For GandCrab ransomware til å være spredt, virus bruker forskjellige former for replikering og infeksjon metoder. Nedenfor har vi oppsummert hver metode, og vi viser deg mer om dem.
Dette er den mest brukte metoden for å infisere en datamaskin med GandCrab ransomware. Virus infeksjon filen kan være av ulike filtyper og disse filtyper som kan lastes opp i e-poster hvor de kan late til å være legitime dokumenter. Nedenfor kan du se et eksempel på et slikt tilfelle, drar nytte av .JS (JavaScript) fil som later til å være et bilde:
Når brukeren åpner e-postmeldingen, kan han eller hun vil se filen som finnes i et arkiv. Når denne infeksjonen filen er pakket ut og løp, det fører til infeksjon med GandCrab ransomware:
En annen metode som brukes av GandCrab er å gjøre det så dersom JavaScript-fil er en selve dokumentet, og denne filen kan være inneholdt i en .7z arkiv som trekker automatisk og utfører virus når du åpner den, – flink faktisk.
Men .JS-filer er ikke den eneste måten å spre GandCrab ransomware, siden malware forfattere har også brukt ondsinnede Microsoft Office-dokumenter, samt Adobe .PDF-filer for å infisere ofrene. Måten de bruker dem på, er ved å skjule den faktiske dokumentet er ondsinnede natur med obuscators og infisere den med skadelig Makroer. Disse makroene er i utgangspunktet en kode som utløses hver gang når du klikker på «Aktiver Innhold» eller «Aktiver Redigering» i et dokument, og når dette er gjort, infeksjon med GandCrab er uunngåelig. Nedenfor kan du se hvordan et slikt angrep kan skje over e-post:
Denne metoden er også svært vanlig, og vi har sett GandCrab utviklere til å bruke den før. Som Fortinet forskere har allerede rapportert, de har oppdaget flere kompromittert WordPress nettsteder som inneholdt GandCrab ransoware infeksjon filen direkte opp på nettsteder som tilbyr programvare sprekker for følgende programmer:
- Sprekk SysTools PST Merge 3.3
- Sprekk Securitask 2005 1.40 H
- Sprekk Sammenslåing Bilde til PDF 2.8.0.4
- Knekke for Windows Passord-Nøkkel Enterprise 9.6.2.
Takk til Fortinet forskere, du kan se noen av bildene av disse virus nettstedene nedenfor:
I tillegg til sprekker, andre infeksjon filer kan også lastes opp med nye versjoner som er sannsynlig å dukke opp i fremtiden også, som falske oppsett, bærbare versjoner av programmer, freeware app montører og mange andre tilsynelatende legitime programmer, som slår ut for å være skadelig.
GandCrab ransomware er en svært vedvarende trussel, som har utviklet seg med mange nye versjoner opp gjennom årene. For å oppsummere disse versjonene, vil vi betale oppmerksomhet til de mest betydelige endringer for hver versjon. Dette vil bedre hjelpe deg å forstå hva slags virus du arbeider med.
GandCrab v1 (.GDCB)
Den første versjonen som vi kan kalle GandCrab dukket opp igjen i januar 2018. Sikkerhet eksperter på Comodo har etablert at viruset kryptert ofrenes filer og generert en unik dekrypteringsnøkkelen. Den GandCrab v1 var den første ransomware å stadig bruke BINDESTREK i en cyber-utpressing ordningen. Den GandCrab ransomware v1 brukes til å kopiere det er ondsinnede filer i %AppData%Microsoft – katalogen, og deretter sette inn skadelig kode i et system prosessen, som kalles nslookup.exe. Viruset som brukes til å kommunisere pv4bot.whatismyipaddress.com for å se hva som er IP-på den infiserte PC-en og deretter kjøre den nslookup - tjenesten hvis du vil koble til GandCrab.bit.a.dnspod.com bruke den .bit domene. Den versjonen spredte seg raskt, men det gjorde ikke vare lenge. Forskerne var i stand til å utarbeide en decryptor for virus og kort tid etter at crooks sluttet å spre smitte filer.
GandCrab v2 (.KRABBE)
Denne varianten raskt kom ut en uke etter at forskerne var i stand til å dekryptere den første versjonen. Det brukes .KRABBE extension som det lagt til filer, som virus kryptert ved hjelp av en helt ny krypteringsalgoritme. Å spre den, forskere brukt spam e-poster og etter en infeksjon ble gjort, domener for kommunikasjon som ble brukt var hardkodet til å ransomware.bit og zonealarm.bit.
GandCrab v3
Cyber-kriminelle bak GandCrab gjorde ikke stoppe utvikling, og i April har de startet infeksjon kampanjer med ny versjon av viruset, en v3. Den GandCrab v3 iterasjon rettet mot å sørge for at ofrene vet det er der, ved å endre skrivebordsbakgrunnen på den kompromitterte datamaskiner til det er løsepenger notat. Viruset også sikte på å innføre frykt i ofre ved å ha skript som ble lagt i RunOnce nøkkel:
Disse scrips rettet mot å veksle mellom bakgrunn og løsepenger merk tekst-fil av virus automatisk for å presse ofrene til å betale løsepenger.
GandCrab v4
4. versjon av GandCrab ransomware ble laget for å utføre ganske aktiviteter, og i tillegg til den nye .KRAB extension brukes av det, er det også lagt til en rekke nye oppdateringer og endringer i den. Som forskere ved Comodo har funnet ut, GandCrab v4 brukt den Lille krypteringsalgoritme, også kjent i den handelen som TE for å unngå å bli oppdaget av cyber-kriminelle. Navnet på denne cypher tyder på at det er brukt for å være veldig rask i kryptere filer affter infeksjon.
Foruten en nylig laget bakgrunnsbilde, crooks, bak GandCrab ransomware nå har tatt i bruk nye metoder for å spre virus – programvare sprekker. Som vi har nevnt i «distribusjon» ovenfor, crooks lastet opp sprekker, og når ofrene er lastet ned og kjørte dem, ransomware er droppet på PC-en. En ondsinnet fil som ble oppdaget å posere som Crack_Merging_Image_to_PDF.exe. Viruset hadde også lagt til nye funksjoner, for eksempel muligheten til å opprette en tilpasset NETTADRESSE for det er Tor betaling side basert på den unike ID-en for den infiserte datamaskinen. Viruset også brukt til å overføre data fra den infiserte maskinen til det er Kommando og Kontroll server, og disse dataene er også XOR kryptert for en sikker kommunikasjon. Ikke bare dette, men forskere mener at viruset ble trolig laget i Russland, siden det brukes en veldig bestemt nøkkel string, som kalles «jopochlen», som er en kombinasjon av to russiske ord.
Løsepenger merk av GandCrab ransomware jeg ble kalt KRAB-DECRYPT.txt og virus-sjekker for flere Windows filer og system mapper som den hopper kryptere Hvis de er opprettet i offeret maskin, som det er løsepenger notat. GandCrab v4 ikke endre filnavn på den krypterte filer. Dette var første gang, der betalingen side av GandCrab begynte å vises med en oppdatert og nytt design:
Andre interessante endringer av viruset var at det begynte å målrette brukere av eldre Windows OS, som Windows XP også:
GandCrab Ransomware Oppdatert – Mål Windows XP og Eldre Servere
GandCrab v5
5. versjon av GandCrab er den mest betydningsfulle, og er fortsatt brukes i dag. Ransomware virus har oppdatert det er på bakgrunn av det ‘ s v5-variantene bruker tilfeldig filen-utvidelser med eggerøre bokstaver. Dette er den mest vesentlig endret versjon av viruset, siden det ditched forrige kryptering algoritmer som brukes av det og lagt det Salsa20 kryptering. Ikke bare dette, men cyber-kriminelle har også klart å finne ut at løsepenger side av viruset ble også endret til følgende:
Den viktigste tekst-fil med løsepenger merk ble også endret og er for tiden ser ut som følgende:
På bakgrunn av den 5.0 versjonene ble også endret for å ha versjon, løsepenger merk og utvidelser som er lagt til den i en rød-skjermen:
Den viktigste løsepenger notat på bakgrunn av virus i gang og ser ut som følgende:
Kryptering av GandCrab ransomware har endret seg ganske mye gjennom årene, og mye av det er-versjoner har så langt vært dekryptert:
Hvordan å Dekryptere Filer Kryptert med GandCrab Ransomware (Gratis)
Imidlertid, den nye v5 varianter av viruset er fortsatt umulig å oppdage, og forskerne er fortsatt prøver å gjøre fremskritt mot å dekode filene.
Selve føringen av dette viruset begynner med Salsa20 kryptering modus som er sterk og rask, og er laget på en slik måte å unngå å bli oppdaget. Viruset har som mål å kryptere absolutt alle brukbare filtyper i Windows, i tillegg til de på den Hvite listen. Før du starter selve kryptering, GandCrab ransomware sjekker datamaskinen for følgende data:
- Brukernavnet.
- Navnet på datamaskinen.
- Gruppe datamaskinen tilhører.
- Hvis en antivirus er installert.
- Det er språket.
- Det er tastaturet språk.
- Informasjon om operativsystemet.
- Harddisk Informasjon.
- IP-adresse.
Viruset deretter videresender den innsamlede informasjonen til det er kommando og kontroll server via kryptert kommunikasjon moduser. Deretter, den ransomware fortsetter å kryptere alle filene på utsatt PC, hvor det ekskluderer følgende filer og mapper:
Når krypteringen er fullført, avhengig av hvilken versjon det er, GandCrab ransomware kan selv slette det er filer.
Vi har alltid trodd at GandCrab og Cerber ransomware ble laget av de samme menneskene, noe som betyr at dette viruset er en svært avansert og vedvarende trussel, som sannsynligvis kommer til å holde terroizing datamaskiner, enten via dette navnet eller en annen.
Hvis du ønsker å prøve og gjenopprette filer, kan du ha funnet ut nå at krypteringen som brukes av GandCrab er ganske vanskelig å bryte hvis varianten er ikke blant de decryptable seg. I dette tilfelle vil vi anbefale deg at du prøver å bruke de alternative file recovery metoder vi har gitt nedenfor i «prøv å gjenopprette» trinn. De kan ikke være en 100% garanti løsning for file recovery, men med deres hjelp, kan du være i stand til å få i det minste noen filer tilbake til det normale. Sist, men ikke minst, vil vi sterkt anbefaler at du gjør en backup av GandCrab er løsepenger notat og krypterte filer, så vel, fordi slike virus er farlige og kan bryte filer utover dekryptering hvis du prøver å tukle med dem direkte.
Advarsel, har flere anti-virusprogrammer oppdaget mulige malware i GandCrab.
| Antivirusprogramvare | Versjon | Gjenkjenning |
|---|---|---|
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Dr.Web | Adware.Searcher.2467 | |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
GandCrab atferd
- Stjeler eller bruker din fortrolig Data
- Bremser internettforbindelse
- Omdirigere nettleseren til infiserte sider.
- Vanlige GandCrab atferd og noen andre tekst emplaining som informasjon knyttet til problemet
- GandCrab kobles til Internett uten din tillatelse
- GandCrab deaktiverer installert sikkerhetsprogramvare.
- Integreres nettleseren via nettleserutvidelse GandCrab
- Installerer selv uten tillatelser
- GandCrab viser kommersielle annonser
- Distribuerer seg selv via betal-per-installere eller er samlet med tredjepartsprogramvare.
- Viser falske sikkerhetsvarsler Pop-ups og annonser.
- Endrer brukerens hjemmeside
- Endrer Desktop og webleserinnstillinger.
GandCrab berørt Windows OS-versjoner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GandCrab geografi
Eliminere GandCrab fra Windows
Slett GandCrab fra Windows XP:
- Klikk på Start for å åpne menyen.
- Velg Kontrollpanel og gå til sammenlegge eller fjerne planer.
- Velge og fjerne det uønskede programmet.
Fjern GandCrab fra din Windows 7 og Vista:
- Åpne Start -menyen og velg Kontrollpanel.
- Flytte til Avinstaller et program
- Høyreklikk uønskede programmet og velg Avinstaller.
Slett GandCrab fra Windows 8 og 8.1:
- Høyreklikk på nederst til venstre og velg Kontrollpanel.
- Velg Avinstaller et program og Høyreklikk på uønskede app.
- Klikk Avinstaller .
Slett GandCrab fra din nettlesere
GandCrab Fjerning av Internet Explorer
- Klikk på Gear-ikonet og velg Alternativer for Internett.
- Gå til kategorien Avansert og klikk Tilbakestill.
- Når du sletter personlige innstillinger , og klikk Tilbakestill igjen.
- Klikk Lukk og velg OK.
- Gå tilbake til girikonet, velge Administrer tillegg → verktøylinjer og utvidelser, og slette uønskede utvidelser.
- Gå til Søkeleverandører og velg en ny standard søkemotor
Slette GandCrab fra Mozilla Firefox
- Angi "about:addons" i URL -feltet.
- Gå til utvidelser og slette mistenkelige leserutvidelser
- Klikk på menyen, klikker du spørsmålstegnet og åpne Firefox hjelp. Klikk på Oppdater Firefox-knappen og velg Oppdater Firefox å bekrefte.
Avslutte GandCrab fra Chrome
- Skriv inn "chrome://extensions" i URL -feltet og trykk Enter.
- Avslutte upålitelige kikker extensions
- Starte Google Chrome.
- Åpne Chrome-menyen, klikk Innstillinger → Vis avanserte innstillinger, Velg Tilbakestill leserinnstillinger og klikk Tilbakestill (valgfritt).