ガンドクラブ 5.0.3 ランサムウェア–それを削除する方法 (+ ファイルを復元する)

ガンドクラブ 5.0.3 ウイルス – どのように感染しますか

のために ガンドクラブ 5.0.3 ランサムウェア ウイルスは感染の過程で効果を発揮します, ランサムウェアは、複数の異なる方法で複製されることを目的としています, そのプライマリは、悪意のある電子メールの添付ファイルを含むスパム電子メールを介して運ばれると報告されています, 重要な文書を装う. ハッカーの主な戦略は、被害者をだまして添付ファイルを開くか、目的のURLをクリックさせることです。, 最終的に感染プロセスをトリガーします.

これらのタイプの電子メールは、DHLなどの大企業からのメッセージを装うことがよくあります。, eBayおよび他の多くの評判が良く大量に使用されているサイト. 添付ファイル自体は、最も重要な多くのドキュメントをもたらす可能性があります, 例えば:

• 注文キャンセル文書.
• 請求書.
• レシート.
• 銀行取引明細書.
• その他のファイル.

GANDCRABランサムウェアの規模からの感染に特徴的な主な感染方法は、これまでのところ、悪意のあるものを介して行われることが研究者によって報告されています。 PDFファイル, マクロを含む, それらに直接埋め込まれています. 開封後, PDFファイルはMicrosoftWord文書につながります, ドキュメントの内容のロックを解除するために編集を有効にするように被害者に要求します. 編集を有効にすると、悪意のあるマクロがトリガーされ、感染が始まります. それがどのように機能するかを最もよく説明するために, すべての感染ステップを時系列で含む感染シーケンスの例を設計しました:

そして、メール自体はアマチュアによっても作られていません. 一見評判の良い送信者が含まれています. これは、そのような.PDFファイルを拡散する悪意のある電子メールの1つです。 ガンドクラブ:

から: “ブランドンクレイ” Brandon@cdkconstruction.org
主題: 電気代2月-6509
アタッチメント: 2月-10451.pdf
本文: 添付ファイルをダウンロードする.

さらに, ガンドクラブ 5.0.3 同様の方法で犠牲者に感染する可能性もあります ガンドクラブ 5.0.1 複製するために悪意のあるクラックを使用することです.

関連している: GandCrabランサムウェアがソフトウェアクラックを介して感染するようになりました

これらの種類のクラックは、マルウェアスパマーによってハッキングされたか、スパマー自身によって作成されたWordPressサイトに.exeファイルとしてアップロードされます。. それらは、ドキュメントを操作するユーザーに役立つ可能性のあるさまざまな無料プログラムのアクティベーターを模倣します. クラックページの1つが下の画像に示されています:

ガンドクラブ 5.0.3 ランサムウェア–それは何をしますか

ガンドクラブ 5.0.3 ランサムウェアは、悪意のある実行可能ファイルを実行することによってユーザーに感染します. によると 最新のレポート, サンプル自体はJavaScriptダウンローダータイプのファイルです, 「ガンドクラブ 5.0.3 downloader.js」. 次の侵入の痕跡があります:

→ 名前: ガンドクラブ 5.0.3 downloader.js
MD5: 595A31A4913951D3EB7211618AE75DEA
サイズ: 986 KB
位置: C:\Users Admin AppData Temp

悪意のあるスクリプトは、他の2つの悪意のあるプロセスを生成します, 同じ場所にある可能性が高い. 彼らは次の名前を持っています:

• dsoyaltj.exe
• Wermgr.exe

悪意のあるプロセスは管理者権限を取得し、管理者としてWindowsコマンドプロンプトで次のコマンドを実行します:

→ wmic.exeシャドウコピー削除
wmd.exe / cタイムアウト–c 5 & del“ C” Windows System32 wermgr.exe” / f / q
wimeout.exe –c 5

それで, マルウェアは、ファイルが暗号化されている各フォルダーに何千ものコピーを作成することにより、身代金メモファイルをドロップします. 身代金メモには、暗号化されたファイルのファイル拡張子と、接尾辞「-DECRYPT.txt」. 被害者へのメッセージは次のとおりです。:

— = GANDCRAB V5.0.3 = —
注意!
すべてのファイル, ドキュメント, 写真, データベースやその他の重要なファイルは暗号化されており、拡張子は: {5 ランダムな文字}
ファイルを回復する唯一の方法は、一意の秘密鍵を購入することです. 私たちだけがあなたにこの鍵を与えることができ、私たちだけがあなたのファイルを回復することができます.
キーを持つサーバーはクローズドネットワークTORにあります. あなたは次の方法でそこに着くことができます:
———————————————————————–
| 0. Torブラウザをダウンロード– https://www.torproject.org/
| 1. Torブラウザをインストールする
| 2. Torブラウザを開く
| 3. TORブラウザhttpsでリンクを開く://gandcrabmfe6mnef.onion /{被害者の一意のID}
| 4. このページの指示に従ってください
私たちのページでは、支払いの手順が表示され、復号化する機会が得られます 1 無料のファイル.
注意!
データの損傷を防ぐために:
•暗号化されたファイルを変更しないでください
•以下のデータを変更しないでください

