GANDCRAB 5.0.3 Ransomware - wie man es entfernen (+ Wiederherstellen von Dateien)

GANDCRAB 5.0.3 Virus – Wie funktioniert es Infect

Für die GANDCRAB 5.0.3 Ransomware Virus wirksam zu sein im Laufe der Infektion es ist, die Ransomware zielt repliziert über mehrere verschiedene Methoden, um, die primäre, von denen berichtet über spammed e-mails getragen werden, die bösartigen E-Mail-Anhang enthalten, die sich als wichtige Dokumente. Die primäre Strategie der Hacker ist Opfer in dem Öffnen der Anlage oder einen Klick auf die URL verleiten wollen sie sie, welche löst schließlich den Infektionsprozess.

Diese Arten von E-Mail stellen oft als Nachrichten von großen Unternehmen von den Gleichen von DHL kommen, eBay und viele andere seriöse und massiv genutzten Seiten. Die Anlagen können sich so viele Dokumente von größter Bedeutung darstellen, beispielsweise:

• Stornierung der Bestellung Dokument.
• Rechnung.
• Eingang.
• Banking-Anweisung.
• Andere Dateien.

Die primäre Methode der Infektion, die für die Infektion von der Größe der GANDCRAB Ransomware charakteristisch ist, ist bisher von den Forschern berichtet über böswillige geführt werden PDF-Dateien, Macros, die enthalten, direkt in sie eingebettet. Einmal geöffnet, die PDF-Datei führt dann zu einem Microsoft Word-Dokument, dass bittet das Opfer Bearbeitung zu aktivieren, um den Inhalt des Dokuments zu entsperren. Aktivieren Bearbeiten löst die malicous Makros und die Infektion beginnt. Um am besten zu erklären, wie es funktioniert, Wir haben ein Beispiel Infektion Sequenz enthält alle der Infektion Schritte in einer chronologischen Reihenfolge entworfen:

Und die E-Mails selbst nicht auch von Amateuren gemacht. Sie enthalten scheinbar seriösen Absendern. Hier ist eine bösartige E-Mail eine solche PDF-Datei verbreiten, die enthält GANDCRAB:

Von: “Brandon Ton” Brandon@cdkconstruction.org
Thema: Stromrechnung Feb-6509
Befestigung: Feb-10451.pdf
Hauptteil: Laden Sie die angehängte Datei.

Weiter, GANDCRAB 5.0.3 kann auch Opfer in ähnlicher Weise infizieren als GANDCRAB 5.0.1 tut und das ist bösartigen Riss zu verwenden, um zu replizieren.

verbunden: GandCrab Ransomware Infiziert Jetzt Via Software Risse

Diese Arten von Rissen werden als EXE-Dateien auf einer Wordpress-Website hochgeladen, die entweder von den Malware-Spammer gehackt wird oder durch die Spammer selbst erstellt. Sie ahmen die Aktivatoren für verschiedene kostenlose Programme, die für die Benutzer nützlich sein könnte, die mit Dokumenten arbeiten. Einer der Risse Seiten wurde im Bild unten gezeigt:

GANDCRAB 5.0.3 Ransomware - Was bedeutet es tun

GANDCRAB 5.0.3 Ransomware infiziert Benutzer durch seine schädliche ausführbare Datei ausgeführt wird. Nach aktuelle Berichte, die Probe selbst ist ein JavaScript-Downloader Dateityp, heißt "GandCrab 5.0.3 downloader.js". Es hat die folgenden Indikatoren des Kompromisses:

→ Name: GandCrab 5.0.3 downloader.js
MD5: 595A31A4913951D3EB7211618AE75DEA
Größe: 986 KB
Lage: C:\Benutzer Admin AppData Temp

Das schädliche Skript laicht zwei andere schädliche Prozesse, wahrscheinlich in der gleichen Position. Sie haben die folgenden Namen:

• dsoyaltj.exe
• wermgr.exe

Die schädlichen Prozesse erhalten Administratorrechte und dann die folgenden Befehle in Windows-Eingabeaufforderung als Administrator ausführen:

→ wmic.exe shadow löschen
wmd.exe / c-Timeout -C 5 & del „C“ Windows System32 wermgr.exe“/ f / q
wimeout.exe -c 5

Dann, die Malware fällt es den Erpresserbrief-Datei von Tausenden von Kopien davon in jedem der Ordner, in denen Dateien verschlüsselt werden Erstellen. Der Erpresserbrief enthält die Dateierweiterung der verschlüsselten Dateien und dann das Suffix „-DECRYPT.txt". Es hat die folgende Mitteilung an die Opfer:

- = GANDCRAB V5.0.3 = -
Achtung!
Alle Ihre Dateien, Unterlagen, Fotos, Datenbanken und andere wichtige Dateien sind verschlüsselt und hat die Erweiterung: {5 zufällige Buchstaben}
Die einzige Methode, Dateien wiederherzustellen, ist ein einzigartigen privaten Schlüssel zum Kauf. Nur wir können Sie diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen.
Der Server mit Ihrem Schlüssel ist in einem geschlossenen Netzwerk TOR. Man kann es durch die folgenden Möglichkeiten:
------------------------
| 0. Download-Tor-Browser - https://www.torproject.org/
| 1. Installieren Sie das Tor-Browser
| 2. Öffnen Sie das Tor-Browser
| 3. Öffnen Sie den Link im TOR-Browser https://gandcrabmfe6mnef.onion/{Opfer eindeutige ID}
| 4. Folgen Sie den Anweisungen auf dieser Seite
Auf unserer Seite finden Sie Anweisungen zur Zahlung sehen und die Möglichkeit erhalten, zu entschlüsseln 1 Datei kostenlos.
ACHTUNG!
UM DATENSCHÄDEN ZU VERMEIDEN:
• Ändern Sie NICHT Verschlüsselte Dateien
• Daten ändern NICHT UNTER

Der Hauptzweck des Erpresserbriefes ist Opfer zu bekommen genug, um Angst die Tor Zahlungsseite von GANDCRAB zu besuchen, Das ist eine sehr gut gestaltete Seite für Cyber-Erpressung (siehe Bild unten) das enthält auch „Kunden-Support“ und bietet kostenlose Entschlüsselung 1 Datei:

Weiter, neben dem Erpresserbrief von GANDCRAB 5.0.3, das Virus fällt auch, dass es Erpresserbrief-Datei in dem folgende Windows-Verzeichnis:

→C:\Benutzer Admin AppData Temp Liebert.bmp

Der Erpresserbrief als Hintergrundbild gesetzt zeigt die folgende Erpressung Nachricht:

Hinweis von Bild:

Verschlüsselt GANDCRAB 5.0.3
DEAR Admin,
Ihre Dateien sind unter starken portection UNSERER SOFTWARE. Um es zu RESTORE MÜSSEN SIE KAUFEN Decryptor.
Für weitere Schritte lesen {Erweiterung}-DECRYPT.txt, dass sie in jedem verschlüsselten Ordner.

Aber der traurige Teil ist hier, dass GANDCRAB 5.0.3 ist noch nicht alles, wie es auch Windows-Registrierungs-Editor, um die Zugriffe auf furthr Berechtigungen über die infizierten Computer zu erhalten. Das Virus wird angenommen, dass die folgenden Unterschlüssel zuzugreifen und manipulations mit Einträgen in ihnen:

→ HKEY_CURRENT_USER Control Panel International
HKEY_CURRENT_USER Software keys_data data
HKEY_LOCAL_MACHINE HARDWARE Beschreibung System Central 0
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Wbem CIMOM
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT Currentversion
HKEY_LOCAL_MACHINE Software ex_data data
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters

GANDCRAB 5.0.3 nicht dort zu stoppen, da das Virus Hunderte von Verbindungen und eine Menge POST Verkehr etabliert, all das kann durch den Besuch des vollständigen Berichts über Any.run der Webseite zu sehen:

• Voll Any.Run Bericht des GANDCRAB 5.0.3 Ransomware

GANDCRAB 5.0.3 Ransomware – Verschlüsselung Informationen

GANDCRAB Familie von Viren sind einzigartig für die Tatsache, dass sie einen anderen Verschlüsselungsalgorithmus als die meisten Ransomware-Infektionen verwenden da draußen und Version 5.0.3 ist keine Ausnahme. Die Virus nutzt Salsa20 Verschlüsselungsalgorithmus, die garantiert, es Dateien zu verschlüsseln, schneller auf den Computern der Opfer. Der Verschlüsselungsprozess GANDCRAB 5.0.3 wird in den folgenden Schritten durchgeführt:

Schritt #1: GANDCRAB 5.0.3 beginnt für Dokumente Scannen Sie Ihren Computer, Videos, Bilder, Audiodateien, Archiv, Datenbanken und andere wichtige Dateien, auf der Grundlage ihrer Dateierweiterungen. Das Virus kann Dateien der folgenden Typen zielen und verschlüsseln:

→ .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7von, .7Reißverschluss, .aac, .ab4, .abd, .acc, .mdb, .ACCD, .accdr, .accdt, .aber,.acr, .Handlung, .adb, .adp, .Anzeigen, .AGDL, .zu, .gehen, .zugehörig, .al, .AOI, .APJ, .apk, .ARW, .Ascx, .asf, .asm, .Natter, .aspx,.Vermögenswert, .asx, .atb, .avi, .awg, .Zurück, .Sicherungskopie, .backupdb, .hinter, .Bank, .Bucht, .vg, .bgt, .bik, .bin, .BKP,.Mischung,.bmp, .DPW, .bsa, .c, .Kasse, .cdb, .CDF, .cdr, .CDR3, .CDr4, .cdr5, .cdr6, .cdrw, .CDX, .ce1, .ce2, .Himmel, .cfg, .CFN,.CGM, .Tasche, .Klasse, .cls, .cmt, .Config, .Kontakt, .cpi, .cpp, .CR2, .Kropf, .CRT, .CRW, .Schrei, .cs, .csh, .CSL, .css, .csv,.d3dbsp, .Dacian, .das, .die, .db, .db_journal, .db3, .dbf, .dbx, .DC2, .DCR, .dcs, .ddd, .Dock, .NRW, .dds, .def, .der, .der,.Entwurf, .DGC, .mit, .diese, .djvu, .DNG, .doc, .docm, .docx, .Punkt, .dotm, .dotx, .DRF, .DRW, .dtd, .dwg, .Dxb, .dxf, .DXG, .Computer,.eml, .eps, .erbsql, .erf, .exf, .fdb, .EF, .fff, .Im Auftrag von, .FHD, .fla, .flac, .FLB, .FLF, .flv, .FLVV, .Schmiede, .fpx, .FXG, .gbr, .GHO,.gif, .grau, .grau, .Gruppen, .Spiel, .h, .hbk, .hdd, .HPP, .html, .iBank, .IBD, .FLR, .idx, .iif, .IIQ, .incpas, .indd, .Info, .Info_,.Dies, .Menschen, .Glas, .Java, .JNT, .JPE, .jpeg, .jpg, .js, .json, .K2P, .kc2, .kdbx, .KDC, .Taste, .KPDX, .Geschichte, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .sperren, .Log, .LTX, .nehmen, .m, .m2ts, .m3u, .m4a, .m4P, .m4v, .aber, .mab, .MAPIMAIL, .max, .Aussichten, .md, .CIS, .mdc, .MDF, .MEF, .mfw,.Mitte, .mkv, .mlb, .MMW, .mny, .Geld, .Moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .Welt, .nd, .NDD, .NDF, .Schiff, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .NSD, .nsf, .nsg, .nsh, .NVRAM, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .Ep, .ODF, .Antwort, .ODM, .Antworten, .Absatz, .odt, .ogg, .Öl, .Oh mein Gott, .ein, .orf, .ost,.otg, .oth, .OTP, .ots, .da, .p12, .p7b, .P7C, .Hilfe, .Seiten, .nicht, .klopfen, .PBF, .PCD, .pct, .bps, .PDD, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .PMJ, .pml, .pmm, .PMO, .PMR, .pnc, .PND, .png, .PNX,.Pot, .Wanderwege, .potx, .PPAM, .pps, .PPSM, .ppsx, .ppt, .pptm, .pptx, .prf, .Privatgelände, .ps, .psafe3, .psd, .PSPIMAGE, .PST,.ptx, .Kneipe, .pwm, .py, .höchste, .QBB, .QBM, .ICBM, .QBW, .Qbx, .QBY, .qcow, .qcow2, .sind, .QTB, .r3d, .raf, .rar, .Ratte, .roh, .RDB, .re4, .rm,.rtf, .RVT, .rw2, .RWL, .rwz, .s3db, .Safe, .sas7bdat, .Wochen, .sparen, .sagen, .sd0, .sda, .sdb, .obdachlos, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .SQLite-shm, .SQLite-wal, .SR2, .Serbe, .srf, .srs, .srt, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .stc, .std, .sti, .stl, .stm, .stw, .STX, .svg, .swf,.sxc, .sxd, .sxg, .sie, .sxm, .sxw, .Steuer, .TBB, .Tbk, .tBN, .tex, .tga, .thm, .tif, .tiff, .tlg, .TLX, .txt, .KBE, .usr, .vBox, .vdi, .vhd, .vhdx, .vmdk, .VMSD, .VMX,.vmxf, .vob, .VPD, .vsd, .wab, .Bündel, .Brieftasche, .war, .wav, .wb2, .wma, .wmf, .wmv, .WPD, .wps, .x11, .x3f, .Film, .XLA, .xlam, .xlk, .XLM, .XLR-, .xls, .xlsb, .xlsm, .xlsx,.XLT, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .YCbCr, .YUV, .Reißverschluss

während des Scannens, GANDCRAB 5.0.3 kann überspringen Dateien in den folgenden Windows-Verzeichnisse zu verschlüsseln, so dass Sie immer noch können Ihren PC verwenden, das Lösegeld zu zahlen:

→ \Programdata
\Programmdateien
\Tor Browser
Ransomware
\Alle Nutzer
\Lokale Einstellungen
desktop.ini
autorun.inf
ntuser.dat
IconCache.db
bootsect.bak
boot.ini
Ntuser.dat.log
thumbs.db

Schritt #2: GANDCRAB 5.0.3 Kopien der Originaldateien und verschlüsselt die Kopien, wonach löscht die Originalversionen der Dateien selbst.

Schritt #3: Der Virus erstellt dann einen eindeutigen Entschlüsselungsschlüssel, was verborgen ist und haben könnte entweder die .KEY oder das .lock Suffix hinzugefügt. Die Datei selbst kann nicht durch irgendeine Form von Software geöffnet werden, wie es auch verschlüsselt ist.

Schritt #4: GANDCRAB 5.0.3 Ransomware fügt eine 5.letter Erweiterung zu den codierten Dateien, so dass sie unten zeigt, wie das Bild angezeigt werden: