Denne analysen har blitt opprettet for å informere deg og vise deg instruksjoner om hvordan du kan fjerne GANDCRAB 5.1 ransomware virus fra datamaskinen, og hvordan du kan prøve å gjenopprette filer, krypterte av det.
For å infisere en gitt datamaskin, 5.1-versjonen av GANDCRAB ransomware bruker forskjellige typer av metoder og infeksjon filer.
Primær infeksjon metode som er egnet til å bli brukt i forhold til GANDCRAB 5.1 infeksjon er e-post som er sammensatt på følgende måte:
I tillegg til «Betaling Faktura #93611″ fag ovenfor, har vi også oppdaget andre falske motivet e-post:
- Dokumentet #72170
- Faktura #21613
- For #87884
- Betaling #72985
- Billett #07009
- Dokumentet #78391
- Bestillingen #16323
- Din Billett #23428
E-post inneholder et vedlegg til e-post, som ofte er en ondsinnet .JS(JavaScript), en ..xlsx (Microsoft Word) eller .PDF (Adobe Reader) fil som fører til en .docx-fil. Filen heter tilfeldig, som for eksempel forbundet med GANDCRAB som vi oppdaget tidligere viser:
Hvis den skadelige filen er fra .JS-type (JavaScript), er det bare å pakke ut og utfører det vil resultere i å infisere datamaskinen din, som vi har vist nedenfor:
Hvis den skadelige filen er et dokument, så infeksjonen vil gå gjennom ondsinnede makroer som er innebygd i Microsoft Office eller Adobe PDF-dokument og de vil ha deg til å Aktivere Innhold eller Aktiver Redigering for å se hva som er i dokumentet. Ved å klikke på denne «Aktiver Redigering» – knappen resulterer i følgende infeksjon aktiviteter skal finne sted:
Foruten via e-post, infeksjon prosessen med GANDCRAB 5.1 ransomare kan ta sted på nettet. Forskere ved Fortinet(https://www.fortinet.com/blog/threat-research/GANDCRAB-v4-0-analysis-new-shell-same-old-menace.html) har oppdaget tidligere GANDCRAB til å infisere brukere ved å late til å være en programvare knekke av følgende programmer:
- Sammenslåing Bilde til PDF.
- Securitask.
- SysTools PST Merge.
Mer informasjon om GANDCRAB infisere ofrene via programvare sprekker kan bli funnet i den tilknyttede artikkelen under:
GANDCRAB 4 Ransomware Nå Smitter Via Programvare Sprekker
Den viktigste infeksjon fil av GANDCRAB 5.1 ransomware virus har blitt rapportert å ha følgende IOCs (Identificators av Kompromiss):
Når denne filen er falt på datamaskinen, kan det umiddelbart utløse Windows komponent «wmic.exe» som administrator for å slette skyggen volum kopier til din PC. Dette vil hindre deg fra å gjenopprette filer via Windows Recovery service. GANDCRAB 5.1 utløser følgende kommando som administrator i Windows Ledeteksten:
Så snart GANDCRAB 5.1 har slettet filer som har vært sikkerhetskopiert, ransomware begynner å slippe det løsepenger merk filen, som har følgende melding til ofrene for virus:
Løsepenger merk av denne bestemt utvalg av GANDCRAB 5.1 som vi har analysert fører ofre til følgende løsepenger merk web-side, som du kan bare åpnes i TOR nettleser som er oppført i instruksjonene:
Når offeret er fristen tiden har gått ut, GANDCRAB kan også vise følgende versjon av løsepenger notat, som sier prisen er doblet.
Løsepenger note har følgende instruksjoner til å ofre:
Og i tillegg til disse aktivitetene, GANDCRAB ransomware kan også eventuelt endre bakgrunnsbilde på den infiserte datamaskinen med følgende bilde:
Og i løsepenger notat side, viruset tilbyr 1 kryptert fil for gratis nedlasting, slik at offeret kan se at det fungerer. Som i utgangspunktet betyr at viruset kan inneholde Trojanske evner til å kopiere filer fra den infiserte maskinen og laste dem opp på TOR:
Den viktigste krypteringsalgoritmen som brukes av GANDCRAB 5.1 er Salsa20 cipher. I motsetning til RSA og AES-kryptering algoritmer, Salsa20 er mye raskere og kan kryptere alle filene i rundt under en liten tid. Akkurat som andre GANDCRAB versjoner, v5.1 bruker også random file extension som det gjerne annonser til de krypterte filene etter at den krypterer dem. Filene blir kryptert og ser ut som bildet under viser:
Ransomware hopper kryptere filer hvis de er plassert i følgende Windows kataloger:
Krypteringsprosessen av GANDCRAB ransomware er gjennomført på en måte som virus sannsynlig lager kopier av de originale filene og deretter krypterer de kopier ved å bytte blokker av data fra fil med krypterte data. Cyber-kriminelle kan slette de opprinnelige filene, og siden de slette skyggekopier så godt, synes det å være liten sjanse for å gjenopprette filer med mindre du betaler crooks, som vi vil sterkt anbefale å avstå fra å gjøre.
Før du begynner å tenke på å fjerne GANDCRAB 5.1 ransomware, vi anbefaler at du gjør en backup av filer, selv om de er kryptert, fordi hvis du prøver å remvoe denne varianten av GANDCRAB, sjansene er at din PC kan feil og bryte ned dine OS irreversibelt.
For fjerning av GANDCRAB 5.1, har vi laget trinnene nedenfor. Sørg for å følge de to første trinnene bare hvis du har litt erfaring i malware fjerning og vet hva du gjør. Ellers vil vi anbefale hva de fleste cybersecurity eksperter anbefaler ofre – for å skanne datamaskinen din for GANDCRAB malware filer med en avansert anti-malware program og fjerne alle skadelige filer og objekter som tilhører den automatisk.
For file recovery, anbefaler vi at du sjekker ut step», Prøv å Gjenopprette filer som er kryptert med GANDCRAB 5.1″ nedenfor. De inneholder flere metoder som forklarer hva utvinning metode er den beste for deg, og selv om de metoder som er gitt ikke kommer med en 100% garanti for å gjenopprette filer, du kan teoretisk være i stand til å gjenopprette minst noen av filene dine.
Advarsel, har flere anti-virusprogrammer oppdaget mulige malware i GANDCRAB.
| Antivirusprogramvare | Versjon | Gjenkjenning |
|---|---|---|
| Dr.Web | Adware.Searcher.2467 | |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
GANDCRAB atferd
- Endrer Desktop og webleserinnstillinger.
- GANDCRAB deaktiverer installert sikkerhetsprogramvare.
- Installerer selv uten tillatelser
- Vanlige GANDCRAB atferd og noen andre tekst emplaining som informasjon knyttet til problemet
- GANDCRAB kobles til Internett uten din tillatelse
- Bremser internettforbindelse
- Omdirigere nettleseren til infiserte sider.
- Endrer brukerens hjemmeside
- GANDCRAB viser kommersielle annonser
- Integreres nettleseren via nettleserutvidelse GANDCRAB
- Stjeler eller bruker din fortrolig Data
- Distribuerer seg selv via betal-per-installere eller er samlet med tredjepartsprogramvare.
GANDCRAB berørt Windows OS-versjoner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GANDCRAB geografi
Eliminere GANDCRAB fra Windows
Slett GANDCRAB fra Windows XP:
- Klikk på Start for å åpne menyen.
- Velg Kontrollpanel og gå til sammenlegge eller fjerne planer.
- Velge og fjerne det uønskede programmet.
Fjern GANDCRAB fra din Windows 7 og Vista:
- Åpne Start -menyen og velg Kontrollpanel.
- Flytte til Avinstaller et program
- Høyreklikk uønskede programmet og velg Avinstaller.
Slett GANDCRAB fra Windows 8 og 8.1:
- Høyreklikk på nederst til venstre og velg Kontrollpanel.
- Velg Avinstaller et program og Høyreklikk på uønskede app.
- Klikk Avinstaller .
Slett GANDCRAB fra din nettlesere
GANDCRAB Fjerning av Internet Explorer
- Klikk på Gear-ikonet og velg Alternativer for Internett.
- Gå til kategorien Avansert og klikk Tilbakestill.
- Når du sletter personlige innstillinger , og klikk Tilbakestill igjen.
- Klikk Lukk og velg OK.
- Gå tilbake til girikonet, velge Administrer tillegg → verktøylinjer og utvidelser, og slette uønskede utvidelser.
- Gå til Søkeleverandører og velg en ny standard søkemotor
Slette GANDCRAB fra Mozilla Firefox
- Angi "about:addons" i URL -feltet.
- Gå til utvidelser og slette mistenkelige leserutvidelser
- Klikk på menyen, klikker du spørsmålstegnet og åpne Firefox hjelp. Klikk på Oppdater Firefox-knappen og velg Oppdater Firefox å bekrefte.
Avslutte GANDCRAB fra Chrome
- Skriv inn "chrome://extensions" i URL -feltet og trykk Enter.
- Avslutte upålitelige kikker extensions
- Starte Google Chrome.
- Åpne Chrome-menyen, klikk Innstillinger → Vis avanserte innstillinger, Velg Tilbakestill leserinnstillinger og klikk Tilbakestill (valgfritt).