För GandCrab ransomware att spridas, virus använder olika former av replikering och infektion metoder. Nedan har vi sammanfattat varje metod och vi kan visa dig mer om dem.
Detta är den vanligaste metoden för att infektera en dator med GandCrab ransomware. Virus infektion filen kan vara av olika filtyper och dessa filtyper som kan laddas upp i e-post där de kan låtsas vara legitima handlingar. Nedan kan du se ett exempel på ett sådant fall, ta fördel av .JS (JavaScript-fil) som utger sig för att vara en bild:
När användaren öppnar e-post, han eller hon kommer att se filen som ingår i ett arkiv. När denna infektion filen är extraherad och sprang, det orsakar infektion med GandCrab ransomware:
En annan metod som används av GandCrab är att göra det som om JavaScript-fil är en faktisk handling och den här filen kan ingå i en .7z arkiv som extraherar automatiskt och utför service när du öppnar det – smart faktiskt.
Men .JS-filer är inte det enda sättet att sprida GandCrab ransomware, eftersom malware författare har också använt skadliga Microsoft Office-dokument samt Adobe .PDF-filer för att infektera offer. Hur de använder dem är genom att dölja den faktiska handlingen är skadlig natur med obuscators och infektera den med skadliga Makron. Dessa makron är i grunden en kod som aktiveras varje gång när du klickar på ”Aktivera Innehåll” eller ”Aktivera Redigering” i ett dokument och när detta är gjort, infektion med GandCrab är oundvikligt. Nedan kan du se hur en sådan attack kan ske via e-post:
Denna metod är också mycket vanligt och vi har sett GandCrab utvecklare att använda det innan. Som Fortinet forskare har redan rapporterat, de har upptäckt flera äventyras WordPress webbplatser som innehöll GandCrab ransoware är infektion fil laddas upp direkt på webbplatser som erbjuder programvara sprickor för följande program:
- Spricka SysTools PST Samman 3.3
- Spricka Securitask 2005 1.40 H
- Spricka Sammanslagning Bild till PDF 2.8.0.4
- Spricka för Windows Lösenord Viktig Företag 9.6.2.
Tack för att Fortinet forskare, kan du se några av de skärmdumpar av dessa virus webbplatser nedan:
Förutom sprickor, andra infektioner-filer kan också laddas med nya versioner som sannolikt kommer att finnas i framtiden också, i likhet med falska uppställningar, bärbara versioner av program, freeware app installatörer och många andra till synes legitima program, som visar sig vara skadliga.
GandCrab ransomware är ett mycket persistent threat, som har utvecklats med många nya versioner genom åren. För att sammanfatta dessa versioner, vi kommer att uppmärksamma de mest betydande förändringarna för varje version. Detta kommer att bättre hjälpa dig att förstå vilken typ av virus som du arbetar med.
GandCrab v1 (.GDCB)
Den första versionen som vi kan kalla GandCrab dök upp i januari 2018. Experter på säkerhet vid Comodo har visat att viruset krypterad offer ” filer och skapade en unik krypteringsnyckel. Den GandCrab v1 var den första ransomware att någonsin använda STRECK i en cyber-utpressning systemet. Den GandCrab ransomware v1 används för att kopiera det skadliga filer i mappen %AppData%Microsoft katalog och sedan injicera skadlig kod i ett system process, som kallas nslookup.exe. De virus som används för att kommunicera till pv4bot.whatismyipaddress.com för att se vad som är IP på den infekterade DATORN och kör sedan nslookup tjänst för att ansluta till GandCrab.bit.a.dnspod.com med hjälp av den .lite domän. Den version som sprids snabbt, men det varade inte länge. Forskare har kunnat utforma en decryptor för virus och strax efter det, skurkar slutat sprida smitta filer.
GandCrab v2 (.KRABBA)
Denna variant snabbt kom ut en vecka efter att forskarna hade möjlighet att dekryptera den första versionen. Det används .KRABBA förlängning som att det läggs till filer, så att viruset är krypterad med hjälp av en helt ny krypteringsalgoritm. För att sprida den, använde forskarna spam e-post och efter en infektion var gjort, domäner för kommunikation som användes var hårdkodad till ransomware.bit och zonealarm.lite.
GandCrab v3
Cyber-brottslingar bakom GandCrab inte sluta utvecklas och i April började infektion kampanjer med nya versionen av viruset, en v3. Den GandCrab v3 iteration som syftar till att se till att offren vet att det är det genom att ändra skrivbordsunderlägg på den infekterade datorer för att det är lösen not. Viruset har även syftat till att införa rädsla i offer genom att ha skript som har lagts till i RunOnce-nyckel:
Dessa scrips som syftar till att växla mellan tapet och lösen text-fil av virus automatiskt så att trycket offer till att betala lösen.
GandCrab v4
Den 4: e versionen av GandCrab ransomware gjordes för att utföra ganska aktiviteter och förutom de nya .KRAB förlängning används av det, det läggs också en hel del nya uppdateringar och ändringar. Som forskare vid Comodo har hittat ut, GandCrab v4 används den Lilla krypteringsalgoritm, även känd i den handel som KAFFE-och för att undvika att bli upptäckt av it-brottslingar. Namnet på denna cypher tyder på att det brukade vara mycket snabb kryptering av filer är affter infektion.
