GANDCRAB 5.0.3 Ransomware - como removê-lo (+ restaurar arquivos)

GANDCRAB 5.0.3 Vírus – Como isso Infect

Para o GANDCRAB 5.0.3 ransomware vírus para ser eficaz durante o curso de sua infecção, o ransomware pretende ser replicado por meio de vários métodos diferentes, o principal dos quais é relatado como sendo transportado por meio de e-mails de spam que contêm anexo de e-mail malicioso, posando como documentos importantes. A principal estratégia dos hackers é induzir as vítimas a abrir o anexo ou clicar no URL que desejam, que eventualmente desencadeia o processo de infecção.

Esses tipos de e-mail costumam se apresentar como mensagens vindas de grandes empresas como a DHL, eBay e muitos outros sites respeitáveis ​​e amplamente usados. Os próprios anexos podem representar tantos documentos de extrema importância, por exemplo:

• Documento de cancelamento de pedido.
• Fatura.
• Recibo.
• declaração Banking.
• Outros arquivos.

O principal método de infecção que é característico da infecção da magnitude do ransomware GANDCRAB até agora foi relatado por pesquisadores como conduzido por meio de arquivos PDF, que contêm macros, embutido diretamente neles. Uma vez aberto, o arquivo PDF leva a um documento do Microsoft Word, que pede à vítima para ativar a edição, a fim de desbloquear o conteúdo do documento. Habilitar edição ativa as macros maliciosas e a infecção começa. Para melhor explicar como funciona, projetamos uma sequência de infecção de exemplo contendo todas as etapas de infecção em ordem cronológica:

E os próprios e-mails também não são feitos por amadores. Eles contêm remetentes aparentemente confiáveis. Aqui está um e-mail malicioso espalhando esse arquivo .PDF que contém GANDCRAB:

De: “Brandon Clay” Brandon@cdkconstruction.org
Sujeito: Conta de eletricidade Fev-6509
Anexo: Fev-10451.pdf
Texto de corpo: Baixe o arquivo anexado.

além disso, GANDCRAB 5.0.3 também pode infectar as vítimas de maneira semelhante a GANDCRAB 5.0.1 faz e isso é usar rachaduras maliciosas, a fim de replicar.

relacionado: Rachaduras GandCrab ransomware hoje infecta através do software

Esses tipos de rachaduras são carregados como arquivos .exe em um site WordPress que é invadido pelo spammer de malware ou criado pelo próprio spammer. Eles imitam os ativadores de diferentes programas gratuitos que podem ser úteis para usuários que trabalham com documentos. Uma das páginas de crack foi mostrada na imagem abaixo:

GANDCRAB 5.0.3 Ransomware - O que ele faz

GANDCRAB 5.0.3 ransomware infecta usuários ao executar seu arquivo executável malicioso. De acordo com últimos relatórios, o próprio exemplo é um tipo de arquivo de downloader JavaScript, chamado "GandCrab 5.0.3 downloader.js”. Possui os seguintes indicadores de compromisso:

→ Nome: GandCrab 5.0.3 downloader.js
MD5: 595A31A4913951D3EB7211618AE75DEA
Tamanho: 986 KB
Localização: C:\Users Admin AppData Temp

O script malicioso gera dois outros processos maliciosos, provavelmente no mesmo local. Eles têm os seguintes nomes:

• dsoyaltj.exe
• Wermgr.exe

Os processos maliciosos obtêm privilégios administrativos e, em seguida, executam os seguintes comandos no Prompt de Comando do Windows como administrador:

→ wmic.exe shadowcopy delete
wmd.exe / c tempo limite –c 5 & del “C” Windows System32 wermgr.exe ”/ f / q
wimeout.exe –c 5

Então, o malware elimina seu arquivo de nota de resgate, criando milhares de cópias em cada uma das pastas onde os arquivos são criptografados. A nota de resgate contém a extensão do arquivo dos arquivos criptografados e, em seguida, o sufixo “-DECRYPT.txt”. Tem a seguinte mensagem para as vítimas:

- = GANDCRAB V5.0.3 = -
Atenção!
Todos os seus arquivos, documentos, fotos, bases de dados e outros arquivos importantes são criptografadas e tem a extensão: {5 letras aleatórias}
O único método de recuperação de arquivos é a compra de uma chave privada única. Só podemos dar-lhe esta chave e só nós podemos recuperar seus arquivos.
O servidor com a chave está em uma rede fechada TOR. Você pode chegar lá pelas seguintes formas:
------------------------
| 0. Baixar navegador Tor - https://www.torproject.org/
| 1. Instalar Tor Navegador
| 2. Abrir Tor Navegador
| 3. Abrir link no navegador TOR https://gandcrabmfe6mnef.onion/{identificação única da vítima}
| 4. Siga as instruções nesta página
Em nossa página você vai ver instruções sobre o pagamento e ter a oportunidade para descriptografar 1 arquivo de graça.
ATENÇÃO!
Danosos, a fim de evitar que dados:
• Não modifique arquivos criptografados
• Não altere dados abaixo

O objetivo principal da nota de resgate é fazer com que as vítimas tenham medo o suficiente para visitar a página de pagamento do Tor de GANDCRAB, que é uma página muito bem desenhada para extorsão cibernética (veja a imagem abaixo) que contém até "suporte ao cliente" e fornece descriptografia gratuita de 1 Arquivo:

além disso, ao lado da nota de resgate de GANDCRAB 5.0.3, o vírus também deixa seu arquivo de nota de resgate no seguinte diretório do Windows:

→C:\Users Admin AppData Temp Liebert.bmp

A nota de resgate foi definida como papel de parede e mostra a seguinte mensagem de extorsão:

Nota da imagem:

Criptografados por GANDCRAB 5.0.3
CARO administrador,
SEUS ARQUIVOS ESTÃO SOB FORTE PROTEÇÃO POR NOSSO SOFTWARE. PARA RESTAURÁ-LO, VOCÊ DEVE COMPRAR O DESCRIPTOR.
Para mais passos ler {extensão}-DECRYPT.txt que está localizada em cada pasta criptografada.

Mas a parte triste aqui é que GANDCRAB 5.0.3 não para por aí, pois também acessa o Editor de registro do Windows para obter mais permissões sobre a máquina infectada. Acredita-se que o vírus acesse as seguintes subchaves e adultere as entradas dentro delas:

→ HKEY_CURRENT_USER Control Panel International
HKEY_CURRENT_USER SOFTWARE keys_data data
HKEY_LOCAL_MACHINE HARDWARE DESCRIPTION System CentralProcessor 0
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Wbem CIMOM
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion
HKEY_LOCAL_MACHINE SOFTWARE ex_data data
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters

GANDCRAB 5.0.3 não para por aí, pois o vírus estabelece centenas de conexões e muito tráfego POST, tudo isso pode ser visto visitando o relatório completo na página da web de Any.run:

• Relatório Any.Run Completo do GANDCRAB 5.0.3 ransomware

GANDCRAB 5.0.3 ransomware – Informação de criptografia

A família de vírus GANDCRAB é única pelo fato de usar um algoritmo de criptografia diferente da maioria das infecções de ransomware existentes e da versão 5.0.3 não é exceção. O vírus usa Salsa20 Algoritmo de criptografia, o que garante criptografar arquivos mais rápido nos computadores das vítimas. O processo de criptografia de GANDCRAB 5.0.3 é conduzido nas seguintes etapas:

Degrau #1: GANDCRAB 5.0.3 começa a escanear seu computador em busca de documentos, vídeos, imagens, arquivos de áudio, arquivo, bases de dados e outros arquivos importantes, com base em suas extensões de arquivo. O vírus pode ter como alvo e criptografar arquivos dos seguintes tipos:

→ .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3por, .7de, .7fecho eclair, .aac, .AB4, .abd, .acc, .ACCDB, .ACCDE, .accdr, .accdt, .mas,.acr, .Aja, .adb, .adp, .Publicidades, .AGDL, .para, .aiff, .pertencente ao, .ai, .aoi, .APJ, .apk, .ganho dia, .ascx, .asf, .pessoa, .áspide, .aspx,.de ativos, .asx, .atb, .avi, .AWG, .de volta, .cópia de segurança, .backupdb, .atrás, .banco, .baía, .bdb, .BGT, .bik, .caixa, .PKP,.mistura,.bmp, .bpw, .BSA, .c, .dinheiro, .cdb, .cdf, .cdr, .CDR3, .CDR4, .cdr5, .cdr6, .cdrw, .cdx, .CE1, .CE2, .cer, .cfg, .CFN,.cgm, .bolso, .classe, .cls, .cmt, .configuração, .contato, .cpi, .cpp, .CR2, .papo, .crt, .CRW, .chore, .cs, .csh, .CSL, .css, .csv,.d3dbsp, .Dacian, .o, .que, .db, .db_journal, .db3, .dbf, .dbx, .DC2, .dcr, .DCS, .ddd, .doca, .NRW, .dds, .def, .o, .do,.desenhar, .dgc, .com, .esta, .djvu, .DNG, .doutor, .docm, .docx, .ponto, .dotm, .dotx, .DRF, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .computador,.eml, .eps, .erbsql, .erf, .EXF, .fdb, .FfD, .fff, .fh, .FHD, .fla, .flac, .FLB, .FLF, .flv, .flvv, .forja, .FPX, .fxg, .GBR, .gho,.gif, .cinzento, .cinzento, .grupos, .jogo, .h, .hbk, .hdd, .hpp, .html, .iBank, .ibd, .FLR, .idx, .IIF, .IIQ, .incpas, .indd, .informações, .info_,.esta, .iwi, .jarra, .Java, .JNT, .JPE, .jpeg, .jpg, .js, .json, .K2P, .KC2, .kdbx, .kdc, .chave, .kpdx, .história, .laccdb, .lbf, .lck, .ldf, .aceso,.litemod, .litesql, .bloqueio, .registro, .ltx, .tomar, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .mamãe, .mab, .MAPIMAIL, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.médio, .mkv, .mlb, .MMW, .mny, .dinheiro, .MoneyWell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .mundo, .nd, .ndd, .NDF, .nef, .NK2, .nop, .NRW, .ns2, .ns3, .ns4, .NSD, .nsf, .NSG, .nsh, .nvram, .NWB,.nx2, .NXL, .nyf, .oab, .obj, .odb, .episódio, .odf, .resposta, .odm, .responder, .ods, .odt, .ogg, .óleo, .AMD, .1, .ORF, .ost,.OTG, .oth, .otp, .ots, .lá, .p12, .P7B, .P7C, .ajuda, .Páginas, .não, .palmadinha, .PBF, .pcd, .pct, .pdb, .PDD, .pdf, .PFE,.estab, .pfx, .php, .bicanca, .pl, .plc, .plus_muhd, .PM!, .PM, .PMI, .pmj, .Pml, .PMM, .PMO, .PMR, .pnc, .PND, .png, .pnx,.maconha, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .PPTX, .prf, .privado, .ps, .psafe3, .psd, .pspimage, .PST,.ptx, .bar, .PWM, .py, .qba, .QBB, .QBM, .QBR, .QBW, .QBX, .QBY, .qcow, .qcow2, .são, .QTB, .r3d, .raf, .rar, .rato, .cru, .RDB, .RE4, .rm,.rtf, .RVT, .RW2, .RWL, .RWZ, .s3db, .seguro, .sas7bdat, .sav, .Salve , .dizer, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .SLM, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-SHM, .sqlite-wal, .SR2, .SRB, .SRF, .srs, .srt, .SRW, .ST4, .ST5, .st6, .st7, .ST8, .stc, .std, .sti, .tamanho, .stm, .stw, .STX, .SVG, .swf,.sxc, .SXD, .SXG, .ela, .SXM, .sxw, .imposto, .tbb, .tbk, .TBN, .tex, .tga, .thm, .tif, .arrufo, .pcs, .TLX, .TXT, .UPK, .usr, .vbox, .VDI, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .VPD, .vsd, .wab, .chumaço, .carteira, .guerra, .wav, .WB2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .X3F, .filme, .xla, .xlam, .XLK, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, ..xlw, .xml, .xps, .xxx, .ycbcra, .YUV, .fecho eclair

Durante a digitalização, GANDCRAB 5.0.3 pode pular a criptografia de arquivos nos seguintes diretórios do Windows, de modo que você ainda pode usar seu PC para pagar o resgate:

→ \Dados do Programa
\Arquivos de Programas
\Navegador Tor
ransomware
\Todos os usuários
\Configurações locais
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
Ntuser.dat.log
thumbs.db

Degrau #2: GANDCRAB 5.0.3 copia os arquivos originais e criptografa as cópias, após o que exclui as versões originais dos próprios arquivos.

Degrau #3: O vírus então cria uma chave de descriptografia única, que está oculto e pode ter o sufixo .KEY ou .lock adicionado a ele. O arquivo em si não pode ser aberto por qualquer tipo de software, pois também é criptografado.

Degrau #4: GANDCRAB 5.0.3 ransomware adiciona uma extensão de 5.letter aos arquivos codificados, fazendo-os aparecer como na imagem abaixo mostra: