La société sud-coréenne AhnLab a mis au point un Killswitch pour la dernière version du virus, se faisant appeler v4.1.2, provoquant l'arrêt du fonctionnement ransomware.
AhnLab aurait analysé la version interne 4.1.2 de GandCrab ransomware, qui fait partie de la 4.1 version, en utilisant le .extension de fichier KRAB après le cryptage des fichiers. Les chercheurs ont ensuite conçu une application, qui fonctionne comme une mesure défensive et peuvent être déposés sur les ordinateurs des utilisateurs avant qu'ils ne deviennent infectés par GandCrab 4.1.2. Pour la tactique de défense de travailler, vous aurez besoin pour obtenir le fichier, qui a une chaîne dans son nom et a l'extension de fichier .lock. Ces fichiers .lock sont essentiels à la manière de GandCrab de fonctionnement et voici les étapes dans lesquelles ils sont créés:
Étape 1: GandCrab 4.1.2 contamine votre ordinateur et vos fichiers encrypte.
Étape 2: Le virus crée un fichier .lock avec un mutex, pour lesquels les analyses antivirus pour comparer le fichier aux fichiers .lock d'autres ordinateurs infectés.
Étape 3: Si le fichier .lock appartient déjà infecté la liste des ordinateurs de GandCrab, le virus se arrête et ne chiffre rien pour éviter la double cryptage et de l'infection à avoir lieu.
Les chercheurs ont mis au point un tel intelligemment fichier .lock, qui agit comme Killswitch et l'application entière peut être téléchargé à partir du lien suivant (également disponible sur asec.ahnlab.com/1145):
AVIS IMPORTANT! Votre antivirus peut détecter le Killswitch comme un virus, mais il est également disponible sur le site de recherche de Anhlab ci-dessus, et nous croyons que le fichier peut faire confiance, parce que ce n'est pas une GandCrab réelle mais simplement une méthode utilisée pour prévenir la menace réelle donc être conseillé de désactiver votre antivirus et un logiciel anti-malware avant de télécharger le fichier.
Après avoir téléchargé le fichier, soit dans les victimes devraient sauver la %Répertoire des données d'application% pour les anciennes versions de Windows ou en %répertoire ProgramData% de Windows 7 et les versions plus récentes du système d'exploitation. Cela empêche votre ordinateur de certains cryptage de fichiers, même si GandCrab v4.1.2 a déjà infecté la machine.
Nouvelles mises à jour dans GandCrab v4.1.2<
GandCrab est le type de ransomware qui a été la diffusion et d'infecter les ordinateurs depuis Janvier, 2018. Le virus a subi d'importantes modifications depuis lors, à l'aide de faux dossiers dentaires et autres faux fichiers .exe pour infecter PC utilisateur. Le logiciel malveillant qui a prié sur les utilisateurs qui avaient SMBv1 activé sur leur machine a été mis à jour dans un 4.1 version, qui a évolué dans son courant 4.1.2 variante interne. La dernière version de GandCrab utilise de plus en plus des méthodes pour se propager, comme les exploits les plus récents utilisés dans le EternalBlue épidémie WannaCry, qui se est passé en 2017. Mais dans le même temps, cette version plus récente du virus a également cessé d'utiliser certains exploits anciens, comme SMB pour infecter les ordinateurs, ce qui suggère les nouveaux systèmes d'exploitation à cibler. Une chose est restée certaine - GandCrab utilise toujours les mêmes méthodes pour se propager et ils ne sont pas susceptibles d'être automatique, étant donné que les utilisations du virus Spam e-mails avec des pièces jointes malveillantes de tous types et peuvent également télécharger les fichiers d'infection sur les sites de réputation suspectes et bas. Il est fortement conseillé d'appliquer une protection anti-malware approprié et aussi assurez-vous d'apprendre à stocker en toute sécurité vos fichiers importants afin de vous protéger contre les infections de logiciels malveillants, comme GandCrab (voir les articles connexes ci-dessous):
en relation: Protégez-vous contre l'infection par E-mails malveillants
en relation: En toute sécurité stocker vos fichiers importants et les protéger contre les logiciels malveillants