Denna analys har skapats för att informera dig och visa dig med instruktioner hur du kan ta bort GANDCRAB 5.1 ransomware virus från din dator och hur du kan försöka återställa filer, krypterade med det.
För att infektera en viss dator, version 5.1 av GANDCRAB ransomware använder olika typer av metoder och smitta filer.
Primär infektion metod som kan användas i samband med att GANDCRAB 5.1 infektion är e-post som är sammansatt på följande sätt:
Förutom ”Faktura #93611″ ämnen ovan, vi har också upptäckt andra falska ämnet e-post:
- Dokument #72170
- Faktura #21613
- För #87884
- Betalning #72985
- Ticket #07009
- Dokumentet #78391
- Din Beställning #16323
- Din Biljett #23428
E-post innehåller ett e-postmeddelande som är ofta en skadlig .JS(JavaScript), en .doc (Microsoft Word) eller .PDF (Adobe Reader) fil som leder till en .docx-fil. Filen heter slumpmässigt, som exempel i samband med GANDCRAB som vi upptäckas tidigare utställningar:
Om den skadliga filen från .JS typ (JavaScript), helt enkelt hämta och köra det kommer att resultera i att infektera din dator, som vi har visat nedan:
Om den skadliga filen är ett dokument, då infektionen kommer att gå igenom skadliga makron som är inbyggda i Microsoft Office eller Adobe PDF-dokument och de vill att du ska Aktivera Innehåll eller Aktivera Redigering för att se vad som finns i dokumentet. Klicka på ”Aktivera Redigering” – knappen resulterar i följande infektion aktiviteter att äga rum:
Förutom via e-post, infektion processen med GANDCRAB 5.1 ransomare får ske online. Forskare vid Fortinet(https://www.fortinet.com/blog/threat-research/GANDCRAB-v4-0-analysis-new-shell-same-old-menace.html) har tidigare upptäckts GANDCRAB att infektera användarna genom att låtsas vara en programvara spricka av följande program:
- Sammanslagning Bild till PDF.
- Securitask.
- SysTools PST Samman.
Mer information om GANDCRAB infekterar offer via programvara sprickor kan hittas i den relaterade artikeln nedanför:
GANDCRAB 4 Ransomware Nu Smittar Via Programvara Sprickor
De viktigaste infektion fil av GANDCRAB 5.1 ransomware virus som har rapporterats ha följande IOCs (Identificators av Kompromiss):
När denna fil är tappade på din dator, kan det omedelbart utlösa Windows komponent ”wmic.exe” som administratör för att ta bort skuggan volym kopior av din PC. Detta kommer att hindra dig från att återställa dina filer via Windows Recovery service. GANDCRAB 5.1 utlöser följande kommando som administratör i Windows Kommandotolken:
Så snart som GANDCRAB 5.1 har tagit bort säkerhetskopierade filer, ransomware börjar det släppa det lösen not-fil, vilken har följande budskap till offer för viruset:
Lösen observera att detta särskilt urval av GANDCRAB 5.1 som vi har analyserat leder offer till följande lösen not webbsida, som bara kan öppnas i TOR browser som anges i anvisningarna:
När offret är betalningstiden timern löper ut, GANDCRAB kan också visa följande version av lösen notering som säger att priset har fördubblats.
Lösen observera följande anvisningar för att offren:
Och i tillägg till dessa verksamheter, GANDCRAB ransomware kan också så småningom ändra skrivbordsunderlägg på den infekterade datorn med följande bild:
Och i lösen not sida, virus ger 1 krypterad fil för gratis nedladdning, bara så att offret kan se att det fungerar. Vilket innebär i princip att de kan innehålla virus Trojan förmåga att kopiera filer från den infekterade maskinen och ladda upp dem på TOR:
De viktigaste krypteringsalgoritm som används av GANDCRAB 5.1 är Salsa20 chiffer. Till skillnad från RSA och AES-kryptering algoritmer, Salsa20 är mycket snabbare och kan kryptera alla filer i runt under en minuts tid. Precis som andra GANDCRAB versioner, v5.1 använder också slumpmässiga file extension som det gärna annonser till de krypterade filerna när den krypterar dem. Filerna blir äggröra och ser ut som bilden nedan visar:
Den ransomware går att kryptera filer (om de finns i följande Windows kataloger:
Krypteringen av GANDCRAB ransomware bedrivs på ett sätt som viruset sannolikt skapar kopior av de ursprungliga filerna och sedan krypterar dessa kopior genom att ersätta block av data från filen med kodade data. Cyber-brottslingar kan ta bort de ursprungliga filerna och sedan de tar bort den skugga kopior också, det verkar finnas en liten chans att återställa filer om du betalar skurkar, som vi rekommenderar starkt att avstå från att göra.
Innan du börjar även tänka på att ta bort GANDCRAB 5.1 ransomware, vi skulle rekommendera att du gör en backup på dina filer, även om de är krypterade, eftersom om du försöker att remvoe denna variant av GANDCRAB, är chansen att din DATOR kan fel och bryta ned dina OS oåterkalleligt.
För borttagning av GANDCRAB 5.1, vi har förberett stegen nedan. Se till att följa de första två steg endast om du har några erfarenheter av malware avlägsnande och vet vad du gör. Annars skulle vi rekommendera vad de flesta it-säkerhet experter rekommenderar offer – för att skanna din dator för GANDCRAB malware filer med en avancerad anti-malware program och ta bort alla skadliga filer och föremål som hör till det automatiskt.
För fil återvinning, skulle vi föreslår att du kolla in steg ”Försök att Återställa filer krypterade med GANDCRAB 5.1″ nedan. De innehåller flera olika metoder för att förklara vad som återhämtning metod som är bäst för dig och även om de metoder som inte kommer med en 100% garanti för att återställa dina filer, du skulle teoretiskt kunna återskapa åtminstone en del av dina filer.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i GANDCRAB.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| VIPRE Antivirus | 22702 | Wajam (fs) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Dr.Web | Adware.Searcher.2467 | |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
GANDCRAB beteende
- GANDCRAB inaktiveras installerade säkerhetsprogram.
- Gemensam GANDCRAB beteende och några andra emplaining som Textinfo relaterade till beteende
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Stjäl eller använder dina konfidentiella Data
- Saktar internet-anslutning
- Ändrar skrivbordet och webbläsarinställningar.
- GANDCRAB visar kommersiella annonser
- GANDCRAB ansluter till internet utan din tillåtelse
- Installerar sig själv utan behörighet
- Ändrar användarens hemsida
GANDCRAB verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GANDCRAB geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).