Для GandCrab вымогателей распространяется, вирус использует различные формы и методы репликации инфекции. Ниже мы суммировали каждый метод и мы покажем вам больше о них.
Это наиболее часто используемый метод, чтобы заразить компьютер с GandCrab вымогателей. Файл вируса инфекции могут быть различных типов файлов, и эти типы файлов могут быть загружены в электронную почту, где они могут притворяться вполне законные документы. Ниже вы можете увидеть пример такого случая, воспользовавшись .Файл JS (JavaScript), который претендует на изображение:
Когда пользователь открывает сообщение электронной почты, он или она будет видеть файл, содержащийся в архиве. Когда эта зараза файл извлекается и побежал, он вызывает инфекцию с GandCrab вымогателей:
Другой метод, используемый GandCrab , чтобы сделать это как если javascript-файл документ и этот файл может содержаться в .Архиве 7z архивов, которая автоматически извлекает и запускает вирус при открытии он — действительно умный.
Но .JS файлы не единственный способ распространения GandCrab вымогателей, поскольку вредоносные программы авторы также использовали вредоносного ПО Microsoft офисные документы, а также Adobe .PDF-файлов для заражения жертв. Как они используют их для маскировки вредоносного характера фактического документа с obuscators и заразить его вредоносными макросами. Эти макросы, в основном код, который срабатывает каждый раз при нажатии на кнопку «включить содержимое» или «разрешить редактирование» в документе, а после этого инфекция GandCrab неизбежен. Ниже вы можете увидеть, как такая атака может происходить по электронной почте:
Этот метод также очень часто используется и мы видели разработчики GandCrab использовать его раньше. Как Фортинет исследователи уже сообщалось, они обнаружили несколько взломанных сайтов WordPress, который содержал файл инфекцией GandCrab ransoware непосредственно загружен на сайты, которые предлагают трещин программное обеспечение для следующих программ:
- Трещины преобразователя ПСТ объединить 3.3
- Трещины Securitask 2005 1.40 Ч
- Трещины слияния изображения в PDF 2.8.0.4
- Русификатор для Windows ключ пароль предприятие 9.6.2.
Благодаря Фортинет исследователей, можно увидеть несколько скриншотов из этих вирусных сайтов ниже:
Кроме трещин, других инфекций файлы могут также быть загружены новые версии, которые появятся в будущем, как поддельные установки, портативные версии программ, бесплатные программы приложения установщики и многие другие кажущиеся легальные программы, которые оказываются вредоносными.
GandCrab вымогателей является очень стойким опасный, который сложился у многих новых версий на протяжении многих лет. Обобщить эти версии, мы будем обращать внимание на наиболее существенных изменений для каждой версии. Это лучше поможет вам понять, какой вирус Вы имеете дело.
GandCrab В1 (.GDCB)
Первая версия, которую можно назвать GandCrab появились еще в январе 2018. Эксперты по безопасности в Comodo установили, что вирус зашифрованные файлы потерпевших и создается уникальный ключ расшифровки. В GandCrab v1 была первая вымогателей когда-либо использовать тире в кибер-вымогательство схема. В GandCrab вымогателей В1 используется для копирования это вредоносные файлы в папке %AppData%Microsoft в каталоге, а затем внедрить вредоносный код в системный процесс, называемый nslookup.exe. Вирус, используемый для связи pv4bot.whatismyipaddress.com для того, чтобы увидеть, какой IP на зараженный компьютер, а затем выполнить команду nslookup сервис для подключения к GandCrab.bit.a.dnspod.com, с помощью .домен bit. Версия быстро распространилась, но это длилось не долго. Исследователям удалось разработать расшифровщик вируса и вскоре после этого, мошенники остановили распространение инфекции файлов.
GandCrab П2 (.Крабовые)
Этот вариант быстро вышел через неделю после того, исследователям удалось расшифровать первую версию. В нем используется .Крабовые расширение , которое она добавила в файлы, что вирус шифруется, используя новый алгоритм шифрования. Чтобы распространить это, исследователи использовали спам по электронной почте и после того, как инфекция была выполнена, домены для связи были жестко вымогателей.бит и антивирус.бит.
GandCrab В3
Кибер-преступники за GandCrab не перестает развиваться и в апреле они начали инфекцию кампаний в новой версии вируса, то версии v3. В GandCrab В3 итерации целью, чтобы убедиться, что жертвы знают, что оно существует, меняя обои на рабочий стол вашего компьютера это требование выкупа. Вируса также была нацелена на создание страха у пострадавших, имеющих скрипты, которые были добавлены в раздел RunOnce:
Эти лекарства направлены для переключения между обоями и выкуп Примечание текстовый файл вируса автоматически для того, чтобы жертв давлением, заставляя платить выкуп.
GandCrab В4
4-й версии GandCrab вымогателей был выполнить достаточно мероприятий, и к тому же новый .Краб расширение использует, также добавлено много новых обновлений и изменений к нему. Как исследователи в Comodo выяснили, GandCrab В4 используется крошечный алгоритм шифрования, также известный как чай для того, чтобы избежать обнаружения кибер-преступников. Имя этого Сайфер говорит о том, что он используется, чтобы быть очень быстрым в шифровании файлов affter инфекции.
Помимо новоиспеченных обоев, мошенники, за GandCrab вымогателей сейчас начали использовать новые методы распространения вируса — отказы программного обеспечения. Как мы уже упоминали в «разделе» распределения, мошенники загружен трещин и после того, как потерпевшие скачал и запустил их, вымогатели сбросили на ПК. Один вредоносный файл был обнаружен корчить Crack_Merging_Image_to_PDF.exe. Вирус также были добавлены новые возможности, такие как возможность создания пользовательского URL для этого на странице оплаты Тор основан на уникальный идентификатор инфицированного компьютера. Вирус также используется для передачи данных с зараженного компьютера к управляющему серверу, и эти данные также зашифрованы операции XOR для безопасной коммуникации. Не только это, но исследователи считают, что вирус был, вероятно, сделанный в России, так как его использовать очень конкретные ключевые строки, которая называется «jopochlen», который представляет собой сочетание двух русских слов.
Выкуп к сведению GandCrab вымогателей, я был призван KRAB-DECRYPT.txt и вирус проверяет наличие Windows файлов и системные папки, которые она пропускает шифрования, если они создаются в жертву машины, как требование о выкупе. GandCrab В4 не менять имена файлов из зашифрованных файлов. Это был первый раз, где на главной странице GandCrab начали появляться обновленный и новый дизайн:
Другие интересные изменения вируса было то, что он начал, ориентированных на пользователей старше Windows ОС, как Windows XP а также:
GandCrab вымогателей Обновлено — цели Windows XP и более старых серверов
GandCrab У5
5-й версии GandCrab является наиболее значительным и по-прежнему используется сегодня. Вирус вымогателей и обновила обои и все это У5 вариантов он использует случайные расширений файлов с зашифрованных писем. Это наиболее существенно измененную версию вируса, так как он угробил предыдущие алгоритмы шифрования используется он и добавил Salsa20 режим шифрования. Не только это, но кибер-преступников также удалось выяснить, что в разделе выкуп вируса также была изменена на следующую:
Главное текстовый файл с требованием выкупа также был изменен и в настоящее время в следующем виде:
Обои 5.0 версий был также изменен, имеющих версию, выкупа и расширения его добавляют в красный экран:
Основным требованием выкупа в обои вируса началась в следующем виде:
Шифрование GandCrab вымогателей изменился совсем немного за эти годы, и многие его версии были расшифрованы:
Как расшифровать файлы, зашифрованные GandCrab вымогателей (бесплатно)
Тем не менее, новые У5 вариантов вируса по-прежнему обнаружить и исследователи до сих пор пытаются добиться прогресса в расшифровке файлов.
Шифрование маршрутизации этот вирус начинается с Режима Шифрования Salsa20, который является сильным и быстрым и сделан таким образом, чтобы избежать обнаружения. Вирус стремится шифровать абсолютно все используемые типы файлов в Windows, кроме тех, на белом списке. Перед началом шифрования, GandCrab вымогателей проверяет компьютер на следующих данных:
- Имя пользователя.
- Имя компьютера.
- Группе принадлежит компьютер.
- Если установлен антивирус.
- Это язык.
- Это языки клавиатуры.
- Информация об операционной системе.
- Информацию На Жестком Диске.
- IP-адрес.
Затем вирус передает собранную информацию на ее командования и управления сервером через зашифрованные способы общения. Затем, вымогателей переходит к шифрования все файлы на ПК жертвы, где он исключает следующие файлы и папки:
После шифрования будет завершен, в зависимости от версии по, GandCrab вымогателей может самостоятельно удалить его файлы.
Мы всегда считали, что GandCrab и Цербер вымогателей были сделаны одними и теми же людьми, что означает, что этот вирус является очень развитой и постоянной угрозой, что, вероятно, держите terroizing компьютеры либо через это имя или другое.
Если вы хотите, чтобы попытаться восстановить файлы, вы, возможно, догадались, что шифрование, используемое GandCrab довольно трудно сломать, если вашего варианта нет среди decryptable из них. В этом случае мы рекомендуем попробовать использовать альтернативные методы восстановления файлов, которые мы представили ниже в «попытаться восстановить» шаг. Они не могут быть на 100% гарантировать решение для восстановления файлов, но с их помощью, вы можете быть в состоянии получить по крайней мере некоторые файлы вернуться к нормальной жизни. Последнее, но не наименее, мы настоятельно рекомендуем вам сделать резервную копию выкупа GandCrab и зашифрованных файлов, а также, потому что такие вирусы опасны и могут нарушить ваши файлы без возможности расшифровки, если вы попытаетесь вмешиваться в них напрямую.
Предупреждение, множественные антивирусные сканеры обнаружили возможные вредоносные программы в GandCrab.
| Антивирусное программное обеспечение | Версия | Обнаружение |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
поведение GandCrab
- Крадет или использует ваши конфиденциальные данные
- Показывает поддельные предупреждения системы безопасности, всплывающих окон и рекламы.
- Тормозит Интернет-соединение
- Интегрируется в веб-браузере через расширение браузера GandCrab
- GandCrab подключается к сети Интернет без вашего разрешения
- GandCrab показывает коммерческой рекламы
- Распределяет через платить за установку или в комплекте с программным обеспечением сторонних производителей.
- Устанавливает себя без разрешений
- Перенаправление браузера на зараженных страниц.
- Изменение рабочего стола и параметры браузера.
GandCrab осуществляется версий ОС Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
География GandCrab
Ликвидации GandCrab от Windows
Удалите из Windows XP GandCrab:
- Нажмите на начать , чтобы открыть меню.
- Выберите Панель управления и перейти на Установка и удаление программ.
- Выбрать и Удалить нежелательные программы.
Удалить GandCrab от вашего Windows 7 и Vista:
- Откройте меню Пуск и выберите Панель управления.
- Перейти к Удаление программы
- Щелкните правой кнопкой мыши нежелательное приложение и выбрать Удалить.
Стереть GandCrab от Windows 8 и 8.1:
- Щелкните правой кнопкой мыши в нижнем левом углу и выберите Панель управления.
- Выберите удалить программу и щелкните правой кнопкой мыши на нежелательные приложения.
- Нажмите кнопку Удалить .
Удалить из вашего браузеров GandCrab
GandCrab Удаление от Internet Explorer
- Нажмите на значок шестеренки и выберите пункт Свойства обозревателя.
- Перейдите на вкладку Дополнительно и нажмите кнопку Сброс.
- Проверить, Удалить личные настройки и снова нажмите кнопку Сброс .
- Нажмите кнопку Закрыть и нажмите кнопку OK.
- Вернуться к значок шестеренки, выбрать надстройки → панели инструментов и расширенияи удалить нежелательные расширений.
- Перейти к Поставщиков поиска и выбрать новый по умолчанию поисковой системы
Стереть GandCrab от Mozilla Firefox
- В поле URL введите «about:addons».
- Перейти к расширения и удалить расширений подозрительных браузера
- Нажмите на меню, нажмите кнопку с вопросительным знаком и открыть справку Firefox. Нажмите на Firefox кнопку Обновить и выберите Обновить Firefox для подтверждения.
Прекратить GandCrab от Chrome
- В «chrome://extensions» введите в поле URL-адрес и нажмите Enter.
- Прекратить ненадежных браузера расширений
- Перезапустить Google Chrome.
- Откройте меню Chrome, нажмите кнопку Параметры → Показать дополнительные параметры, выберите Сброс настроек браузера и нажмите кнопку Сброс (необязательно).