身代金メモの主な目的は、被害者を怖がらせてGANDCRABのTor支払いページにアクセスすることです。, これはサイバー恐喝のために非常によく設計されたページです (下の画像を参照してください) 「カスタマーサポート」も含まれており、無料の復号化を提供します 1 ファイル:

さらに, の身代金メモと一緒に ガンドクラブ 5.0.3, ウイルスはまた、次のWindowsディレクトリに身代金メモファイルをドロップします:

→C:\Users Admin AppData Temp Liebert.bmp

身代金メモは、壁紙に次の恐喝メッセージが表示されるように設定されています:

画像からのメモ:

GANDCRABによる暗号化 5.0.3
親愛なる管理者,
あなたのファイルは私たちのソフトウェアによる強力な部分の下にあります. それを復元するには、記述子を購入する必要があります.
さらなるステップについては、 {拡大}-暗号化されたすべてのフォルダにあるDECRYPT.txt.

しかし、ここでの悲しい部分は、そのGANDCRABです 5.0.3 感染したマシンに対するアクセス許可をさらに取得するためにWindowsレジストリエディタにもアクセスするため、ここで停止しません。. このウイルスは、次のサブキーにアクセスし、その中のエントリを改ざんすると考えられています:

→ HKEY_CURRENT_USERコントロールパネルインターナショナル
HKEY_CURRENT_USER SOFTWARE keys_data data
HKEY_LOCAL_MACHINE HARDWARE DESCRIPTION System CentralProcessor 0
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Wbem CIMOM
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion
HKEY_LOCAL_MACHINE SOFTWARE ex_data data
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet services Tcpip Parameters

ガンドクラブ 5.0.3 ウイルスは何百もの接続と大量のPOSTトラフィックを確立するため、そこで止まりません, これらはすべて、Any.runのWebページの完全なレポートにアクセスすると確認できます。:

• GANDCRABの完全なAny.Runレポート 5.0.3 ランサムウェア

ガンドクラブ 5.0.3 ランサムウェア – 暗号化情報

GANDCRABファミリーのウイルスは、他のほとんどのランサムウェア感染やバージョンとは異なる暗号化アルゴリズムを使用しているという点で独特です。 5.0.3 例外ではありません. ウイルスは Salsa20 暗号化アルゴリズム, これにより、被害者のコンピューター上でファイルをより高速に暗号化することが保証されます. の暗号化プロセス ガンドクラブ 5.0.3 次の手順で実行されます:

ステップ #1: ガンドクラブ 5.0.3 コンピューターのドキュメントのスキャンを開始します, ビデオ, 画像, オーディオファイル, アーカイブ, データベースおよびその他の重要なファイル, ファイル拡張子に基づく. このウイルスは、次の種類のファイルを標的にして暗号化する可能性があります:

→ .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7ジップ, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .行為, .adb, .adp, .広告, .agdl, .ai, .aiff, .ait, .al, .あおい, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.資産, .asx, .atb, .avi, .awg, .戻る, .バックアップ, .backupdb, .焼く, .銀行, .ベイ, .bdb, .bgt, .ビック, .置き場, .bkp,.ブレンド,.bmp, .bpw, .bsa, .c, .現金, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .クラス, .cls, .cmt, .構成, .コンタクト, .cpi, .cpp, .cr2, .クロウ, .crt, .crw, .泣く, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .データ, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des,.デザイン, .dgc, .dgn, .ディット, .djvu, .dng, .doc, .docm, .docx, .ドット, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .フォージ, .fpx, .fxg, .gbr, .ゴー,.gif, .グレー, .グレー, .グループ, .グレイ, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .情報, .情報_,.ini, .私は、Wi, .瓶, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .鍵, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .点灯,.litemod, .litesql, .ロック, .ログ, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .最大, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.半ば, .mkv, .mlb, .mmw, .mny, .お金, .マネーウェル, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .油, .ああ、神様, .1, .orf, .ost,.otg, .oth, .otp, .ots, .オット, .p12, .p7b, .p7c, .パブ, .ページ, .pas, .パット, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .ペフ,.ペム, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .午後!, .午後, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.ポット, .ポットム, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .プライベート, .ps, .psafe3, .psd, .pspimage, .PST,.ptx, .パブ, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .ねずみ, .生, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .安全, .sas7bdat, .sav, .保存, .いう, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3、.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .税, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .TXT, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .VOB, .vpd, .vsd, .ワブ, .ワッド, .財布, .戦争, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .ジップ

スキャン中, ガンドクラブ 5.0.3 次のWindowsディレクトリ内のファイルの暗号化をスキップする場合があります, PCを使って身代金を支払うことができるように:

→ \プログラムデータ
\プログラムファイル
\Torブラウザ
ランサムウェア
\全てのユーザー
\ローカル設定
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db

ステップ #2: ガンドクラブ 5.0.3 元のファイルをコピーし、コピーを暗号化します, その後、ファイル自体の元のバージョンを削除します.

ステップ #3: 次に、ウイルスは一意の復号化キーを作成します, これは非表示であり、.KEYまたは.lockサフィックスが追加されている可能性があります. ファイル自体も暗号化されているため、どのような形式のソフトウェアでも開くことはできません。.

ステップ #4: ガンドクラブ 5.0.3 ランサムウェアは、エンコードされたファイルに5文字の拡張子を追加します, 下の画像のように表示させる: