GANDCRAB 5.0.3 Ransomware - Comment faire pour supprimer ce (+ Restaurer les fichiers)

GANDCRAB 5.0.3 Virus – Comment ça Infect

Pour le GANDCRAB 5.0.3 ransomware virus soit efficace au cours de celui-ci est une infection, le ransomware vise à répliquer via plusieurs méthodes différentes, le principal qui sont signalés à effectuer par e-mails de spam contenant des pièces jointes de courriers électroniques malveillants, posant documents importants. La principale stratégie des pirates est de tromper les victimes en ouvrant la pièce jointe ou en cliquant sur l'URL qu'ils les veulent, ce qui déclenche éventuellement le processus d'infection.

Ces types d'e-mails posent souvent des messages provenant de grandes entreprises des goûts de DHL, eBay et beaucoup d'autres sites de bonne réputation et massivement utilisés. Les pièces jointes eux-mêmes peuvent constituer autant de documents d'une importance capitale, par exemple:

• Commander un document d'annulation.
• Facture d'achat.
• Le reçu.
• déclaration bancaire.
• Autres fichiers.

La principale méthode d'infection qui est caractéristique d'une infection de l'ampleur de GANDCRAB ransomware a jusqu'à présent été signalé par les chercheurs à mener par malveillants fichiers PDF, qui contiennent des macros, intégré directement dans les. Une fois ouvert, le fichier PDF conduit alors à un document Microsoft Word, qui demande à la victime de Activer la modification afin de déverrouiller le contenu du document. Activer la modification déclenche les macros malicous et l'infection commence. Pour mieux expliquer comment cela fonctionne:, nous avons conçu une séquence d'infection par exemple contenant toutes les étapes d'infection dans un ordre chronologique:

Et les e-mails eux-mêmes ne sont pas faits aussi bien par des amateurs. Ils contiennent des expéditeurs apparemment de bonne réputation. Voici un e-mail malveillant qui se diffuse ce fichier .PDF qui contient GANDCRAB:

À partir de: “Brandon Clay” Brandon@cdkconstruction.org
Sujet: Facture d'électricité Fév-6509
Attachement: Feb-10451.pdf
Le corps du texte: Télécharger le fichier joint.

En outre, GANDCRAB 5.0.3 peuvent également infecter les victimes d'une manière similaire GANDCRAB 5.0.1 fait et qui est d'utiliser des fissures malveillants afin de reproduire.

en relation: GandCrab Ransomware Infecte maintenant Fissures Via Software

Ces types de fissures sont téléchargés sous forme de fichiers .exe sur un site WordPress qui est soit piraté par le spammeur logiciel malveillant ou créé par le spammeur lui-même. Ils imitent les activateurs pour les différents programmes libres qui pourraient être utiles aux utilisateurs qui travaillent avec des documents. L'une des pages de fissure a été montré dans l'image ci-dessous:

GANDCRAB 5.0.3 Ransomware - Que faut-il faire

GANDCRAB 5.0.3 ransomware infecte les utilisateurs en exécutant son fichier exécutable malveillant. Selon derniers rapports, l'échantillon lui-même est un type de fichier JavaScript téléchargeur, appelé "GandCrab 5.0.3 downloader.js". Il a les indicateurs suivants de compromis:

→ Nom: GandCrab 5.0.3 downloader.js
MD5: 595A31A4913951D3EB7211618AE75DEA
Taille: 986 KB
La Location: C:\Utilisateurs Admin AppData Temp

Le script malveillant engendre deux autres processus malveillants, probablement dans le même endroit. Ils ont les noms suivants:

• dsoyaltj.exe
• wermgr.exe

Les processus malveillants obtiennent des privilèges d'administration, puis exécutez les commandes suivantes dans l'invite de commande Windows en tant qu'administrateur:

→ wmic.exe ShadowCopy supprimer
wmd.exe / c -c délai 5 & del « C » Windows System32 wermgr.exe »/ f / q
wimeout.exe -c 5

Puis, le malware laisse tomber son fichier de rançon en créant des milliers de copies dans chacun des dossiers où les fichiers sont cryptés. La demande de rançon contient l'extension de fichier des fichiers cryptés et le suffixe «-DECRYPT.txt". Il a le message suivant aux victimes:

- = = GANDCRAB version 5.0.3 -
Attention!
Tous vos fichiers, documents, Photos, bases de données et d'autres fichiers importants sont cryptés et ont l'extension: {5 lettres aléatoires}
La seule méthode de récupération de fichiers est d'acheter une clé privée unique. Seulement nous pouvons vous donner cette clé et que nous pouvons récupérer vos fichiers.
Le serveur avec votre clé est dans un réseau fermé TOR. Vous pouvez y arriver par les moyens suivants:
------------------------
| 0. Télécharger le navigateur Tor - https://www.torproject.org/
| 1. Installer Tor Browser
| 2. Tor Browser ouvert
| 3. Ouvrir le lien dans le navigateur TOR https://gandcrabmfe6mnef.onion/{victime d'identification unique}
| 4. Suivez les instructions sur cette page
Sur notre page, vous verrez des instructions sur le paiement et obtenir la possibilité de décrypter 1 déposer gratuitement.
ATTENTION!
POUR endommager les données:
• Ne pas modifier des fichiers chiffrés
• NE CHANGEZ PAS CI-DESSOUS DE DONNÉES

Le but principal de demande de rançon est d'obtenir les victimes d'être assez peur de visiter la page de paiement Tor GANDCRAB, qui est une page très bien conçu pour les cyber-extorsion de fonds (voir image ci-dessous) que « le soutien à la clientèle », même contient et fournit le décryptage sans 1 fichier:

En outre, à côté de la demande de rançon de GANDCRAB 5.0.3, le virus diminue également son fichier de demande de rançon dans le répertoire Windows suivant:

→C:\Users Admin AppData Temp Liebert.bmp

La demande de rançon est définie comme fond d'écran affiche le message d'extorsion de fonds suivant:

Note de l'image:

Chiffré par GANDCRAB 5.0.3
CHER admin,
VOS FICHIERS SONT SOUS portection FORTE PAR NOTRE LOGICIEL. POUR RESTAURER IL VOUS DEVEZ ACHETER décrypteur.
Pour les étapes lire {extension}-DECRYPT.txt qui se trouve dans chaque dossier crypté.

Mais la partie triste est que GANDCRAB 5.0.3 ne vous arrêtez pas là car il accède également Éditeur du Registre Windows afin d'obtenir les autorisations furthr sur la machine infectée. Le virus est censé accéder aux sous-clés suivants et falsifier les entrées dans les:

→ HKEY_CURRENT_USER Control Panel International
HKEY_CURRENT_USER SOFTWARE keys_data data
HKEY_LOCAL_MACHINE HARDWARE DESCRIPTION System CentralProcessor 0
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Wbem CIMOM
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion
HKEY_LOCAL_MACHINE SOFTWARE ex_data data
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters

GANDCRAB 5.0.3 ne s'arrête pas là que le virus établit des centaines de connexions et beaucoup de trafic POST, tous qui peut être vu en visitant le rapport complet sur la page web de Any.run:

• Rapport complet Any.Run de GANDCRAB 5.0.3 Ransomware

GANDCRAB 5.0.3 Ransomware – Informations de cryptage

famille GANDCRAB de virus sont uniques du fait qu'ils utilisent un algorithme de chiffrement différent de la plupart des infections ransomware là-bas et la version 5.0.3 ne fait pas exception. Les utilisations de virus Salsa20 algorithme de chiffrement, qui garantit à crypter des fichiers plus rapidement sur les ordinateurs des victimes. Le processus de chiffrement GANDCRAB 5.0.3 est mise en oeuvre dans les étapes suivantes:

Étape #1: GANDCRAB 5.0.3 commence la numérisation de votre ordinateur pour les documents, vidéos, images, les fichiers audio, archives, bases de données et autres fichiers importants, en fonction de leurs extensions de fichiers. Le virus peut cibler et chiffrer les fichiers des types suivants:

→ .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7à partir de, .7fermeture éclair, .aac, .ab4, .abd, .acc, .accdb, .ACCD, .accdr, .accdt, .haque,.acr, .acte, .adb, .adp, .les publicités, .AGDL, .à, .aiff, .appartenant à, .Al, .aoi, .APJ, .apk, .arw, .ascx, .asf, .pers, .aspic, .aspx,.atout, .ASX, .atb, .avi, .awg, .de retour, .sauvegarder, .backupdb, .derrière, .banque, .baie, .vg, .BGT, .bik, .suis, .BKP,.mélange,.bmp, .dpw, .bsa, .c, .argent liquide, .cdb, .cdf, .cdr, .CDR3, .CDR4, .cdr5, .CDR6, .cdrw, .CDX, .ce1, .ce2, .ciel, .cfg, .CFN,.cgm, .poche, .classe, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .jabot, .crt, .crw, .cri, .cs, .csh, .CSL, .css, .csv,.d3dbsp, .Dacian, .la, .qui, .db, .db_journal, .db3, .dbf, .dbx, .DC2, .DCR, .dcs, .ddd, .dock, .NRW, .DDS, .def, .la, .des,.conception, .dgc, .avec, .cette, .djvu, .DNG, .doc, .docm, .docx, .point, .DOTM, .dotx, .DRF, .DRW, .DTD, .dwg, .Dxb, .dxf, .DXG, .EDB,.EML, .eps, .erbsql, .erf, .EXF, .FDB, .EF, .fff, .Au nom de, .fhd, .Floride, .flac, .FLB, .FLF, .flv, .flvv, .forger, .fpx, .FXG, .gbr, .gho,.gif, .gris, .gris, .groupes, .jeu, .h, .HB, .hdd, .hpp, .html, .ibank, .IBD, .FLR, .IDX, .IIF, .IIQ, .incpas, .indd, .infos, .Info_,.cette, .personnes, .bocal, .Java, .JNT, .JPE, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .KDC, .clé, .KPDX, .Histoire, .laccdb, .lbf, .Ick, .LDF, .éclairé,.litemod, .litesql, .bloquer, .bûche, .LTX, .prendre, .m, .M2TS, .m3u, .m4a, .m4p, .m4v, .mais, .mab, .MAPIMAIL, .max, .Perspective, .Maryland, .CIS, .mdc, .mdf, .mef, .mfw,.milieu, .mkv, .mlb, .MMW, .MNY, .argent, .MoneyWell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .monde, .Dakota du Nord, .ndd, .ndf, .nef, .NK2, .nop, .NRW, .ns2, .ns3, .ns4, .NSD, .nsf, .nsg, .nsh, .NVRAM, .nwb,.NX2, .nxl, .nyf, .OAB, .obj, .ODB, .Ep, .ODF, .réponse, .odm, .Répondre, .paragraphe, .odt, .ogg, .pétrole, .OMG, .un, .orf, .ost,.OTG, .oTH, .OTP, .ots, .là, .p12, .p7b, .P7C, .aider, .pages, .pas, .tapoter, .PBF, .PCD, .PCT, .pdb, .pdd, .pdf, .PEF,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .h!, .h, .pmi, .PMJ, .pml, .pmm, .pmo, .PMR, .pnc, .pnd, .png, .PNX,.pot, .sentiers, .potx, .PPAM, .pps, .PPSM, .ppsx, .ppt, .pptm, .pptx, .PRF, .privé, .ps, .psafe3, .psd, .pspimage, .TVP,.PTX, .pub, .PWM, .py, .primordial, .QBB, .QBM, .QBR, .QBW, .QBX, .QBY, .qcow, .qcow2, .cqfd, .QTB, .r3d, .raf, .rar, .rat, .brut, .RDB, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .RWZ, .S3DB, .sûr, .sas7bdat, .semaines, .enregistrer, .dire, .sd0, .sda, .sdb, .sdf, .sh, .SLDM, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .SR2, .serbe, .srf, .srs, .srt, .SRW, .ST4, .ST5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .STM, .stw, .STX, .svg, .swf,.sxc, .sxd, .sxg, .elle, .sxm, .sxw, .impôt, .TBB, .tbk, .TBN, .Texas, .tga, .thm, .tif, .querelle, .pcs, .TLX, .sms, .ufc, .usr, .vbox, .VDI, .VHD, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .VPD, .vsd, .DHS, .liasse, .portefeuille, .était, .wav, .WB2, .wma, .wmf, .wmv, .WPD, .wps, .x11, .x3f, .film, .XLA, .xlam, .xlk, .xlm, .XLR, .xls, .xlsb, .xlsm, .xlsx,.XLT, .xltm, .xltx, ..xlw, .xml, .xps, .xxx, .YCbCr, .yuv, .fermeture éclair

Lors de la numérisation, GANDCRAB 5.0.3 peut ignorer le chiffrement des fichiers dans les répertoires Windows suivants, de sorte que vous pouvez toujours utiliser votre PC pour payer la rançon:

→ \Données de programme
\Fichiers de programme
\Tor Browser
Ransomware
\Tous les utilisateurs
\Paramètres locaux
desktop.ini
autorun.inf
ntuser.dat
IconCache.db
BOOTSECT.BAK
boot.ini
Ntuser.dat.log
thumbs.db

Étape #2: GANDCRAB 5.0.3 copie les fichiers originaux et les copies encrypte, après quoi supprime les versions originales des fichiers eux-mêmes.

Étape #3: Le virus crée alors une clé de décryptage unique,, ce qui est caché et peut avoir soit le .KEY ou le suffixe .lock ajouté à ce. Le fichier lui-même ne peut pas être ouvert par toute forme de logiciel comme il est également crypté.

Étape #4: GANDCRAB 5.0.3 ransomware ajoute une extension 5.letter aux fichiers codés, les faisant apparaître comme l'image ci-dessous montre: