Voor de GandCrab ransomware verspreid het virus maakt gebruik van verschillende vormen van replicatie en infectie methoden. Hieronder hebben we samengevat elke methode en we tonen u meer over hen.
Dit is de meest gebruikte methode om een computer te besmetten met GandCrab ransomware. De virus infectie bestand kan worden van verschillende bestandstypen en de volgende bestandstypen kunnen worden geupload in de e-mails waar ze kunnen zich voordoen als legitieme documenten. Hieronder zie je een voorbeeld van een dergelijk geval, profiteren van een .JS (JavaScript) – bestand dat zich voordoet als een afbeelding:
Wanneer de gebruiker opent de e-mail, hij of zij ziet het bestand in een archief. Wanneer deze infectie bestand is uitgepakt en liep zij de oorzaak is van de infectie met GandCrab ransomware:
Een andere methode die wordt gebruikt door GandCrab is om het te maken als de JavaScript-bestand is een document en dit bestand kan worden opgenomen in een .7z archieven die automatisch extracten en voert het virus wanneer u het opent – slim inderdaad.
Maar .JS-bestanden zijn niet de enige manier van het verspreiden van GandCrab ransomware, aangezien de malware-auteurs hebben ook gebruikt kwaadaardige Microsoft Office-documenten en Adobe .PDF-bestanden te infecteren slachtoffers. De manier waarop ze gebruikt wordt door het verhullen van de werkelijke document kwaadaardige natuur met obuscators en infecteren met schadelijke Macro ‘ s. Deze macro ‘ s zijn in principe een code die wordt geactiveerd telkens wanneer u klikt op “Inhoud Inschakelen” of “Bewerken Inschakelen” in een document en zodra dit is gebeurd, na infectie met GandCrab is onvermijdelijk. Hieronder kunt u zien hoe een dergelijke aanval kan plaatsvinden via e-mail:
Deze methode is ook zeer vaak gebruikt en we hebben gezien GandCrab ontwikkelaars om het te gebruiken voor. Als Fortinet onderzoekers hebben al gemeld dat ze ontdekt hebben meerdere in gevaar gebrachte WordPress websites die GandCrab ransoware infectie bestand direct te uploaden op websites die software scheuren voor de volgende programma ‘ s:
- Crack SysTools PST-Samenvoegen 3.3
- Crack Securitask 2005 1.40 H
- Crack-het Samenvoegen van Image to PDF 2.8.0.4
- Crack voor Windows Wachtwoord Enterprise 9.6.2.
Dankzij Fortinet onderzoekers, zie je enkele screenshots van deze virus sites hieronder:
Naast scheuren, andere infectie-bestanden kunnen ook worden geüpload met nieuwe versies die zijn waarschijnlijk ook in de toekomst, zoals nep-opstellingen, draagbare versies van programma ‘s, freeware app installateurs en vele andere lijken legitieme programma’ s, die blijken te zijn kwaadaardig.
GandCrab ransomware is een zeer persistente dreiging, die zich heeft ontwikkeld met vele nieuwe versies door de jaren heen. Een samenvatting te geven van deze versies zullen we aandacht besteden aan de belangrijkste wijzigingen voor elke versie. Dit zal beter begrijpen wat voor soort virus je te maken hebt.
GandCrab v1 – (.GDCB)
De eerste versie die we kunnen bellen GandCrab verscheen terug in januari 2018. Beveiligingsexperts van Comodo hebben vastgesteld dat het virus versleuteld slachtoffers’ bestanden en genereerde een unieke decoderingssleutel. De GandCrab v1 was het eerste ransomware ooit gebruik van DASH in een cyber-afpersing regeling. De GandCrab ransomware v1 gebruikt voor het kopiëren van het schadelijke bestanden in de %AppData%Microsoft map en vervolgens kwaadaardige code injecteren in een systeem van proces, de zogenaamde nslookup.exe. Het virus gebruikt om te communiceren met pv4bot.whatismyipaddress.com om te zien wat het IP-op de geïnfecteerde PC en uitvoeren van de nslookup - service om verbinding te maken met GandCrab.bit.a.dnspod.com met behulp van de .beetje domein. De versie verspreidde zich snel, maar het duurde niet lang. De onderzoekers waren in staat om het ontwikkelen van een decryptor voor het virus en kort na dat de boeven gestopt met het verspreiden van de infectie bestanden.
GandCrab v2 (.KRAB)
Deze variant al snel kwam een week na de onderzoekers waren in staat om het decoderen van de eerste versie. Het gebruikt het .KRAB extensie die het toegevoegd aan de bestanden die het virus gecodeerd met behulp van een nieuwe encryptie-algoritme. Om het te verspreiden, onderzoekers gebruikt spam e-mails en na een infectie is gedaan, de domeinen voor communicatie gebruikt werden hardcoded ransomware.bits en zonealarm.beetje.
GandCrab v3
De cyber-criminelen achter GandCrab niet te stoppen ontwikkeling en in April begonnen zij infectie campagnes met de nieuwe versie van het virus, v3. De GandCrab v3 iteratie gericht om ervoor te zorgen dat de slachtoffers weet dat het er is door het veranderen van de achtergrond van het bureaublad op de besmette computers om het losgeld opmerking. Het virus ook op gericht om de invoering van angst bij de slachtoffers door het hebben van scripts die zijn toegevoegd in de sleutel RunOnce:
Deze scripts gericht om te schakelen tussen de achtergrond en het losgeld tekst-bestand van het virus automatisch te druk slachtoffers in het betalen van het losgeld.
GandCrab v4
De 4e versie van de GandCrab ransomware was om uit te voeren heel de activiteiten en naast de nieuwe .KRAB extensie gebruikt, het voegde ook een hoop nieuwe updates en veranderingen. Als onderzoekers van Comodo hebben gevonden, GandCrab v4 gebruikt de Kleine Encryptie-Algoritme, ook in de branche bekend als THEE om te voorkomen dat gedetecteerd door de cyber-criminelen. De naam van deze cypher, doet vermoeden dat het is gebruikt om snel in het versleutelen van bestanden affter infectie.
Naast een nieuw-en-klare achtergrond, de boeven achter GandCrab ransomware nu zijn begonnen met behulp van nieuwe methoden om het virus – software scheuren. Zoals we al in de “distributie” hierboven, de boeven geüpload scheuren en zodra de slachtoffers gedownload en ze liep, de ransomware wordt neergezet op de PC. Een kwaadaardige bestand is gedetecteerd, om te poseren als Crack_Merging_Image_to_PDF.exe. Het virus had ook nieuwe functies toegevoegd, zoals de mogelijkheid tot het maken van een aangepaste URL voor het Tor betaalpagina gebaseerd op de unieke ID van de geïnfecteerde computer. Het virus ook gebruikt om relais gegevens van de geïnfecteerde machine om het Command and Control-server en deze gegevens ook XOR gecodeerd voor een veilige communicatie. Niet alleen dit, maar de onderzoekers geloven dat het virus was waarschijnlijk gemaakt in Rusland, omdat het een zeer specifieke toets string, genaamd “jopochlen”, dat is een combinatie van twee russische woorden.
Het losgeld opmerking van GandCrab ransomware ik was geroepen KRAB-DECRYPT.txt en het virus controleert voor meerdere Windows systeem bestanden en mappen die gaat versleutelen Als ze zijn gemaakt in de slachtoffer van de machine, zoals het rantsoen opmerking. GandCrab v4 bracht geen verandering in de bestandsnamen van gecodeerde bestanden. Dit was de eerste keer, waar de betaalpagina van GandCrab begonnen verschijnen met een bijgewerkte en nieuwe design:
Andere interessante veranderingen van het virus waren dat het begonnen is gericht op gebruikers van oudere Windows OS is, zoals Windows XP:
GandCrab Ransomware Bijgewerkt – Doelen Windows XP en Oudere Servers
GandCrab v5
De 5e versie van GandCrab is het meest opvallend en is tegenwoordig nog steeds gebruikt. De ransomware virus heeft een update van het behang, en in alle v5 varianten gebruikt het random bestand extensies met elkaar gehusselde letters. Dit is het meest significant gewijzigde versie van het virus, omdat het grofvuil de vorige encryptie algoritmes die gebruikt worden door en voegde de Salsa20 encryptie modus. Niet alleen dit, maar de cyber-criminelen hebben ook in geslaagd om uit te vinden dat het losgeld pagina van het virus werd ook gewijzigd in het volgende:
De belangrijkste tekst bestand met het losgeld opmerking was ook veranderd en is momenteel op zoek, zoals de volgende:
De achtergrond van de 5.0 versies was ook veranderd met de uitvoering van het losgeld opmerking en de extensies toegevoegd in een rood scherm:
De belangrijkste losgeld opmerking in de achtergrond van het virus ging op zoek, zoals de volgende:
De codering van GandCrab ransomware is behoorlijk wat veranderd in de loop der jaren veel versies tot nu toe zijn gedecodeerd:
Hoe om Bestanden te Decoderen Gecodeerd door GandCrab Ransomware (Gratis)
Echter, de nieuwere v5 varianten van het virus zijn nog steeds niet op te sporen en de onderzoekers zijn nog steeds bezig om vooruitgang te boeken in de richting van het decoderen van bestanden.
De codering routing van dit virus begint met de Salsa20 encryptie modus die is sterk en snel en is gemaakt op een zodanige manier om detectie te voorkomen. Het virus wil het coderen van absoluut alle bruikbare bestandstypen in Windows, naast degenen die op de Witte lijst. Voordat u begint met de feitelijke codering, GandCrab ransomware controleert uw computer op de volgende data:
- Gebruikersnaam.
- Naam van de computer.
- Groep de computer behoort.
- Als een antivirusprogramma is geïnstalleerd.
- Het is de taal.
- Het toetsenbord talen.
- Besturingssysteem informatie.
- Harde Schijf Informatie.
- IP-adres.
Het virus stuurt vervolgens de verzamelde informatie voor het command and control-server via de versleutelde communicatie modi. Dan de ransomware-opbrengst voor het coderen van de bestanden op het slachtoffer PC, waar het omvat de volgende bestanden en mappen:
Na de codering is voltooid, afhankelijk van de versie is, GandCrab ransomware kan zelf verwijderen van de bestanden.
We hebben altijd geloofd dat GandCrab en Cerber ransomware werden gemaakt door dezelfde mensen, wat betekent dat dit virus is een zeer geavanceerd en aanhoudende dreiging, die waarschijnlijk zal houden terroizing computers via deze of een andere benaming.
Als je wilt proberen en het terugzetten van bestanden, misschien heb je al ontdekt dat de encryptie die wordt gebruikt door GandCrab is heel moeilijk te breken als uw variant niet onder de decryptable degenen. In dit geval zouden wij adviseren dat u probeert met behulp van de alternatieve file recovery methoden die we hebben hieronder in de “terugzetten” stap. Ze is misschien niet een 100% garantie oplossing voor file recovery, maar met hun hulp, je zou het kunnen dat je op zijn minst een aantal bestanden terug naar normaal. Laatste maar niet de minste, we raden aan dat u een back-up van GandCrab ‘ s ransom note en gecodeerde bestanden, omdat deze virussen zijn gevaarlijk en kan breken uw bestanden buiten de decryptie als u probeert om te knoeien met hen.
Waarschuwing, Veelvoudig Anti-virus scanner mogelijk malware in GandCrab gedetecteerd.
| Anti-Virus Software | Versie | Detectie |
|---|---|---|
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Dr.Web | Adware.Searcher.2467 | |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22224 | MalSign.Generic |
GandCrab gedrag
- GandCrab shows commerciële advertenties
- Integreert in de webbrowser via de GandCrab Grazen verlenging
- GandCrab deactiveert geïnstalleerde beveiligingssoftware.
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Verspreidt zich via pay-per-install of is gebundeld met terts-verschijnende partij software.
- Wijzigingen van gebruiker homepage
- GandCrab verbindt met het internet zonder uw toestemming
- Vertraagt internet-verbinding
- Steelt of gebruikt uw vertrouwelijke gegevens
- Zichzelf installeert zonder machtigingen
- Uw browser omleiden naar geïnfecteerde pagina's.
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
GandCrab verricht Windows OS versies
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GandCrab Geografie
GandCrab elimineren van Windows
GandCrab uit Windows XP verwijderen:
- Klik op Start om het menu te openen.
- Selecteer Het Configuratiescherm en ga naar toevoegen of verwijderen van programma's.
- Kies en Verwijder de ongewenste programma.
Verwijderen GandCrab uit uw Windows 7 en Vista:
- Open menu Start en selecteer Configuratiescherm.
- Verplaatsen naar een programma verwijderen
- Klik met de rechtermuisknop op het ongewenste app en pick verwijderen.
Wissen GandCrab van Windows 8 en 8.1:
- Klik met de rechtermuisknop op de linkerbenedenhoek en selecteer Configuratiescherm.
- Kies een programma verwijderen en Klik met de rechtermuisknop op het ongewenste app.
- Klik op verwijderen .
GandCrab verwijderen uit uw Browsers
GandCrab Verwijdering van Internet Explorer
- Klik op het pictogram van het vistuig en selecteer Internet-opties.
- Ga naar het tabblad Geavanceerd en klikt u op Beginwaarden.
- Controleer verwijderen persoonlijke instellingen en klik op Beginwaarden opnieuw.
- Klik op sluiten en selecteer OK.
- Ga terug naar het pictogram van de versnelling, Invoegtoepassingen beheren → Kies werkbalken en uitbreidingen, en verwijderen ongewenste extensies.
- Ga naar Search Providers en kies een nieuwe standaard zoekmachine
Wissen GandCrab van Mozilla Firefox
- Voer "about:addons" in het URL -veld.
- Ga naar Extensions en verwijderen verdachte browser-extensies
- Klik op het menu, klikt u op het vraagteken en Firefox Helpopenen. Klik op de Firefox knop Vernieuwen en selecteer vernieuwen Firefox om te bevestigen.
Beëindigen GandCrab van Chrome
- Typ in "chrome://extensions" in het veld URL en tik op Enter.
- Beëindigen van onbetrouwbare browser- extensies
- Opnieuw Google Chrome.
- Chrome menu openen, klik op instellingen → Toon geavanceerde instellingen, selecteer Reset browserinstellingen en klikt u op Beginwaarden (optioneel).