GANDCRAB 5.0.3 Ransomware - come rimuoverlo (+ Ripristino di file)

GANDCRAB 5.0.3 Virus – Come ci si Infect

Per il GANDCRAB 5.0.3 ransomware virus per essere efficace nel corso della sua infezione, il ransomware mira a replicare tramite diversi metodi diversi, il primario di cui sono segnalati per essere trasportato via e-mail di spam che contengono allegati e-mail dannoso, posa documenti importanti. La strategia principale degli hacker è quello di ingannare le vittime ad aprire l'allegato o cliccando sulla URL li vogliono, che alla fine innesca il processo di infezione.

Questi tipi di e-mail spesso pongono come messaggi provenienti da grandi aziende del calibro di DHL, eBay e molti altri siti affidabili e massicciamente utilizzati. Gli attacchi si possono rappresentare il maggior numero di documenti della massima importanza, per esempio:

• Ordinare documento cancellazione.
• Fattura.
• Ricevuta.
• dichiarazione di attività bancarie.
• Altri file.

Il metodo principale di infezione che è caratteristico per l'infezione dalla grandezza del ransomware GANDCRAB finora è stato riferito dai ricercatori per essere condotta attraverso dannoso I file PDF, contenenti macro, incorporato direttamente in loro. Una volta aperto, il file PDF conduce poi a un documento di Microsoft Word, che chiede alla vittima di abilitare la modifica al fine di sbloccare i contenuti del documento. Abilitare la modifica attiva le macro malicous e l'infezione ha inizio. Per spiegare meglio come funziona, abbiamo progettato una sequenza esempio un'infezione contenente tutti i passaggi di infezione in ordine cronologico:

E le e-mail se stessi non sono fatte da dilettanti come pure. Essi contengono mittenti apparentemente rispettabili. Qui è uno di posta elettronica dannoso diffondendo tale file .PDF che contiene GANDCRAB:

Da: “Brandon argilla” [email protected]
Soggetto: bolletta elettrica feb-6509
Allegati: Feb-10451.pdf
Corpo del testo: Scarica il file allegato.

Inoltre, GANDCRAB 5.0.3 può anche infettare le vittime in un modo simile come GANDCRAB 5.0.1 fa e che è quello di utilizzare le crepe dannosi al fine di replicare.

Correlata: GandCrab ransomware Ora Infetta Cracks via software

Questi tipi di crepe vengono caricati come file exe in un sito WordPress che è sia violato da spammer malware o creato dal spammer se stesso. Imitano gli attivatori per i diversi programmi gratuiti che potrebbe essere utile per gli utenti che lavorano con documenti. Una delle pagine di crack è stato mostrato nell'immagine qui sotto:

GANDCRAB 5.0.3 Ransomware - Che cosa fa

GANDCRAB 5.0.3 ransomware infetta gli utenti eseguendo è il file eseguibile dannoso. Secondo ultime notizie, il campione stesso è un tipo JavaScript downloader di file di, chiamato "GandCrab 5.0.3 downloader.js". Ha le seguenti indicatore di compromissione:

→ Nome: GandCrab 5.0.3 downloader.js
MD5: 595A31A4913951D3EB7211618AE75DEA
Dimensione: 986 KB
Posizione: C:\Gli utenti Admin AppData Temp

Lo script dannoso genera altri due processi maligni, probabilmente nella stessa posizione. Essi hanno i seguenti nomi:

• dsoyaltj.exe
• wermgr.exe

I processi maligni ottenere privilegi amministrativi e quindi eseguire i seguenti comandi nel prompt dei comandi di Windows come amministratore:

→ Wmic.exe ShadowCopy eliminare
wmd.exe / c timeout -c 5 & del “C” Windows System32 wermgr.exe”/ f / q
wimeout.exe -c 5

Poi, il malware lascia cadere del file Nota di riscatto con la creazione di migliaia di copie in ciascuna delle cartelle in cui i file sono criptati. La richiesta di riscatto contiene l'estensione del file dei file crittografati e quindi il suffisso “-DECRYPT.txt". Ha il seguente messaggio alle vittime:

