.CRAB file Virus - Come rimuovere GandCrab v2 e ripristino dei dati

.CRAB file Virus – Come rimuovere GandCrab v2 e ripristino dei dati

Questo articolo è stato creato per aiutare a spiegando qual è la GandCrab v2 ransomware e come ripristinare .file CRAB criptato da essa senza dover pagare $500 riscatto ai cyber criminali.

Una nuova versione del famigerato GandCrab ransomware l'infezione è stato rilevato dai ricercatori di malware. il ransomware, v2 soprannominato utilizza il .estensione del file CRAB cui si aggiunge come suffisso ai file crittografati e in aggiunta a questo, il ransomware scende una richiesta di riscatto, di nome CRAB-DECRYPT.txt in cui si richiede un pagamento del riscatto nella forma della criptovaluta DASH. Questo è stato riportato che il primo caso del criptovaluta DASH utilizzato dai criminali ed è presente solo con la GandCrab ransomware varianti al momento della stesura di questo. Se il computer è stato infettato da questa infezione ransomware, reccomendations sono di concentrarsi sulla lettura del seguente articolo e la rimozione della GandCrab ransomware infezione più cercando di ripristinare i file crittografati con l'estensione del file .CRAB senza dover pagare il riscatto.

Sommario minaccia

Nome.CRAB file Virus
TipoRansomware, Cryptovirus
breve descrizioneUna variante della GandCrab ransomware famiglia, che cripta i file presenti sui computer infetti da esso e chiede le vittime a pagare $500 nel DASH criptovaluta come riscatto.
SintomiI file sul computer infetto non può più essere aperto e hanno la .GRANCHIO suffisso del file aggiunto a loro. In aggiunta a questo, il ransomware gocce di una richiesta di riscatto, file di nome CRAB-DECRYPT.txt.
Metodo di distribuzioneEmail spam, Allegati e-mail
Detection Tool Verificare se il sistema è stato interessato da .CRAB file di virus

Scarica

Strumento di rimozione malware

Esperienza utenteIscriviti alla nostra Forum per discutere .CRAB file di virus.
Strumento di recupero datiWindows Data Recovery da Stellar Phoenix Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità.

.GRANCHIO 2.0 Ransomware – aggiornamento di aprile 2018

informazioni recenti circa la .CRAB 2.0 ransomware è giunta alla nostra attenzione. Il ricercatore di malware, conosciuta come Brad da Malware-Traffico-analisi ha rilevato sempre nuove e-mail da utilizzare per diffondere il file infezione del virus più recenti ransomware GandCrab. Questa volta, i cyber-criminali sono stati rilevati per utilizzare un file JavaScript, in posa come un tipo effettivo di file di PDF. Il file, è contenuto in un archivio 7z ed era segnalati da Brad sul suo blocco malware-traffic-analysis.net, da diffondere tramite i seguenti indirizzi e-mail:

E-mail diffusione GandCrab 2.0:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

Le e-mail di infezione ransomware sono stati segnalati anche da Brad per contenere i seguenti argomenti (Soggetti):

Documento #{numero}
Fattura #{numero}
Ordine #{numero}
Pagamento #{numero}
Fattura di pagamento #{numero}
Fattura di pagamento #{numero}
Biglietto #{numero}
del documento #{numero}
Il tuo ordine #{numero}
Il tuo biglietto #{numero}

Le e-mail sono segnalati per contenere file che sono gli archivi 7zip (.7da) e hanno nome, come il seguente:

→ DOC249127923-PDF.7z

Quando le vittime si apre ed estrae il file, ha lo stesso nome assolutamente, tuttavia è una js (JavaScript) tipo di file. Questo è il file che infetta in realtà il computer. Anche l'estrazione di questo file dall'archivio 7z può rischiare la salute dei vostri file:

→ DOC249127923-pdf.js

Se si dispone di un servizio di posta elettronica che contiene una funzione di blacklist, è importante che si aggiunge quelle e-mail alla tua lista nera e se si vede tali e-mail, a cominciare da un nome, un numero e poi qualcosa di simile “@ 12412312.com”, non hanno nemmeno aprirli. Se si desidera verificare se sono o meno dannoso si può solo andare avanti e li trasmette ai servizi gratuiti, come ZipeZip, che eseguirà un controllo per voi, senza dover aprire le e-mail.

.CRAB file Virus – Come ci si Infect

Per infettare la quantità massima di vittime, il .GRANCHIO virus file si propone di diffondere il suo file infezione virale tramite una varietà di metodi, il principale dei quali è attraverso messaggi spam di posta elettronica, accuratamente mascherato da e-mail legittime. La strategia principale dei cyber criminali è quello di convincere la vittima ad aprire un allegato o di cliccare su un link web maligni che fa scattare automaticamente l'infezione.

