Scala de severitate:  
  (99/100)

Ransomware-ul GandCrab. Cum se poate elimina? (Ghid de dezinstalare)

de Julie Splinters - - | De tip: Ransomware

GandCrab – un ransomware de criptare fişiere, care se răspândeşte prin intermediul kiturilor de exploatare şi a ataşamentelor PDF infectate

The ransom note of GandCrab ransomware

GandCrab este un virus de criptare fişiere care, momentan, se răspândeşte prin intermediul kiturilor de exploatare Rig, respectiv GrandSoft. Dezvoltatorul acestuia livrează malware-ul şi prin email-uri spam ce au ca ataşament un fişier PDF. Fişierelor criptate de către ransomware li se adaugă extensia .GDCB şi nu pot fi vizualizate. Adiţional, victima primeşte un fişier GDCB-DECRYPT.txt care serveşte ca şi notă de recompensă. În acest moment, dezvoltatorii acestui cripto-malware cer 1.54 DASH în schimbul cheii de decriptare. Momentan, aceştia ţintesc sistemele pe 64-bit.

Conform analizelor, ransomware-ul GandCrab este distribuit printr-o campanie de promovare maliţioasă , cunoscută ca şi Seamless, care conduce victimele către kitul de exploatare RIG. Acest software a fost proiectat pentru a detecta vulnerabilităţile din sistem şi pentru a le exploata, cu scopul de a infecta sistemul ţintit cu un virus de criptare fişiere sau un alt virus cibernetic, periculos.

După cum a fost specificat de către experţii din securitatea cibernetică , GandCrab se răspândeşte şi prin intermediul email-urilor, ce au subiectul Receipt Feb-21310 [numere la întâmplare]. Numele expeditorului poate varia, însă a doua parte a adresei de email va fi tot timpul @cdkconstruction.org. Mesajul spam al lui GandCrab conţine un ataşament PDF, care descarcă un fişier .doc în sistem. Fişierul .doc rulează un script PowerShell şi creează un fişier de exploatare (sct5.txt), care afectează sistemul pe 64-bit. După cum a fost punctat de către cercetător, fişierul sct5.txt nu rulează ultima sarcină utilă a lui GandCrab, ci execută o exploatare şi rulează ca şi o punte pentru intrarea malware-ului în sistem.

După infiltrare, GandCrab începe să cripteze cele mai valoroase date stocate în sistem. După, utilizatorii nu îşi mai pot accesa fişierele şi sunt informaţi despre atac în mesajul ce cere recompensa, care arată ca mai jos:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

Imediat după ce victima urmează paşii furnizaţi în nota de recompensă, el/ea va fi condus/ă către website-ul numit decriptorul GandCrab. Oamenilor li se va prezenta suma recompensei (aproximativ 1200 de dolari), un chat pentru suport, adresa de DASH şi posibilitatea de a încărca un fişier pentru decriptarea gratuită.

Trebuie menţionat faptul că GandCrab identifică o anumită perioadă în care tranzacţia ar trebui efectuată, în mod contrar, suma recompensei va fi dublată. Cu toate acestea, acest lucru este doar un mod de a intimida victimele şi pentru a le forţa să plătească recompensa fără a evalua alte posibilităţi.

Prin urmare, vă recomandăm să nu urmaţi regulile criminalilor, deoarece există alte metode de recuperare a fişierelor. Pentru asta, trebuie, mai întâi, să îl eliminaţi pe GandCrab. Experţii de la NoVirus.uk avertizează asupra faptului că acesta este un virus extrem de periculos şi că ar trebui eliminat cu ajutorul unui profesionist sau a unui antivirus puternic.

Alegerea noastră pentru eliminarea lui GandCrab ar fi Reimage sau Malwarebytes Anti Malware. Cu toate că este posibil să folosiţi un alt software anti-malware pentru a termina acest virus de criptare fişiere. Mai jos, puteţi găsi instrucţiuni detaliate despre cum puteţi iniţia procedura de eliminare.

În plus, NU încercaţi să îl eliminaţi pe GandCrab pe cont propriu. Astfel de infecţii complexe, de tip ransomware, sunt proiectate pentru a-şi ascunde prezenţa şi pentru a se deghiza ca şi procese legitime ale sistemului. Terminarea fişierelor de sistem cruciale ar putea conduce la avarii permanente ale calculatorului şi la reapariţia cripto-malware-ului. Deci, vă recomandăm să utilizaţi ghidul de eliminare, de mai jos.

Dezvoltatorii distribuie ransomware-ul prin intermediul a două kituri de exploatare

După cum am menţionat deja, această ameninţare cibernetică se răspândeşte cu ajutorul a două kituri de exploatare , kitul de exploare Rig şi GrandSoft. Ambele sunt kituri de exploatare cunoscute, care identifică vulnerabilităţile de sistem din calculatorul victimei şi ajută ransomware-ul să se infiltreze în sistem. Din nefericire, un astfel de software nu necesită permisiunea utilizatorului pentru a instala un virus de criptare fişiere, şi oferă proprietarilor acces de la distanţă pentru a-l lansa pe GandCrab în sistem. Deci, utilizatorii neexperimentaţi s-ar putea să nu recunoască atacul ransomware din prima.

Adiţional, trebuie ştiut că kiturile de exploatare nu reprezintă singurul mod prin care este distribuit un ransomware. Criminalii pot profita de oamenii creduli şi pot folosi email-uri înşelătoare cu ataşamente maliţioase. De obicei, scrisorile vin deghizate ca şi chitanţe, facturi, sau alte documente similare, de la companii şi mărci populare. De asemenea, oamenii naivi deschid ataşamentele infectate şi lasă în sistem ameninţarea cibernetică.

După cum am punctat în paragraful anterior, dezvoltatorul acestui ransomware îl răspândeşte prin email. Subiectul mesajului este tot timpul acelaşi Receipt Feb-21310 [numere la întâmplare], cu excepţia faptului că numele expeditorului poate fi diferit. Chiar şi aşa, sufixul adresei de email este @cdkconstruction.org. Acest email nu conţine prea multe informaţii, doar că trimite către „DOC ataşat.”

Prin urmare, vă sugerăm să fiţi extrem de atent atunci când navigaţi pe internet sau vă monitorizaţi email-urile. Este esenţial să acordaţi atenţie atunci când deschideţi scrisori – puteţi identifica un email maliţios prin faptul că va conţine greşeli gramaticale sau vă îndeamnă să deschideţi un ataşament „pentru mai multe detalii.” Nu deschideţi ataşamentele email-urilor suspicioase, mai ales dacă vedeţi extensiile JS, .EXE, .COM, .PIF, .SCR, .HTA, .vbs, .wsf, .jse, .jar, sau altele dubioase. De asemenea, evitaţi vizitarea website-urilor suspicioase, deoarece este posibil să fie administrate de către criminali cibernetici, şi folosite pentru a distribui infecţii periculoase.

Cum să dezinstalaţi chiar acum virusul GandCrab

Din nefericire, utilizatorii a căror sisteme au fost infectate cu viruşi de tip ransomware, nu prea au de ales şi trebuie să acţioneze rapid – singurul mod de a-l elimina pe GandCrab este prin terminarea automată a ameninţării. Reţineţi că cu cât faceţi asta mai repede cu atât mai bine, deoarece acest criptomalware poate fi programat pentru a infiltra şi alte ameninţări cibernetice în sistem.

Ar trebui să descărcaţi un software de securitate profesional, imediat după ce aţi observat că PC-ul este infectat. Vă recomandăm să utilizaţi Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus sau Malwarebytes Anti Malware pentru eliminarea lui GandCrab. După instalare, rulaţi o scanare completă a sistemului şi terminaţi acest virus de criptare fişiere.

Totuşi, este posibil să nu puteţi instala din prima unealta de eliminare. Pentru asta, trebuie să porniţi calculatorul în Safe Mode. Sub acest articol, veţi găsi un ghid detaliat despre cum puteţi face asta şi cum puteţi scăpa de GandCrab. În plus, experţii noştri au pregătit metode alternative de recuperare pentru a restaura şi fişierele.

Putem fi afiliaţi cu orice produs ce noi recomandăm pe acest site. Întreaga descriere se află în Acordul de Utilizator. Prin descărcarea oricărui software anti program spion furnizat pentru înlăturarea Ransomware-ul GandCrab sunteţi de acord cu politica de confidenţialitate şi acordul de utilizator al nostru.
faceţi acum!
Descărcare
Reimage (pentru eliminare) Fericirea
Garantată
Descărcare
Reimage (pentru eliminare) Fericirea
Garantată
Compatibil cu Microsoft Windows Compatibil cu OS X
Ce trebuie să fac dacă a eşuat
Dacă nu aţi reuşit să eliminaţi infecţia utilizând Reimage, Întrebaţi, contactaţi echipa noastră de suport şi oferiţi cât mai multe detalii posibile.
Reimage este recomandat pentru dezinstalarea lui Ransomware-ul GandCrab. Acest scaner gratuit vă permite să verificaţi dacă PC-ul dumneavoastră este infectat sau nu. Dacă trebuie să înlăturaţi malware, trebuie să achiziţionaţi versiunea licenţiată a uneltei de eliminare malware Reimage.
Mai multe informaţii despre acest program pot fi găsite în recenzia Reimage.
Menţiunile presei asupra produsului Reimage

Manual de înlăturare a virusului GandCrab:

Înlăturaţi GandCrab utilizând Safe Mode with Networking

Începeţi eliminarea lui GandCrab prin pornirea calculatorului în Safe Mode with Networking.

  • Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Apăsaţi Start Shutdown Restart OK.
    2. Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
    3. Select Safe Mode with Networking from the list Selectaţi  'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
    2. Acum selectaţi Troubleshoot Advanced options Startup Settings şi în final apăsaţi pe Restart.
    3. Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings. Selectaţi  'Enable Safe Mode with Networking'
  • Pasul 2: Înlătură GandCrab

    Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi Reimage sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui GandCrab.

În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.

Înlăturaţi GandCrab utilizând System Restore

  • Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Apăsaţi Start Shutdown Restart OK.
    2. Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
    3. Select Command Prompt from the list Selectaţi  'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
    2. Acum selectaţi Troubleshoot Advanced options Startup Settings şi în final apăsaţi pe Restart.
    3. Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings. Selectaţi  'Enable Safe Mode with Command Prompt'
  • Pasul 2: Resetaţi fişierele şi setările sistemului
    1. Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter. Introduceţi 'cd restore' fără ghilimele şi apăsaţi pe 'Enter'
    2. Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter.. Introduceţi 'rstrui.exe' fără ghilimele şi apăsaţi pe 'Enter'
    3. Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui GandCrab. După ce veţi face acest lucru, apăsaţi Next. Atunci când apare fereastra 'System Restore', selectaţi 'Next' Selectaţi punctul de restaurare şi apăsaţi pe 'Next'
    4. Acum apăsaţi pe Yes pentru a începe restaurarea sistemului. Apăsaţi  'Yes' şi începeţi restaurarea sistemului
    După ce setezi sistemul pe o dată anterioară, descarcă şi scanează calculatorul cu Reimage şi asigură-te că GandCrab a fost eliminat cu succes

Bonus: Recuperaţi-vă datele

Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi GandCrab din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.

Dacă fişierele dumneavoastră au fost criptate de către GandCrab, puteţi utiliza diverse metode pentru a le recupera:

Folosiţi Data Recovery Pro

Acest software de recuperare este proiectat pentru a ajuta victimele ransomware-urilor, precum şi pe cele care şi-au şters fişierele din greşeală. Din fericire, nu are nevoie de activarea altor funcţii pentru a-l putea utiliza.

  • Descarcă Data Recovery Pro (http://faravirus.ro/download/data-recovery-pro-setup.exe);
  • Urmaţi paşii din setările Data Recovery şi instalaţi programul în calculatorul dumneavoastră;
  • Lansaţi-l şi scanaţi-vă calculatorul pentru fişierele criptate de către ransomware-ul GandCrab;
  • Recuperaţi-le.

Încercaţi funcţia Windows Previous Versions

Utilizatorii de Windows pot profita de funcţia construită în sistem, care permite recuperarea fişierelor criptate din versiunile anterioare. Cu toate acestea, asiguraţi-vă că funcţia System Restore a fost activată înaintea atacului ransomware.

  • Căutaţi un fişier criptat pe care doriţi să îl recuperaţi şi apăsaţi dreapta pe el;
  • Selectaţi “Properties” şi mergeţi la fereastra “Previous versions”;
  • Aici, verificaţi fiecare copie disponibilă a fişierelui în “Folder versions”. Ar trebui să selectaţi versiunea pe care doriţi să o recuperaţi şi apăsaţi “Restore”.

Obţineţi ShadowExplorer

Această unealtă de recuperare necesită Shadow Volume Copies pentru a funcţiona. De asemenea, verificaţi dacă ransomware-ul nu le-a şters şi folosiţi instrucţiunile de mai jos.

  • Descarcă Shadow Explorer (http://shadowexplorer.com/);
  • Urmaţi setarea de instalare Shadow Explorer şi instalaţi această aplicaţie în calculatorul dumneavoastră.
  • Lansaţi programul şi treceţi prin meniul sus-jos din colţul stânga sus pentru a selecta diskul cu datele criptate. Verificaţi ce dosare se află acolo.
  • Apăsaţi dreapta pe dosarul pe care doriţi să îl recuperaţi şi selectaţi “Export”. De asemenea, puteţi selecta locul unde doriţi să îl stocaţi.

Din nefericire, momentan, nu există vreun decriptor GandCrab.

În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de GandCrab precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus sau Malwarebytes Anti Malware.

Despre autor

Julie Splinters - Specialist în eliminarea de malware

Dacă acest ghid gratuit de înlăturare v-a ajutat şi sunteţi satisfăcut de serviciile noastre, vă rugăm să luaţi în considerare a face o donaţie pentru a menţine acest serviciu în viaţă. Chiar şi o sumă mică va fi apreciată.

Contactați Julie Splinters
Despre compania Esolutions

Ghiduri de înlăturare în alte limbi