Förutom en nyligen gjord tapeter, skurkar, bakom GandCrab ransomware nu har börjat använda nya metoder för att sprida virus – programvara sprickor. Som vi nämnde i ”distribution” ovan, de skurkar som laddas upp sprickor och när offren hämtade och körde dem, ransomware föll på PC. En skadlig fil upptäcktes att posera som Crack_Merging_Image_to_PDF.exe. Viruset hade också lagt till nya funktioner, som möjligheten att skapa en anpassad WEBBADRESS för det är Tor betalning sida som är baserad på den unika ID på den infekterade datorn. Viruset också används för att vidarebefordra data från den infekterade maskinen till det Kommando och Kontroll av server och denna information är också XOR krypterad för säker kommunikation. Inte bara detta, men forskare tror att det var virus sannolikt gjorts i Ryssland, eftersom det används en mycket specifik key string, som kallas ”jopochlen”, som är en kombination av två ryska ord.
Lösen notering av GandCrab ransomware jag blev kallad KRAB-DECRYPT.txt och virus kontroller för flera Windows filer och system mappar som det går att koda Om de är skapade i offrets dator, som att det är lösen not. GandCrab v4 inte ändra filnamn på krypterade filer. Detta var första gången, där betalningen sidan av GandCrab började visas med en uppdaterad och ny design:
Andra intressanta förändringar av viruset var att det började inrikta dig på användare av äldre Windows OS, som Windows XP:
GandCrab Ransomware Uppdaterad – Mål Windows XP och Äldre Servrar
GandCrab v5
Den 5: e versionen av GandCrab är den mest omfattande och används fortfarande idag. Den ransomware virus har uppdaterat det är tapeter och i alla v5 varianter använder slumpmässiga filändelser med kodade brev. Detta är mest påtagligt förändrats version av viruset, eftersom det övergav den tidigare krypteringsalgoritmer som används av den och lade den Salsa20 krypteringsläge. Inte bara detta, men cyber-brottslingar har också lyckats få reda på att lösen sidan av viruset var också ändras till följande:
De viktigaste textfil med lösen notera var också förändrats och är för närvarande ser ut som följande:
Bakgrund för den 5.0 – versioner har också förändrats med den versionen, lösen notering och tillägg som läggs till det i en röd skärm:
De viktigaste gisslan anteckning i tapeter av viruset började se ut som följande:
Kryptering av GandCrab ransomware har förändrats en hel del under åren, och en hel del av det versioner har hittills varit dekrypteras:
Hur Dekryptera Filer Krypterade med GandCrab Ransomware (Gratis)
Men de nyare v5 varianter av viruset är fortfarande omöjlig att upptäcka och forskare försöker fortfarande att göra framsteg mot att avkoda filer.
Kryptering dirigering av detta virus börjar med Salsa20 krypteringsmetod som är stark och snabb och är gjort på ett sådant sätt att undvika att bli upptäckt. Viruset syftar till att kryptera absolut alla användbara filtyper i Windows, förutom de på den Vita listan. Innan du startar den faktiska kryptering, GandCrab ransomware kontrollerar din dator för följande uppgifter:
- Användarnamnet.
- Namnet på datorn.
- Grupp datorn tillhör.
- Om ett antivirusprogram är installerade.
- Det är språket.
- Det är tangentbord språk.
- Information om operativsystem.
- Hårddisk Information.
- IP-adress.
Viruset sedan förmedlar informationen vidare till det kommando och kontroll server via krypterad kommunikation lägen. Då ransomware fortsätter att kryptera alla filer på de utsatta PC, där det utesluter följande filer och mappar:
Efter kryptering har slutförts, beroende på vilken version det är i, GandCrab ransomware kan själv ta bort dess filer.
Vi har alltid trott att GandCrab och Cerber ransomware var gjord av samma personer, vilket innebär att detta virus är en mycket avancerad och ständiga hot, som sannolikt kommer att hålla terroizing datorer, antingen via namn eller en annan.
Om du vill prova och återställa filer, du kanske har räknat ut vid det här laget att den kryptering som används av GandCrab är ganska svårt att bryta om din variant är inte bland de decryptable och kära. I detta fall rekommenderar vi att du prova att använda alternativa metoder fil återvinning som vi har lämnat nedan i ”återställa” i steg. De får inte vara en 100% garanti lösning för file recovery, men med deras stöd, du kanske kan få åtminstone några filer tillbaka till det normala. Sist men inte minst vill vi starkt rekommendera att du gör en säkerhetskopia av GandCrab lösen notering och krypterade filer, eftersom sådana virus är farligt och kan förstöra dina filer utanför dekryptering om du försöker mixtra med dem direkt.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i GandCrab.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Dr.Web | Adware.Searcher.2467 | |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
GandCrab beteende
- Stjäl eller använder dina konfidentiella Data
- Saktar internet-anslutning
- Omdirigera webbläsaren till infekterade sidor.
- Ändrar skrivbordet och webbläsarinställningar.
- GandCrab ansluter till internet utan din tillåtelse
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
GandCrab verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GandCrab geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).