Tali e-mail spesso fingono di provenire da grandi aziende del calibro di DHL, eBay e altri e le e-mail spesso fingono che l'allegato è una fattura o di una ricevuta Ordine che potrebbe anche non esistere. Quando l'utente fa clic su di esso, lui o lei cade subito vittima di questa infezione ransomware. Il principale metodo di infettare vittime che è stato rilevato finora da Marcelo Rivero ricercatore è stato segnalato per essere un e-mail che trasporta un file PDF, che una volta aperto porta a un documento di Microsoft Word. Il documento in essa di sua volta porta ad un'infezione di file-less, tramite macro dannosi dopo che la vittima ha cliccato sul “Abilitare il contenuto” pulsante per attivare la lettura sul documento. Le attività di infezione sono condotte nel modo seguente:

Oltre alla via e-mail, il .CRAB ransomware virus può infettare anche le vittime tramite altri metodi, come caricare è file dannoso in linea e maschera in modo che sembra essere un file legittimo si può essere ingannati a scaricare. Tali apparentemente legittimi tipi di file sembrano essere più spesso:

  • messe a punto del software falsi.
  • generatori di codici falsi.
  • Patch, crepe o altri attivatori licenza software.

.CRAB ransomware - Analisi

.CRAB ransomware è il tipo di ransomware infezione che cripta i file. Il malware scivola è file maligni dopo aver infettato il computer e si può risiedere nelle seguenti directory di Windows:

  • %AppData%
  • %Del posto%
  • %Roaming%
  • %LocalLow%
  • %Temp%

Dopo .CRAB ransomware ha infettato il computer, il malware inizia la sua attività dannoso su di esso, iniziando con la modifica del Windows Registry Editor del computer. Il GandCrab v2 può modificare i seguenti sotto-chiavi di registro di Windows, aggiungendo voci in esse, che può contenere valori per eseguire automaticamente all'avvio del sistema:

→ HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

In aggiunta a questo, il .virus file CRAB può anche eliminare le copie shadow del volume del computer infettato eseguendo i seguenti comandi come amministratore in Windows Command Prompt:

→ chiamata processo di creare “cmd.exe / c Vssadmin.exe eliminare ombre / all / quiet & bcdedit.exe / set {predefinito} recoveryenabled no & bcdedit.exe / set {predefinito} ignoreallfailures bootstatuspolicy”

Dopo aver fatto così, il virus ransomware può anche cadere è richiesta di riscatto, che porta le vittime al sito TOR del virus, esigente $500 nel criptovaluta DASH. La pagina web dà una scadenza per completare e appare come la seguente:

In aggiunta a questo, non v'è stata un'altra versione del malware che era segnalati portare ad una pagina web che richiede il pagamento della somma di $1000 in riscatto. Sembra simile al seguente:

.CRAB ransomware - Crittografia

Per il processo di crittografia, .virus file CRAB utilizza vari differenti tipi di tecniche, tra cui l'utilizzo di modalità di crittografia avanzate per rendere i file su più in grado computer della vittima da aprire. In aggiunta a questo, il .virus file CRAB è anche il tipo di infezione che esegue la scansione per i tipi di file di file che sono spesso utilizzati, come:

  • Documenti.
  • File audio.
  • Video.
  • Foto.
  • Archivio.

Dopo la crittografia dei file assumono la .estensione del file CRAB e cominciano ad apparire come la seguente:

GandCrab V2.1 (2.3.1) Rilasciato

rapporti di sicurezza indicano che un hacker sconosciuto o collettiva criminale ha messo a punto una versione più recente del ransomware chiamato GandCrab V2.1 con numero di release interna 2.3.1. Crittografa i dati di destinazione con estensione .crab pure tuttavia non dispongono di una meccanica di consegna e le operazioni ransomware leggermente differente.

Le campagne malvertising utilizzano la RIG sfruttare Kit e alcuni dei ceppi sono noti per aver tentato di sfruttare Adobe Flash Player exploit rintracciato nella CVE-2018-4878 consultivo. La sua descrizione si legge il seguente:

Un uso-after-free vulnerabilità è stata scoperta in Adobe Flash Player prima 28.0.0.161. Questa vulnerabilità si verifica a causa di un puntatore penzoloni nel Primetime SDK relative alla manipolazione lettore multimediale di oggetti listener. Un attacco di successo può portare all'esecuzione di codice arbitrario. Questo è stato sfruttato in natura in gennaio e febbraio 2018.

La vulnerabilità è valutato come critico e lo sfruttamento di successo di esso può comportare l'acquisizione completo del sistema interessato. Gli attacchi associati a questa vulnerabilità sono stati trovati a bersaglio soprattutto gli utenti di Windows in gennaio e febbraio 2018.

I campioni acquisiti ad esso associati indicano che la viene consegnato principalmente mediante messaggi e-mail. Un tipico scenario di ingegneria sociale viene utilizzato con attacco di malware. Uno dei file catturati legge la seguente:

caro cliente,

per leggere il documento si prega di aprire l'allegato e rispondere nel più breve tempo possibile.

Cordiali saluti,
NJ Assistenza Clienti

Un file allegato in un archivio ZIP viene consegnato. Quando è aperto dalle vittime rivelerà un documento di testo ricco. Se si apre questo verrà visualizzato nella “Visualizzazione protetta” modalità che informa gli utenti che hanno bisogno di eseguire le macro incorporate (script) Per visualizzare il contenuto del file. Se questo è fatto uno script PowerShell sarà lanciata che fa scattare il GandCrab reale 2.1 infezione.

L'infezione segue le normali operazioni del malware con alcune modifiche al codice che lo rendono una versione distinta con le firme specifiche.

Una volta che il componente ransomware ha completato l'esecuzione di tutti i dati target saranno rinominate con il .estensione CRAB. La nota ransomware in sé sarà aggiornato (realizzato in un file CRAB-DECRYPT.txt) per leggere il seguente messaggio:

— “GANDCRAB V2.1 “—

Attenzione!
Tutti i vostri file documenti, foto, banche dati e altri file importanti sono criptati e avere l'estensione: .GRANCHIO
L'unico metodo di recupero dei file è per l'acquisto di una chiave privata. E 'sul nostro server e solo noi possiamo recuperare i vostri file.

Il server con la chiave è in una rete chiusa TOR. Si può arrivare dalle seguenti modi:
0. Scarica Tor Browser – https://www.torproject.org/
1. Installare Tor Browser
2. Aprire il browser Tor
3. Apri link in Tor Browser: http://gandcrab2pie73et.onion/95???????????
4. Seguire le istruzioni in questa pagina

Se il browser Tor / Tor è bloccata nel vostro paese o non è possibile installarlo, aprire uno dei seguenti link nel tuo browser regolare:

0. https://gandcrab2pie73et.onion.rip/95?????????????
1. https://gandcrab2pie73et.onion.plus/95?????????????
2. https://gandcrab2pie73et.onion.to/95?????????????

ATTENZIONE! Utilizzare normale browser solo per contattarci. Comprare decryptor solo tramite collegamento Tor Browser o Jabber Bot!

Sulla nostra pagina potrete vedere le istruzioni a pagamento e ottenere la possibilità di decifrare 1 depositare gratuitamente.

Il modo alternativo per contattarci da usare Habber messanger. Leggi come:
0. Scarica Psi-Plus client Jabber: https://psi-im.org/download/
1. Registra un nuovo account: https://sj.ms/register.php
0) Inserire “nome utente”: 95???????????
1) Inserire “parola d'ordine”: la tua password
2. Aggiungere un nuovo conto in Psi
3. Aggiungere e scrivere Jabber ID: [email protected] qualsiasi messaggio
4. Seguire le istruzioni Bot

Si tratta di un bot! E 'completamente automatizzato sistema artificiale senza controllo umano!
Per contattarci utilizzare i collegamenti TOR. Siamo in grado di fornire tutte le prove richieste di disponibilità in qualsiasi momento decrittazione. Siamo aperti a conversazioni.
È possibile leggere le istruzioni su come installare e utilizzare Jabber qui http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf

PERICOLOSO!
Non cercare di modificare i file o utilizzare la propria chiave privata – questo comporterà la perdita dei vostri dati per sempre!

Una volta che le vittime visitare il relativo sito Nota di riscatto vedranno un motore di template-based che presenta le vittime sarà la possibilità di scaricare un decryptor di prova. Questo è uno scenario spesso usato che tenta di vincere la fiducia degli utenti.

Al momento la somma del riscatto è $800, i criminali usano la strategia ben nota di imporre un limite di tempo. Se la tassa di riscatto non viene pagato da allora l'importo è raddoppiato. Il denaro richiesto è richiesto nel Bitcoin o DASH moneta digitale.

Alternative Ransom Pagina Uncovered

In aprile 19 ricercatori di sicurezza hanno scoperto un nuovo ceppo di GandCrab che segue gli stessi modelli di comportamento con un sito di riscatto cambiato. E 'possibile che questo è stato ideato da un gruppo criminale diverso o è un rilascio intermedio prima di una nuova versione principale degli attacchi ransomware.

E 'personalizzato utilizzando un motore di template che è simile alle versioni precedenti. E 'legge il seguente messaggio:

importo del pagamento 724.63768116 DSH ($300,000.00)

1. Acquista DASH criptovaluta. Qui si possono trovare i servizi in cui si può fare.
2. Inviare 724.63768116 DSH all'indirizzo:
xkdDtXZoFAA3JP89Q4s4E2AcZYcScuD2gn

Attenzione!
Si prega di prestare attenzione e controllare l'indirizzo visivamente dopo la copia-incolla (perché non v'è una probabilità di un malware sul vostro PC che controlla e modifica l'indirizzo nella vostra clipboard)

Se non si utilizza il browser TOR:
Invia un pagamento di verifica per una piccola quantità, e poi, make sure that the coins are coming, then send the rest of the amount.
We won’t take any responsibility if your funds don’t reach us
3. dopo il pagamento, you will see your transactions below
The transaction will be confirmed after it receives 3 confirmations (usually it takes about 10 verbale)

This new release adds the option to usePromotion codesthat place a discount on the ransom fee. This is probably going to be used in new upcoming social engineering tricks.

Rimuovere GandCrab v2 ransomware e ripristino dei file .CRAB

Al fine di rimuovere completamente questa infezione ransomware dal sistema del computer, raccomandazioni sono di concentrarsi sulle seguendo le istruzioni per la rimozione in basso. Essi sono accuratamente separati su manuali di rimozione manuale ed automatico, al fine di miglior aiuto, sulla base di esperienza in di rimozione malware. Se ti manca tale esperienza, esperti di sicurezza consigliano vivamente di scaricare un software avanzato anti-malware, che mira ad aiutare voi attraverso la scansione e la rimozione automaticamente tutti gli oggetti dannosi, relative al GandCrab v2 dal tuo computer.

Al fine di ripristinare i file, criptato dal GandCrab v2 ransomware, si può provare e utilizzare il file alternativo recuperare metodi in fase “2. Ripristinare i file crittografati da .CRAB file di virus” sotto. Essi non possono essere 100% efficace per recuperare tutti i file crittografati, ma può aiutare a recuperare la maggior parte dei file codificati.

Eliminare manualmente .CRAB file di virus dal tuo computer

Nota! Notifica sostanziale sulla .CRAB file Virus minaccia: Rimozione manuale di .CRAB file Virus richiede l'interferenza con i file di sistema e registri. Così, può causare danni al vostro PC. Anche se le vostre competenze informatiche non sono a livello professionale, non ti preoccupare. Si può fare la rimozione se stessi solo in 5 verbale, usando un Strumento di rimozione malware.

1. Avviare il PC in modalità provvisoria per isolare e rimuovere i file dei virus .CRAB file e oggetti
2.Trovare i file maligni creati da .CRAB file virus sul PC
3.voci di registro create da Fix .CRAB file virus sul PC

rimuovere automaticamente i file .CRAB Virus scaricando un programma anti-malware avanzato

1. Rimuovere .CRAB file virus con lo strumento SpyHunter Anti-Malware
2. Il backup dei dati per fissarlo contro le infezioni e crittografia dei file da .CRAB file di virus in futuro
3. Ripristinare i file crittografati da .CRAB file di virus
Opzionale: Utilizzo degli strumenti Alternative Anti-Malware

Vencislav Krustev

Un amministratore di rete e ricercatore di malware presso SensorsTechForum con passione per la scoperta di nuovi cambiamenti e le innovazioni in materia di sicurezza informatica. Forte credente nella formazione di base di ogni utente verso la sicurezza on-line.

Altri messaggi - Sito web

6 Commenti

  1. SILVIA ORTIZ

    Estamos infectados con CRAB y es terrible porque no tenemos una cultura de respaldo ni políticas que eviten que el personal descargue software, que desactive antivirus, etc…no sabemos qué hacer 🙁

    Replica
    1. alberto

      jajaja a mi me paso el 25 de febrero y fue una pesadilla porque infecto un servidor. Pero cuando llegue. Mi sono reso conto che solo l'affetto a un server e che non ha il database… così qu anguilla Danio è stato minimo. Ma abbiamo anche i backup… ogni Sabato sosteniamo. Perché abbiamo successo anche nel mese di giugno con un altro server e lì se non abbiamo avuto il backup… è un incubo. Temo già perso tutto, La fretta meglio che idea.

      Replica
  2. Hugo

    avrebbero potuto risolvere?

    Replica
  3. Alan

    la mia memoria è stato infettato dalla madre e potrebbe recuperare tutti i file cancellando il nome del suffisso .CRAB ma prendo un casino, un giorno intero per modificare il contenuto delle cartelle :S

    Replica
    1. Jorge Palaver

      stimata, non abbastanza per rinominare i file e rimuovere l'estensione, perché crittografa i contenuti.
      Cordiali saluti.

      Replica
  4. Cristian Rodriguez

    buono, Siamo nella stessa situazione, Troviamo tutto per V1 , ma ci sono stati infettati con V2… qualcuno ha qualcosa??… GRAZIE!

    Replica

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...