Ännu en ny version av GANDCRAB ransomware har upptäckts, den här gången kallade sig för 5.1.6, vilket gör malware forskare nyfiken på huruvida eller inte den ransomware författarna driver med dem eller har de släppt viruset att säljas i den djupa webben marknadsplatser som en tjänst (RaaS). GANDCRAB 5.1.6 är en ransomware virus som syftar till att kryptera filer på datorer som har angripits av den och sedan lämna bakom lösen not tvingade offren att betala lösen i cryptocurrencies in för att få tillgång till sina filer. Om din dator har drabbats av 5.1.6 instans av GANDCRAB ransomware, vi råder dig att läsa följande artikel.
En av de metoder för infektion som används av GANDCRAB 5.1.6 ransomware tror att göras genom att ladda upp en fil på nätet och att det verkar som fil är någon form av ett legitimt program. Ett aktuellt fall av en användare som klagade på vårt forum handlade det om ett spel spricka, om Battlefield 5 och andra spel. Förutom sprickor, andra typer av filer som innehåller GANDCRAB 5.1.6 kan även påträffas ute, till exempel:
- Portabla program.
- Aktivatorer för licenser.
- Keygens.
- Programvara installatörer.
Vid infektion, GANDCRAB 5.1.6 ransomware kan antingen ladda ner det nyttolasten från ett kommando och kontroll (C2C) – servern eller hämta det på den infekterade datorn. Malware använder förvirring tekniker för att undvika att de flesta vanliga antivirus program och infektera tyst. De viktigaste infektion fil av GANDCRAB 5.1.6 uppges vara följande:
Dessutom, GANDCRAB 5.1.6 ransomware kan också släppa andra skadliga filer som stöder de viktigaste nyttolast. Dessa filer är ofta .tmp, .dll-eller .bat-filer och de har ofta slumpmässiga namn och vistas i följande Windows kataloger:
- %Lokala%
- %LocalLow%
- %Roaming%
- %AppData%
- %Temp%
Bland de filer som släpps av GANDCRAB 5.1.6 ransomware är det virus som lösen not, vilken även som en av de främsta tapet på den infekterade datorn:
Förutom bakgrund av GANDCRAB Ransomwarevirus sjunker också att det är lösen not fil i nästan varje mapp, där de krypterade filerna. Lösen not börjar med den slumpmässiga filen tillägg som läggs till de krypterade filerna och slutar med ”-DECRYPT.TXT”. Det är sannolikt att det innehåller följande meddelande:
Lösen notering av virus som syftar till att övertyga offer för att besöka de viktigaste TOR webbsida GANDCRAB 5.1.6, som i likhet med det övriga versioner har ytterligare guider och steg på hur man köper BitCoin eller Zcash att betala lösen. Skurkar och med gå så långt som att erbjuda kundsupport genom att svara på frågor i formuläret ”Kontakta Oss” och de har också stöd för flera språk – allt i namn av lösen betalas. TOR sidan är välgjord och ser ut som följande:
GANDCRAB 5.1.6 ransomware kan också lägga till registerposter som resulterar i att den är skadlig fil som automatiskt sprang efter Windows är force reset. Registret sub-nycklar som kan angripas är sannolikt följande:
I additiion till detta, GANDCRAB 5.1.6 kan också ansluta till följande avlägsna platser:
GANDCRAB 5.1.6 kan också utföra andra aktiviteter på datorer smittas av det:
- Skapa mutexes.
- Touch-system filer av Windows.
- Logga offrets tangenttryckningar.
- Stjäla filer och information på offrets DATOR.
- Ta skärmdumpar.
- Ändrar ansökan katalog.
- Skapar processen med dolda fönster .
- Skriver en ovanligt stor mängd data till registret .
- Försöker att identifiera virtuella maskinen.
- Läser in data relaterade till cookies i webbläsaren
- Lägger filen för att öppna nästa gång Ordet är lanserat
GANDCRAB 5.1.6 ransomware syftar till att kryptera följande typer av filer på den infekterade datorn:
- Bilder.
- Videor.
- Handlingar.
- Databaser.
- Arkiven.
- Skuggkopior.
GANDCRAB 5.1.6 mål filer för kryptering baserade på deras filändelser. Viruset kan söka efter filnamnstillägg i samband med den ofta använda filer av användaren, vilket nästan alltid är bland följande:
Virus krypterar filer genom att koda block av ursprungliga data från filen som är tillräckligt för att få det att verka som om att filen är korrupt. Sedan, GANDCRAB 5.1.6 lägger ett slumpmässigt 10-brev file extension, vilket gör filerna börjar se ut som följande:
Om du vill prova och återställa filer, krypterade med GANDCRAB 5.1.6 ransomware, skulle vi rekommendera att du ger alternativa metoder för återvinning visas under ett försök. De kan inte vara 100% effektiv, men med deras stöd, du kanske kan återställa åtminstone en del av dina krypterade filer.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i GANDCRAB 5.1.6.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Dr.Web | Adware.Searcher.2467 | |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
GANDCRAB 5.1.6 beteende
- GANDCRAB 5.1.6 inaktiveras installerade säkerhetsprogram.
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Saktar internet-anslutning
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- Omdirigera webbläsaren till infekterade sidor.
- Installerar sig själv utan behörighet
- Gemensam GANDCRAB 5.1.6 beteende och några andra emplaining som Textinfo relaterade till beteende
GANDCRAB 5.1.6 verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GANDCRAB 5.1.6 geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).