Dla GandCrab ransomware rozprzestrzenia się wirus wykorzystuje różne formy i metody replikacji zakażenia. Poniżej суммировали każda metoda i pokażemy więcej o nich.
Jest to najczęściej stosowana metoda, aby zainfekować komputer z GandCrab szkodnika. Plik wirusa zakażenia mogą być różnych typów plików, a te typy plików mogą być przesłane w wiadomości e-mail, gdzie mogą udawać legalnych dokumentów. Poniżej można zobaczyć przykład takiego przypadku, korzystając z .Plik JS (JavaScript), który twierdzi, że obraz:
Gdy użytkownik otworzy wiadomość e-mail, on lub ona będzie zobaczyć plik znajdujący się w archiwum. Kiedy ta zaraza plik jest pobierany i pobiegł, powoduje infekcję z GandCrab ransomware:
Inna metoda, stosowana GandCrab , aby zrobić to jak javascript-plik, dokument i plik ten może znajdować się w .Archiwum 7z archiwum, która automatycznie pobiera i uruchamia wirus po otwarciu on jest naprawdę inteligentny.
Ale .JS nie jest jedynym sposobem dystrybucji GandCrab szkodnika, ponieważ złośliwe programy autory także używali złośliwym oprogramowaniem firmy Microsoft dokumenty biurowe, a także Adobe .Plików PDF do infekowania ofiar. Jak używają ich do ukrywania złośliwego charakteru rzeczywistego dokumentu z obuscators i zainfekowania go złośliwym makrami. Te makra, w zasadzie kod, który działa za każdym razem po kliknięciu na przycisk „włącz zawartość” lub „zezwalaj na edycję” w dokumencie, a następnie zakażenie GandCrab jest nieuniknione. Poniżej można zobaczyć, jak taki atak może nastąpić na e-mail:
Ta metoda jest również bardzo często stosowany i widzieliśmy twórcy GandCrab używać go wcześniej. Jak Фортинет naukowcy już wcześniej informowaliśmy, odkryli kilka zainfekowanych stron internetowych WordPress, który zawierał plik infekcją GandCrab ransoware bezpośrednio pobrać na strony internetowe, które oferują pęknięć oprogramowanie dla następujących programów:
- Pęknięcia konwerter ПСТ połączyć 3.3
- Pęknięcia Securitask 2005 1.40 Godz.
- Pęknięcia scalania obrazu w PDF 2.8.0.4
- Softonic dla Windows klucz hasło przedsiębiorstwo 9.6.2.
Dzięki Фортинет badaczy, można zobaczyć kilka zrzutów ekranu z tych wirusów stron poniżej:
Oprócz pęknięć, innych zakażeń pliki mogą być również przesłane nowe wersje, które pojawią się w przyszłości, jak fałszywe zabudowy, przenośne wersje programów, darmowe programy, aplikacje instalatorów i wiele innych pozornie legalne programy, które są szkodliwe.
GandCrab ransomware jest bardzo trwałe zagrożenie, który ukształtował się wiele nowych wersji przez wiele lat. Podsumować te wersje, będziemy zwracać uwagę na najbardziej istotnych zmian dla każdej wersji. Lepsze to pomoże ci zrozumieć, w jaki wirus masz do czynienia.
GandCrab B1 (.GDCB)
Pierwsza wersja, którą można nazwać GandCrab pojawiły się jeszcze w styczniu 2018. Eksperci ds. bezpieczeństwa w Kaspersky odkryli, że wirus pliki zaszyfrowane ofiar i tworzy unikatowy klucz deszyfrowania. W GandCrab v1 była pierwsza ransomware nigdy nie używać kreska w cyber-wymuszenie schemat. W GandCrab ransomware B1 służy do kopiowania to szkodliwe pliki w folderze %AppData%Microsoft w katalogu, a następnie wstrzyknięcie złośliwego kodu do systemu proces zwany nslookup.exe. Wirus, który jest używany do komunikacji pv4bot.whatismyipaddress.com aby zobaczyć, jaki jest IP na zainfekowany komputer, a następnie uruchom polecenie nslookup serwis do podłączenia do GandCrab.bit.a.dnspod.com z pomocą .domena bit. Wersja szybko rozprzestrzenił się, ale to nie trwało długo. Badaczom udało się opracować расшифровщик wirusa i wkrótce po tym, oszuści zatrzymał rozprzestrzenianiu się infekcji plików.
GandCrab N2 (.Kraby)
Wariant ten szybko wyszedł tydzień po tym, badaczom udało się rozszyfrować pierwszą wersję. Zastosowano w nim .Kraby rozszerzenie , która dodała do plików, że wirus jest szyfrowana przy użyciu nowego algorytmu szyfrowania. Aby rozpowszechnić to, oficery śledczy używali spam e-mail i po tym, jak infekcja została wykonana, domeny do komunikacji były sztywno szkodnika.bit i antywirusowe.bit.
GandCrab B3
Cyber-przestępcy za GandCrab nie przestaje się rozwijać i w kwietniu zaczęli infekcję kampanii w nowej wersji wirusa, to w wersji v3. W GandCrab B3 iteracji w celu, aby upewnić się, że ofiary wiedzą, że ono istnieje, zmieniając tapetę na pulpit swojego komputera to żądanie okupu. Wirus został również skierowany na tworzenie lęku u ofiar, które mają skrypty, które zostały dodane do sekcji RunOnce:
Leki te są skierowane do przełączania między tapety i okup Uwaga plik tekstowy wirusa automatycznie w celu ofiar ciśnieniem do płacenia okupu.
GandCrab B4
4. wersja GandCrab ransomware został wykonać tyle imprez, i do tego nowy .Krab rozszerzenie używa, także dodano wiele nowych aktualizacji i zmian do niego. Jak naukowcy w Comodo okazało się, GandCrab B4 służy mały algorytm szyfrowania, znany również jako herbata do tego, aby uniknąć wykrycia przez cyberprzestępców. Nazwa tego Cypher mówi o tym, że jest on używany, aby być bardzo szybki w szyfrowaniu plików affter zakażenia.
Oprócz nowych tapet, oszuści, za GandCrab ransomware teraz zaczęto stosować nowe metody rozprzestrzeniania się wirusa – awarie oprogramowania. Jak już wspomniano w sekcji” dystrybucji, oszuści załadowany pęknięć i po tym, jak ofiary ściągnąłem i uruchomiłem je, ransomware zrzucili na PC. Jeden złośliwy plik został wykryty zatwardzenie Crack_Merging_Image_to_PDF.exe. Wirus dodano również nowe funkcje, takie jak możliwość tworzenia niestandardowego adresu URL dla tego na stronie płatności Tor opiera się na unikatowy identyfikator zainfekowanego komputera. Wirus jest również używany do transmisji danych z zainfekowanego komputera do zarządcy serwera, i te dane również są szyfrowane operacji XOR dla bezpiecznej komunikacji. Nie tylko to, ale naukowcy uważają, że wirus został prawdopodobnie wykonany w Rosji, tak jak go używać bardzo konkretne słowa wiersza, który nazywa się „jopochlen”, który jest połączeniem dwóch angielskich słów.
Okup do wiadomości GandCrab ransomware, nie został powołany KRAB-DECRYPT.txt i wirus sprawdza Windows plików i folderów systemowych, które przepuszcza szyfrowania, jeśli są one tworzone w ofierze maszyny, jak żądanie okupu. GandCrab B4 nie zmieniać nazwy plików z zaszyfrowanych plików. To był pierwszy raz, gdzie na głównej stronie GandCrab zaczęły pojawiać się aktualizacja i nowy projekt:
Inne ciekawe zmiany wirusa było to, że on zaczął, zorientowanych na użytkowników w wieku powyżej Windows SYSTEMU, jak Windows XP a także:
GandCrab ransomware Aktualizacja – cele Windows XP i starszych serwera
GandCrab У5
Wersja 5 GandCrab jest najbardziej znaczące i nadal jest używany do dziś. Wirus ransomware i zaktualizowała tapety i wszystko to У5 opcji wykorzystuje losowe rozszerzeń plików zaszyfrowanych wiadomości e-mail. Jest to najbardziej znacząco zmodyfikowaną wersję wirusa, tak jak on porzucił poprzednie algorytmy szyfrowania używany jest on i dodał Salsa20 tryb szyfrowania. Nie tylko to, ale cyberprzestępców również udało się domyślić, że w dziale okup wirusa również został zmieniony na następujący:
Najważniejsze jest to plik tekstowy z żądaniem okupu również został zmieniony i obecnie w następującej postaci:
Tapety 5.0 wersji został również zmieniony, mających wersji, wykupu i rozszerzenie dodaje się go w czerwony ekran:
Głównym żądaniem okupu w tapety wirusa rozpoczęła się w następującej postaci:
Szyfrowanie GandCrab ransomware zmienił się trochę przez te lata, a wiele jego wersji zostały spisane:
Jak odszyfrować pliki zaszyfrowane GandCrab ransomware (za darmo)
Niemniej jednak, nowe У5 wariantów wirusa nadal wykrywać i naukowcy wciąż starają się osiągnąć postępu w odszyfrowywania plików.
Szyfrowanie routingu wirus ten rozpoczyna się z Trybu Szyfrowania Salsa20, który jest silny i szybki i wykonana w taki sposób, aby uniknąć wykrycia. Wirus stara się szyfrować absolutnie wszystkie rodzaje plików w Windows, z wyjątkiem tych, na białej liście. Przed rozpoczęciem szyfrowania, GandCrab ransomware sprawdzić komputer na następujących danych:
- Nazwa użytkownika.
- Nazwa komputera.
- Grupa należy komputer.
- Jeśli jest zainstalowany program antywirusowy.
- To język.
- To języki klawiatury.
- Informacje o systemie operacyjnym.
- Informacje Na Dysku Twardym.
- Adres IP.
Następnie wirus przekazuje zebrane informacje na jej dowodzenia i zarządzania serwerem poprzez zaszyfrowane sposoby komunikowania się. Następnie, ransomware przechodzi do szyfrowania wszystkich plików na KOMPUTERZE ofiary, gdzie eliminuje następujące pliki i foldery:
Po szyfrowania zostanie zakończony, w zależności od wersji oprogramowania, GandCrab ransomware może samodzielnie usunąć jego pliki.
Zawsze uważaliśmy, że GandCrab i Cerber ransomware zostały wykonane tymi samymi ludźmi, co oznacza, że wirus ten jest bardzo dobrze rozwinięta i stałe zagrożenie, że, prawdopodobnie, trzymaj terroizing komputery albo przez to nazwę lub więcej.
Jeśli chcesz, aby spróbować odzyskać pliki, można się domyślić, że szyfrowanie używane GandCrab dość trudne do złamania, jeśli opcji nie ma wśród decryptable z nich. W tym przypadku zaleca się, aby spróbować wykorzystać alternatywne metody odzyskiwania plików, które podajemy poniżej w „spróbować odzyskać” krok. Oni nie mogą być w 100% zagwarantować, że rozwiązanie do odzyskiwania plików, ale z ich pomocą, może być w stanie uzyskać co najmniej niektóre pliki wrócić do normalnego życia. Ostatni, ale nie najmniej, zalecamy wykonać kopię zapasową wykluczenia GandCrab i zaszyfrowanych plików, a także dlatego, że takie wirusy są niebezpieczne i mogą zakłócić swoje pliki bez możliwości odszyfrowania, jeśli spróbujesz ingerować w nich bezpośrednio.
Ostrzeżenie, wieloraki anty-wirus skanery wykryły możliwe malware w GandCrab.
| Oprogramowanie antywirusowe | Wersja | Wykrywanie |
|---|---|---|
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Dr.Web | Adware.Searcher.2467 | |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
Zachowanie GandCrab
- Przekierowanie przeglądarki do zainfekowanych stron.
- Spowalnia połączenie internetowe
- GandCrab dezaktywuje zainstalowane zabezpieczenie oprogramowanie.
- Instaluje się bez uprawnień
- Modyfikuje ustawienia przeglądarki i pulpitu.
- GandCrab zawiera komercyjnych ogłoszeń
- Rozprowadza się przez pay-per rata, albo jest wiązany rezygnować trzeci-strona umowy oprogramowanie.
- Integruje się z przeglądarki internetowej poprzez rozszerzenie przeglądarki GandCrab
- Zmienia stronę użytkownika
- Pokazuje fałszywe alerty zabezpieczeń, pop-upów i reklam.
GandCrab dokonane wersje systemu operacyjnego Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografia GandCrab
Wyeliminować GandCrab z Windows
Usuń GandCrab z Windows XP:
- Kliknij na Start , aby otworzyć menu.
- Wybierz Panel sterowania i przejdź do Dodaj lub usuń programy.
- Wybrać i usunąć niechciane program.
Usuń GandCrab od twój Windows 7 i Vista:
- Otwórz Start menu i wybierz Panel sterowania.
- Przesunąć do odinstalować program
- Kliknij prawym przyciskiem myszy -trzaskać u niechcianych aplikacji i wybierz Odinstaluj.
Wymaż GandCrab od Windows 8 i 8.1:
- Kliknij prawym przyciskiem myszy -trzaskać u lewym dolnym rogu i wybierz Panel sterowania.
- Wybierz Odinstaluj program i kliknij prawym przyciskiem myszy -trzaskać u niechcianych aplikacji.
- Kliknij przycisk Odinstaluj .
Usuń GandCrab od Twojej przeglądarki
GandCrab Usunięcie z Internet Explorer
- Kliknij na ikonkę i wybierz polecenie Opcje internetowe.
- Iść do zaawansowany patka i kliknij przycisk Resetuj.
- Sprawdź usunąć ustawienia osobiste i ponownie kliknij przycisk Reset .
- Kliknij przycisk Zamknij i wybierz OK.
- Wróć do narzędzi ikonę, wybierz Zarządzaj dodatkami → paski narzędzi i rozszerzeniai usunąć niechciane rozszerzeń.
- Przejdź do Wyszukiwarki i wybierz nowy domyślnej wyszukiwarki
Erase GandCrab z Mozilla Firefox
- Wpisz "about:addons" do pola adresu URL .
- Przejdź do rozszerzenia i usunąć rozszerzenia przeglądarki podejrzanych
- Kliknij na menu, kliknij znak zapytania i otworzyć Firefox pomoc. Kliknij na Odśwież Firefox przycisk i wybierz Odśwież Firefox do potwierdzenia.
Zakończyć GandCrab od Chrome
- Typ w "chrome://extensions" w polu adresu URL i naciśnij Enter.
- Zakończyć niewiarygodne przeglądarki rozszerzenia
- Odnawiać zapas towarów Google Chrome.
- Otwórz Chrome menu, kliknij Ustawienia → Pokaż zaawansowane ustawienia, wybierz Resetuj ustawienia przeglądarki i kliknij przycisk Reset (opcjonalne).