- = GANDCRAB V5.0.3 = -
Attenzione!
Tutti i file, documentazione, foto, banche dati e altri file importanti sono criptati e avere l'estensione: {5 lettere casuali}
L'unico metodo di recupero dei file è per l'acquisto di una chiave privata unica. Solo noi possiamo dare questa chiave e solo noi possiamo recuperare i vostri file.
Il server con la chiave è in una rete chiusa TOR. Si può arrivare dalle seguenti modi:
------------------------
| 0. Scarica Tor Browser - https://www.torproject.org/
| 1. Installare Tor Browser
| 2. Aperto Tor Browser
| 3. Apri link in Tor Browser http://gandcrabmfe6mnef.onion/{ID univoco della vittima}
| 4. Seguire le istruzioni in questa pagina
Sulla nostra pagina potrete vedere le istruzioni a pagamento e ottenere la possibilità di decifrare 1 depositare gratuitamente.
ATTENZIONE!
AL FINE DI EVITARE DANNI DEI DATI:
• Non modificare i file crittografati
• Non modificare dati sotto

Lo scopo principale della richiesta di riscatto è quello di ottenere le vittime di essere spaventato abbastanza per visitare la pagina di pagamento Tor di GANDCRAB, che è una pagina molto ben progettata per cyber-estorsione (vedi immagine qui sotto) che contiene anche “assistenza clienti” e fornisce decrittazione gratis 1 file:

Inoltre, accanto alla richiesta di riscatto di GANDCRAB 5.0.3, il virus scende anche si tratta di file di Nota di riscatto nella seguente directory di Windows:

→C:\Users Admin AppData Temp Liebert.bmp

La richiesta di riscatto è impostato come sfondo mostra il seguente messaggio di estorsione:

Nota Immagine:

Crittografato GANDCRAB 5.0.3
Admin CARO,
I file vengono SOTTO portection FORTE dal nostro software. Al fine di ripristinare IT DOVETE ACQUISTARE Decryptor.
Per ulteriori passi lette {estensione}-DECRYPT.txt che si trova in ogni cartella crittografata.

Ma la parte triste è che GANDCRAB 5.0.3 non si ferma qui perché accede anche Windows Registry Editor per ottenere i permessi furthr sulla macchina infetta. Il virus è creduto per accedere ai sotto-chiavi seguenti e manomettere le voci al loro interno:

→ HKEY_CURRENT_USER Control Panel International
HKEY_CURRENT_USER SOFTWARE keys_data dati
HKEY_LOCAL_MACHINE HARDWARE DESCRIPTION System CentralProcessor 0
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Wbem CIMOM
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion
HKEY_LOCAL_MACHINE SOFTWARE ex_data dati
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters

GANDCRAB 5.0.3 non si ferma qui, come il virus stabilisce centinaia di connessioni e un sacco di traffico POST, ognuno dei quali può essere visto visitando il rapporto completo sulla pagina web di Any.run:

• Rapporto Any.Run pieno di GANDCRAB 5.0.3 Ransomware

GANDCRAB 5.0.3 Ransomware – Informazioni Encryption

GANDCRAB famiglia di virus sono unici per il fatto che essi utilizzano un algoritmo di crittografia diverso dalla maggior parte delle infezioni ransomware là fuori e la versione 5.0.3 non fa eccezione. Gli usi di virus Salsa20 algoritmo di crittografia, che garantisce a crittografare i file più velocemente sui computer delle vittime. Il processo di crittografia dei GANDCRAB 5.0.3 viene condotta nelle seguenti fasi:

Passo #1: GANDCRAB 5.0.3 inizia la scansione del computer per i documenti, video, immagini, i file audio, archivio, database e altri file importanti, in base alle loro estensioni di file. Il virus può colpire e crittografare i file dei seguenti tipi:

→ .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7da, .7chiusura, .aac, .AB4, .abd, .acc, .ACCDB, .ACCD, .accdr, .accdt, .ach,.acr, .atto, .adb, .adp, .Annunci, .AGDL, .ai, .aiff, .facente, .al, .Aoi, .APJ, .apk, .ARW, .ascx, .asf, .asm, .aspide, .aspx,.bene, .ASX, .ATB, .avi, .awg, .indietro, .di riserva, .BackupDB, .dietro, .banca, .baia, .vg, .BGT, .bik, .am, .BKP,.miscela,.bmp, .DPW, .BSA, .c, .Contanti, .CDB, .cdf, .cdr, .CDR3, .CDR4, .cdr5, .cdr6, .CDRW, .CDX, .CE1, .CE2, .cielo, .cfg, .CFN,.CGM, .tasca, .classe, .cls, .CMT, .config, .contatto, .cpi, .cpp, .CR2, .craw, .crt, .CRW, .piangere, .cs, .csh, .CSL, .css, .csv,.d3dbsp, .Dacian, .il, .che, .db, .db_journal, .DB3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .bacino, .NRW, .DDS, .DEF, .il, .di,.design, .DGC, .con, .questo, .djvu, .DNG, .doc, .docm, .docx, .puntino, .dotm, .dotx, .DRF, .DRW, .dtd, .dwg, .DXB, .dxf, .DXG, .edb,.eml, .eps, .erbsql, .erf, .exf, .FDB, .EF, .fff, .A nome di, .FHD, .fla, .flac, .FLB, .FLF, .flv, .flvv, .forgiare, .FPX, .FXG, .gbr, .gho,.gif, .grigio, .grigio, .gruppi, .gioco, .h, .hbk, .HDD, .hpp, .html, .iBank, .IBD, .FLR, .idx, .iif, .IIQ, .incpas, .INDD, .Informazioni, .info_,.questo, .persone, .vaso, .Giava, .JNT, .JPE, .jpeg, .jpg, .js, .JSON, .K2P, .KC2, .kdbx, .KDC, .chiave, .kpdx, .Storia, .laccdb, .lbf, .LCK, .LDF, .illuminato,.litemod, .litesql, .serratura, .ceppo, .LTX, .prendere, .m, .m2ts, .m3u, .m4a, .M4P, .m4v, .ma, .mab, .MAPIMAIL, .max, .Vista, .md, .CIS, .mdc, .mdf, .mef, .MFW,.medio, .mkv, .mlb, .MMW, .mny, .i soldi, .MoneyWell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .MRW,.msf, .msg, .mondo, .ND, .ndd, .NDF, .navata, .NK2, .nop, .nrw, .ns2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .nvram, .nwb,.NX2, .NXL, .NYF, .OAB, .obj, .ODB, .Ep, .odf, .risposta, .odm, .Rispondere, .paragrafo, .odt, .ogg, .olio, .Oh mio Dio, .uno, .orf, .ost,.OTG, .OTH, .OTP, .ots, .ci, .p12, .p7b, .P7C, .aiutare, .pagine, .non, .colpetto, .PBF, .PCD, .PCT, .pdb, .PDD, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .PMJ, .PML, .PMM, .PMO, .PMR, .PNC, .PND, .png, .PNX,.pentola, .sentieri, .potx, .PPAM, .pps, .PPSM, .PPSX, .ppt, .pptm, .pptx, .prf, .privato, .ps, .psafe3, .psd, .pspimage, .PST (ora standard del Pacifico,.PTX, .pub, .PWM, .py, .supremo, .QBB, .QBM, .Qbr, .QBW, .QBX, .QBY, .qcow, .qcow2, .QED, .QTB, .R3D, .raf, .rar, .ratto, .crudo, .rdb, .re4, .rm,.rtf, .RVT, .RW2, .RWL, .RWZ, .s3db, .al sicuro, .sas7bdat, .settimane, .salvare, .dire, .sd0, .sda, .sdb, .senza casa, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-SHM, .sqlite-wal, .SR2, .serbo, .SRF, .srs, .srt, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .stc, .std, .sti, .stl, .stm, .STW, .STX, .svg, .swf,.sxc, .SXD, .SXG, .lei, .SXM, .SXW, .tasse, .TBB, .tbk, .TBN, .tex, .tga, .thm, .tif, .bisticcio, .pc, .TLX, .txt, .cfu, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .VMSD, .vmx,.vmxf, .vob, .VPD, .VSD, .DHS, .batuffolo, .portafoglio, .era, .wav, .WB2, .wma, .wmf, .wmv, .WPD, .wps, .X11, .X3F, .film, .XLA, .xlam, .XLK, .XLM, .xlr, .xls, .XLSB, .xlsm, .xlsx,.XLT, .XLTM, .xltx, .XLW, .xml, .xps, .xxx, .YCbCr, .yuv, .chiusura

durante la scansione, GANDCRAB 5.0.3 può saltare la crittografia dei file nelle seguenti directory di Windows, in modo che si può ancora utilizzare il PC per pagare il riscatto:

→ \Dati del programma
\File di programma
\Tor Browser
Ransomware
\Tutti gli utenti
\Impostazioni locali
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
Ntuser.dat.log
thumbs.db

Passo #2: GANDCRAB 5.0.3 copia i file originali e crittografa le copie, dopo di che cancella le versioni originali dei file stessi.

Passo #3: Il virus crea quindi una chiave di decodifica unica, che è nascosto e potrebbe avere sia la .KEY o il suffisso .lock aggiunti ad esso. Il file in sé non può essere aperto da qualsiasi forma di software, come è anche criptato.

Passo #4: GANDCRAB 5.0.3 ransomware aggiunge un'estensione 5.letter per i file codificati, facendoli apparire come l'immagine qui sotto mostra: