Pre GandCrab ransomware sa šíri vírus používa rôzne formy replikácie a infekcie metódy. Nižšie, máme zhrnúť jednotlivé metódy a ukážeme si o nich viac.
Je to najčastejšie používaný spôsob infikovať počítač s GandCrab ransomware. Vírus je infekcia, súbor môže byť rôznych typov súborov a tieto typy súborov môžu byť odovzdané do e-mailov, kde môžu predstierať, že je legitímne dokumenty. Nižšie môžete vidieť príklad, ako prípadu, pričom výhodou .JS (JavaScript) súbor, ktorý predstiera, že obrázku:
Keď používateľ otvorí e-mail, on alebo ona bude vidieť súboru v archíve. Pri tejto infekcie súbor je extrahovaná a bežal, spôsobuje infekcie s GandCrab ransomware:
Ďalšia metóda používa GandCrab je, aby sa to, ako keby JavaScript súbor je skutočný dokument a tento súbor môže byť obsiahnuté vo .7z archív, ktorý automaticky rozbalí a vykonáva vírus, keď si ho otvoriť – naozaj šikovný.
Ale .JS súbory nie sú jediný spôsob šírenia GandCrab ransomware, pretože malware autori používajú aj škodlivý dokumenty balíka Microsoft Office, rovnako ako Adobe .PDF súbory infikovať obetí. Spôsob, akým ich použitie je podľa maskovať skutočný dokument je nebezpečný prírody s obuscators a infikovať ho s nebezpečnými Makrá. Tieto makrá sú v podstate kód, ktorý je aktivovaná vždy, keď kliknete na “Povoliť Obsah” alebo “Povoliť Úpravu” v dokumente a akonáhle je to hotovo, infekcie s GandCrab je nevyhnutné. Nižšie môžete vidieť, ako taký útok môže vyskytnúť, cez e-mail:
Táto metóda je tiež veľmi bežne používané a videli sme GandCrab vývojárov, aby sme použili ju pred. Ako Fortinet vedci už informovali, oni objavili viaceré ohrozené WordPress stránky, ktoré sú obsiahnuté GandCrab ransoware je infekcie súbor priamo zverejňované na internetových stránok, ktoré ponúkajú softvér trhliny pre nasledujúce programy:
- Crack SysTools PST Zlúčiť 3.3
- Crack Securitask 2005 1.40 H
- Crack Zlučujúcich sa Obraz vo formáte PDF 2.8.0.4
- Crack pre Windows Heslo Zadajte Enterprise 9.6.2.
Vďaka Fortinet výskumníkov, môžete vidieť niektoré obrázky z týchto vírus miest nižšie:
Okrem trhliny, iné infekcie súbory môžu byť nahrávané s nové verzie, ktoré sú pravdepodobné, že sa objaví v budúcnosti príliš, ako falošných alarmov, prenosné verzie programov, freeware aplikácia, inštalatérov a mnoho ďalších vyzerať legitímne programy, ktoré sa ukáže byť nebezpečný.
GandCrab ransomware je veľmi trvalú hrozbu, ktorá sa vyvinula s mnohými novými verziami v priebehu rokov. Aby sme tieto verzie, budeme venovať pozornosť na najdôležitejšie zmeny pre každú verziu. To bude lepšie pomôže pochopiť, aký druh vírusu, ktorý riešite.
GandCrab v1 (.GDCB)
Prvá verzia, ktorú môžeme volať GandCrab objavil sa späť v januári 2018. Bezpečnostní experti na Comodo zistili, že vírus šifrované obetí súbory a generované jedinečné dešifrovanie kľúča. Na GandCrab v1 bol prvý ransomware vôbec používať POMLČKU v cyber-vydieranie schémy. Na GandCrab ransomware v1 používa na kopírovanie je to škodlivé súbory v %AppData%Microsoft adresár a potom aplikovať škodlivý kód do systému, procesu, s názvom nslookup.exe. Vírus používa na komunikáciu pv4bot.whatismyipaddress.com s cieľom vidieť to, čo je IP na infikovanom POČÍTAČI a potom spustite príkaz nslookup služby ak sa chcete pripojiť k GandCrab.bit.a.dnspod.com pomocou .trochu domény. Verzia šíria rýchlo, ale to netrvalo dlho. Vedci boli schopní vymyslieť decryptor pre vírus a krátko po tom, podvodníci zastavil šírenie infekcie súbory.
GandCrab v2 (.KRAB)
Tento variant rýchlo prišlo týždeň po tom, ako vedci boli schopní dešifrovať prvá verzia. Použila .KRAB rozšírenie , ktoré je pridané do súborov, ktoré vírus šifrované pomocou zbrusu nový šifrovací algoritmus. Šíriť to, výskumníci použili spam e-maily a po infekcii bolo vykonané, domény, pre komunikáciu boli použité napevno na ransomware.bit a zonealarm.bit.
GandCrab v3
V počítačoví zločinci za GandCrab nezastavil sa neustále vyvíja a v apríli začali infekcie kampane predstavovať novú verziu vírus, v3. Na GandCrab v3 iterácia zamerané na uistite sa, že obete vedieť, že tam zmenou tapetu pracovnej plochy na zneužitých počítačov na to, výkupné poznámka. Vírus tiež zamerané na zavedenie strach obete tým, že skripty, ktoré boli pridané v RunOnce kľúč:
Tieto písme zamerané na prepínanie medzi tapetu a výkupné poznámka textový súbor vírusu automaticky, aby sa tlak obete do zaplatenia výkupného.
GandCrab v4
4. verzia GandCrab ransomware bol vyrobený na vykonanie celkom činnosti a okrem toho nového .KRAB rozšírenie používať, sa pridá aj mnoho nových aktualizácií a zmien. Ako výskumníci v Comodo zistili, GandCrab v4 použité Drobné Šifrovací Algoritmus, známe tiež v obchode ako ČAJ s cieľom vyhnúť sa zistí kybernetických zločincov. Názov tejto cypher vyplýva, že je veľmi rýchlo, v šifrovania súborov affter infekcie.
Okrem novo-made tapetu, podvodníci, za GandCrab ransomware teraz sa začali používať nové metódy na šírenie virus – software trhliny. Ako sme sa zmienili v “distribúcia” sekcii, podvodníci odovzdané trhliny a po obetí stiahli a bežala, ransomware je klesol na PC. Jeden nebezpečný súbor bol zistený predstavujú ako Crack_Merging_Image_to_PDF.exe. Vírus sa tiež pridá nové funkcie, ako je napríklad možnosť vytvoriť vlastnú URL pre to Tor stránke platieb na základe jedinečného IDENTIFIKÁTORA infikovanom počítači. Vírus sa tiež používa na prenos dát z infikovaných stroj, ak je to Príkaz a Ovládanie servera a tieto údaje sa tiež XOR šifrované pre bezpečnú komunikáciu. Nie len to, ale vedci sa domnievajú, že vírus bol pravdepodobne vyrobené v Rusku, pretože to používa veľmi špecifické zadajte reťazec s názvom “jopochlen”, ktorý je kombináciou dvoch ruských slov.
Výkupné vedomie GandCrab ransomware som bol povolaný KRAB-DECRYPT.txt a vírus kontroly pre viac Windows súbory a priečinky systému, ktorý preskočí šifrovania, Ak sú vytvorené v obeť stroj, ako je to výkupné poznámka. GandCrab v4 nemal zmeniť názvy súborov šifrované súbory. Bolo to po prvý raz, ak platba stránke GandCrab začali objavovať s aktualizovaný a nový dizajn:
Ďalšie zaujímavé zmeny vírusu bolo, že sa začala zacielená na používateľov starších Windows OS je, ako Windows XP aj:
GandCrab Ransomware Aktualizované – Ciele Windows XP a Staršie Servery
GandCrab v5
5. verziu GandCrab je najvýznamnejšie jeden a je stále používa dnes. Ransomware vírus bol aktualizovaný je to tapetu a vo všetkých je to v5 varianty používa náhodné prípony s písmenami v rozhádzanom. To je najviac výrazne meniť verzia vírus, pretože to upustil predchádzajúcich šifrovanie algoritmov používaných to a pridal Salsa20 šifrovanie režim. Nie len to, ale v počítačoví zločinci majú aj podarilo zistiť, že výkupné stránke vírus bol tiež mení takto:
Hlavný textový súbor s výkupné poznámka bola tiež zmenila a v súčasnosti vyzerá tak, nasledujúce:
Tapety z 5.0 verzie bol zmenil aj s verziou, výkupné poznámka a rozšírenia pridaný v červenom displeji:
Hlavné výkupné poznámka v tapeta vírus začal hľadať ako nasledujúce:
Zašifrovanie GandCrab ransomware zmenilo celkom dosť, v priebehu rokov, a veľa to je verziách doteraz dešifrovať:
Ako Dešifrovať Súbory Šifrované GandCrab Ransomware (Zdarma)
Avšak, novšie v5 varianty vírusu sú stále nemerateľný a výskumných pracovníkov, ktorí sa stále snaží, aby sa dosiahol pokrok smerom k dekódovanie súborov.
Šifrovanie smerovanie tento vírus začína Salsa20 šifrovací mód, ktorý je silný a rýchly a je vyrobený takým spôsobom, aby sa zabránilo odhaleniu. Vírus sa zameriava na šifrovanie úplne všetky použiteľné typy súborov v Windows, okrem tých, na Biely zoznam. Pred začatím skutočný šifrovanie, GandCrab ransomware kontroly počítača pre nasledujúce údaje:
- Užívateľské meno.
- Názov počítača.
- Skupina počítač patrí.
- Ak antivirus je nainštalovaný.
- Je to jazyk.
- Je to jazyky klávesnice.
- Operačný systém informácií.
- Pevný Disk Informácie.
- IP adresa.
Vírus sa potom prenáša zhromaždené informácie na velenie a riadenie server cez šifrované komunikačné módy. Potom, ransomware výnosy šifrovať všetky súbory na obeťou PC, kde sa vylučuje nasledujúcich súborov a priečinkov:
Po šifrovanie bola dokončená v závislosti od verzie je, GandCrab ransomware sa môžu sami odstrániť súbory.
Vždy sme verili, že GandCrab a Cerber ransomware boli vyrobené podľa rovnakých ľudí, čo znamená, že tento vírus je veľmi rozšírené a trvalú hrozbu, že bude pravdepodobne udržať terroizing počítače buď cez tento názov alebo iný.
Ak si chcete vyskúšať a obnoviť súbory, môžete mať prišiel na to, teraz, že šifrovanie používa GandCrab je veľmi ťažké prelomiť, ak váš variant nie je medzi decryptable ty. V tomto prípade by sme sa poradiť, aby ste skúste použiť súbor alternatívnych metód obnovy sme uvedené nižšie v “skúste obnoviť” krok. Nemusia byť 100% záruka riešenie pre file recovery, ale s ich pomoc, môžete byť schopní dostať aspoň niektoré súbory späť do normálneho. V neposlednom rade, by sme dôrazne odporúčame, aby ste si urobiť zálohu GandCrab je výkupné poznámka a šifrované súbory rovnako, pretože takéto vírusy sú nebezpečné a môže zlomiť vaše súbory mimo dešifrovanie ak sa budete snažiť narušiť ich priamo.
Upozornenie, multiple Anti-Virus Skenery zistili možné malware v GandCrab.
| Anti-virus softvér | Verzia | Detekcia |
|---|---|---|
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Dr.Web | Adware.Searcher.2467 | |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
GandCrab správanie
- Distribuuje sám cez pay-per-Inštalácia alebo je dodávaný s tretej-party software.
- GandCrab deaktivuje nainštalovaný bezpečnostný softvér.
- Spoločné GandCrab správanie a niektoré ďalšie textové emplaining som informácie súvisiace správanie
- Inštaluje bez povolenia
- Integruje do webového prehliadača cez rozšírenie prehliadača GandCrab
- Upraví pracovnú plochu a nastavenia prehliadača.
- GandCrab sa pripája k internetu bez vášho súhlasu
- Zmeny domovskej stránky používateľa
GandCrab uskutočnené verzie Windows OS
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
GandCrab geografia
Odstránenie GandCrab z Windows
Odstrániť GandCrab od Windows XP:
- Kliknite na Štart otvorte ponuku.
- Vyberte položku Ovládací Panel a prejsť na Pridať alebo odstrániť programy.
- Vybrať a odstrániť nežiaduce program.
Odstrániť GandCrab z vášho Windows 7 a Vista:
- Otvorte ponuku Štart a vyberte Ovládací Panel.
- Prejsť na Odinštalovanie programu
- Kliknite pravým tlačidlom myši na nechcené aplikácie a vyberte odinštalovať.
Vymazať GandCrab z Windows 8 a 8.1:
- Pravým tlačidlom myši kliknite na ľavom dolnom rohu a vyberte Ovládací Panel.
- Vyberte si program odinštalovať a kliknite pravým tlačidlom myši na nechcené aplikácie.
- Kliknite na tlačidlo odinštalovať .
Odstrániť GandCrab z vášho prehliadača
GandCrab Odstránenie z Internet Explorer
- Kliknite na ikonu ozubeného kolieska a vyberte položku Možnosti siete Internet.
- Prejdite na kartu Rozšírené a kliknite na tlačidlo obnoviť.
- Skontrolujte, Odstrániť osobné nastavenia a znova kliknite na tlačidlo obnoviť .
- Kliknite na tlačidlo Zavrieť a vyberte OK.
- Prejsť späť na ikonu ozubeného kolesa, vyberte Spravovať doplnky → Panely s nástrojmi a rozšíreniaa odstrániť nechcené rozšírenia.
- Prejsť na Poskytovateľov vyhľadávania a vyberte nový predvolený vyhľadávač
Vymazať GandCrab od Mozilla Firefox
- Do poľa URL zadajte "about:addons".
- Ideme do rozšírenia a odstrániť podozrivý rozšírenia
- Kliknite na príkaz ponuky, kliknite na otáznik a otvorte Pomocníka Firefox. Kliknite na aktualizovať tlačidlo Firefox a vyberte obnoviť Firefox potvrdiť.
Ukončiť GandCrab od Chrome
- Do poľa URL zadajte v "chrome://extensions" a kliknite na tlačidlo Enter.
- Ukončiť nespoľahlivé prehliadač rozšírenia
- Reštartujte Google Chrome.
- Chrome ponuke kliknite na položku Nastavenia → Zobraziť rozšírené nastavenia, vyberte Reset nastavenia prehliadača, a kliknite na tlačidlo Reset (voliteľné).