco del computer infetto. Il virus, inoltre, utilizzato per l’inoltro di dati dalla macchina infetta al server di Comando e Controllo e di questo tipo di dati è anche XOR crittografato per la comunicazione sicura. Non solo questo, ma i ricercatori ritengono che il virus è stato probabilmente realizzato in Russia, in quanto usata molto specifiche chiave stringa, chiamato “jopochlen”, che è una combinazione di due parole in russo.

La nota di riscatto di GandCrab ransomware sono stato chiamato KRAB-DECRYPT.txt e il virus controlla più Windows file e cartelle di sistema che ignora la crittografia Se ne sono creati nella vittima macchina, come nota di riscatto. GandCrab v4 non modificare i nomi dei file dei file crittografati. Questo è stato il primo tempo, in cui la pagina di pagamento di GandCrab iniziato ad apparire con un aggiornamento e un nuovo design:

Altre interessanti modifiche del virus sono state che ha iniziato a colpire gli utenti più anziani, Windows OS, come Windows XP:

GandCrab Ransomware Aggiornamento – Obiettivi Windows XP e Server Precedenti

GandCrab v5

La 5 ° versione di GandCrab è il più significativo e viene utilizzato ancora oggi. Il ransomware virus ha aggiornato la carta da parati e in tutti i suoi v5 varianti utilizza casuale estensioni di file con lettere strapazzate. Questo è il più significativamente cambiato versione del virus, in quanto abbandonato il precedente algoritmi di cifratura e aggiunto il Salsa20 modalità di crittografia. Non solo, ma anche i cyber-criminali sono anche riuscito a scoprire che il riscatto pagina del virus è stato cambiato anche il seguente:

Il principale file di testo con la richiesta di riscatto è stato cambiato ed è attualmente alla ricerca, come i seguenti:

La carta da parati di 5.0 versioni è stato cambiato anche avendo la versione, la nota di riscatto e le estensioni aggiunte in rosso dello schermo:

La principale nota di riscatto della carta da parati del virus iniziato a guardare come il seguente:

La crittografia di GandCrab ransomware è cambiato un po ‘ negli anni, e un sacco di versioni, finora non è stato decifrato:

Come Decifrare i File Criptati da GandCrab Ransomware (Gratuito)

Tuttavia, il più recente v5 varianti del virus sono ancora rilevabili e i ricercatori stanno ancora cercando di fare progressi verso la decodifica di file.

La crittografia di routing di questo virus inizia con la Salsa20 modalità di crittografia forte e veloce ed è fatta in modo tale da evitare il rilevamento. Il virus si propone per crittografare assolutamente utilizzabili tipi di file in Windows, oltre a quelli sulla lista Bianca. Prima di iniziare il vero crittografia, GandCrab ransomware controlla il computer per i seguenti dati:

  • Username.
  • Nome del computer.
  • Gruppo a cui appartiene il computer.
  • Se un antivirus è installato.
  • È la lingua.
  • E ‘ lingue per la tastiera.
  • Informazioni sul sistema operativo.
  • Informazioni Del Disco Rigido.
  • L’indirizzo IP.

Il virus quindi invia i dati raccolti al server di comando e controllo via crittografato modalità di comunicazione. Quindi, il ransomware proventi per crittografare tutti i file in vittime PC, in cui esclude i seguenti file e cartelle:

Dopo la crittografia è stata completata, a seconda della versione, GandCrab ransomware può auto-eliminare i file.

Abbiamo sempre creduto che GandCrab e Cerber ransomware sono state fatte dalle stesse persone, il che significa che questo virus è molto avanzato e persistente minaccia, che probabilmente manterrà terroizing computer tramite questo nome o un altro.

Se volete provare a ripristinare il file, si può avere capito ormai che il sistema di crittografia utilizzato da GandCrab è molto difficile da rompere in caso di variante non è tra i più decifrabili. In questo caso, si consiglia di provare a utilizzare il file alternativo metodi di recupero di cui abbiamo fornito in seguito la “prova di ripristino”. Essi non possono essere una garanzia al 100% soluzione per il recupero dei file, ma con il loro aiuto, si potrebbe essere in grado di ottenere almeno alcuni file di nuovo al normale. Ultimo ma non meno importante, si consiglia vivamente di fare un backup di GandCrab il riscatto di nota e file crittografati, perché tali virus sono pericolosi e possono danneggiare il file di là di decrittografia se si tenta di interferire direttamente con loro.

Attenzione, più anti-virus scanner hanno rilevato malware possibili in GandCrab.

Software Anti-VirusVersioneRilevazione
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
VIPRE Antivirus22224MalSign.Generic
VIPRE Antivirus22702Wajam (fs)
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Dr.WebAdware.Searcher.2467
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E

Comportamento di GandCrab

  • Rallenta la connessione a internet
  • Cambia la pagina iniziale dell'utente
  • Comportamento comune di GandCrab e qualche altro testo emplaining som informazioni relative al comportamento
  • Ruba o utilizza i vostri dati confidenziali
  • GandCrab spettacoli annunci commerciali
  • Si integra nel browser web tramite l'estensione del browser di GandCrab
  • GandCrab disattiva il Software di sicurezza installati.
  • GandCrab si connette a internet senza il vostro permesso
  • Spettacoli falsi avvisi di sicurezza, popup e annunci.
  • Si installa senza autorizzazioni
  • Reindirizzare il browser a pagine infette.
  • Modifica le impostazioni Browser e Desktop.
Scarica lo strumento di rimozionerimuovere GandCrab

GandCrab effettuate versioni del sistema operativo Windows

  • Windows 1032% 
  • Windows 840% 
  • Windows 725% 
  • Windows Vista3% 
  • Windows XP0% 

Geografia di GandCrab

Eliminare GandCrab da Windows

Elimina GandCrab da Windows XP:

  1. Fare clic su Start per aprire il menu.
  2. Selezionare Pannello di controllo e vai a Aggiungi o Rimuovi programmi.win-xp-control-panel GandCrab
  3. Scegliere e rimuovere il programma indesiderato.

Rimuovi GandCrab dal tuo Windows 7 e Vista:

  1. Aprire il menu Start e selezionare Pannello di controllo.win7-control-panel GandCrab
  2. Spostare Disinstalla un programma
  3. Pulsante destro del mouse sull'app indesiderato e scegliere Disinstalla.

Cancella GandCrab da Windows 8 e 8.1:

  1. Pulsante destro del mouse sull'angolo inferiore sinistro e selezionare Pannello di controllo.win8-control-panel-search GandCrab
  2. Scegliere Disinstalla un programma e fare clic destro sull'applicazione indesiderata.
  3. Fare clic su disinstallare .

Eliminare GandCrab dal tuo browser

GandCrab Rimozione da Internet Explorer

  • Fare clic sull' icona dell'ingranaggio e seleziona Opzioni Internet.
  • Vai alla scheda Avanzate e fare clic su Reimposta.reset-ie GandCrab
  • Verifica Elimina impostazioni personali e clicca Reset nuovamente.
  • Fare clic su Chiudi e scegliere OK.
  • Tornare indietro per l' icona dell'ingranaggio, scegliere Gestione componenti aggiuntiviestensioni e barre degli strumentie delete indesiderati estensioni.ie-addons GandCrab
  • Vai al Provider di ricerca e scegliere un nuovo motore di ricerca di predefinito

Cancellare GandCrab da Mozilla Firefox

  • Inserire "about:addons" nel campo URL .firefox-extensions GandCrab
  • Vai a estensioni ed eliminare le estensioni browser sospette
  • Scegliere dal menu, fare clic sul punto interrogativo e aprire la Guida di Firefox. Fare clic sul pulsante Firefox Aggiorna e selezionare Aggiorna Firefox per confermare.firefox_reset GandCrab

Terminare GandCrab da Chrome

  • Digitare "chrome://extensions" nel campo URL e premere invio.extensions-chrome GandCrab
  • Terminare le estensioni del browser inaffidabile
  • Riavviare Google Chrome.chrome-advanced GandCrab
  • Aprire Chrome menu, fare clic su impostazioni → impostazioni di Show advanced, selezionare Reimposta le impostazioni del browser e fare clic su Reimposta (opzionale).
Scarica lo strumento di rimozionerimuovere GandCrab