Elimină virusul GandCrab 5.2 (Bonus: Paşi de decriptare) - apr. 2019 actualizat
Ghid de înlăturare a viruşilor GandCrab 5.2
Ce este Ransomware-ul GandCrab 5.2?
GandCrab 5.2 este ransomware-ul ce a ieşit rapid după ce a fost lansat decriptorul pentru versiunile lui anterioare, de către Bitdefender
GandCrab 5.2 este criptovirusul care a fost lansat imediat după ce cercetătorii din securitate au prezentat decriptorul pentru toate versiunile lui anterioare , inclusiv pentru cea mai proeminentă, GandCrab 5.1. Virusul a fost una dintre cele mai cunoscute ameninţări din lume, infectând utilizatorii prin intermediul email-urilor de phishing, kiturilor de exploatare, actualizărilor false sau prin intermediul altor metode de distribuţie. GandCrab 5.2 foloseşte un algoritm securizat de criptare pentru a bloca fişierele, după care cere o recompensă în schimbul lor. Datele personale sunt marcate cu extensia de fişier .[caractere la întâmplare], şi de asemenea, este acompaniată de o notă de recompensă [caractere la întâmplare]-DECRYPT.txt, care apare în fiecare dosar afectat. Această versiune a virusului pare să fi fost modificată puţin, cu diferenţe minore în suma recompensei (550 de dolari în Dash sau BTC), şi instrucţiunile de plată prin intermediul browserului Tor. În câteva zile de la descoperirea ei, cercetătorii au raportat mai mult de 10 probe încărcate de către victime . În ciuda faptului că GandCrab 5.2 este distribuit în mod activ, cercetătorii au observat că v5.1 tot mai este livrat cu ajutorul lui Fallout EK.
Nume | GandCrab 5.2 |
---|---|
Tip | Criptovirus |
Familie | GandCrab |
Extensie | 5-10 caractere la întâmplare |
Suma recompensei | $550 în Dash sau BTC (poate varia) |
Nota recompensei | [caractere la întâmplare]-DECRYPT.txt |
Distribuţie | Ataşamente ale email-urilor spam, kituri de exploatare, atacuri de tip brute-force, etc. |
Decriptare | Unealta de decriptare dezvoltată pentru versiunile anterioare nu funcţionează pentru ransomware-ul GandCrab 5.2. |
Eliminare | Recomandăm eliminarea ransomware-ului GandCrab 5.2 folosind un software anti-malware, după care, curăţarea pagubelor aduse de către virus cu FortectIntego. |
Dacă aţi descoperit recent virusul GandCrab 5.2 în sistem, ar trebui să vă concentraţi pe eliminarea imediată a malware-ului, deoarece decriptarea nu este posibilă pentru această versiune de ransomware a familiei GandCrab.
Se pare că dezvoltatorii lui GandCrab 5.2 s-au concentrat pe lansarea unei versiuni noi cât mai repede posibil, astfel încât toate funcţiile cunoscute anterior au fost ţinute sub dezvoltare pentru varianta V5.2:
- extensia de fişier de la sfârşitul datelor criptate este formată din 5-10 caractere la întâmplare,
- mesajul cu recompensa este livrat după procesul de criptare şi apare ca şi wallpaper pe ecran;
- nota dezvăluie metodele de plată şi este denumită conform extensiei;
- nota de recompensă [caractere la întâmplare]-DECRYPT.txt încurajează victimele să plătească prin intermediul link-urilor din browserul Tor, deci nu există adrese de email de contact.
[caractere la întîmplare]-DECRYPT.txt este un şablon al notei de recompensă care este livrat de către ransomware-ul GandCrab 5.2, după blocarea cu succes a fişierelor, şi arată aşa:
—= GANDCRAB V5.2 =—
UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED
FAILING TO DO SO WIL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORSAttention!
All your files, documents, photos, databases and other important files are encrypted and have the extension:
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
—————————————————————————————–
| 0. Download Tor browser – https://www.torproject.org/
| 1. Install Tor Browser
| 2. Open Tor Browser
| 3. Open link in TOR browser http://gandcrabmfe6mnef.onion/ b6314679c4ba3647/
| 4. Follow the instructions on this page—————————————————————————————–
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW—BEGIN GANDCRAB KEY—
–
—END GANDCRAB KEY——BEGIN PC DATA—
–
—END PC DATA—
Ransomware-ul GandCrab 5.2 este cea mai recentă versiune a cunoscutei familii de ransomware, ce prezintă toate funcţiile virusului anterior.
Dezvoltatorii lui GandCrab V5.2 sunt cunoscuţi pentru familia lor notorie de criptoviruşi. Aceasta este cea mai nouă lansare, descoperită de către Tamas Boczan – un cercetător de malware care a raportat-o pe Twitter şi a inclus 10 probe de malware şi analizele lui .
Experţii recomandă utilizarea unor unelte automate de eliminare a lui GandCrab 5.2 şi îl angajează pe FortectIntego pentru asta, cu toate că, alte unelte precum SpyHunter 5Combo Cleaner pot fi utilizate. Această variantă de malware este detectată sub diverse nume, inclusiv TR/AD.GandCrab.tvnwv, Win32:Malware-gen, RDN/Generic.grp, Trojan:Win32/Dynamer!rfn, Ransom.GandCrab, etc.
Conform fişierului de tip text, ar trebui să accesaţi browserul Tor şi să lansaţi website-ul de plată. După, veţi putea vedea o fereastră în browser ce conţine instrucţiunile şi suma recompensei. Ca şi ceilalţi membri ai familiei, ransomware-ul GandCrab 5.2 cere plata în criptomonedele Dash sau Bitcoin. Cu toate acestea, suma poate fi diferită în funcţie de numărul de fişiere criptate, originea victimei, şi alţi factori. Suma cerută poate atinge 2400 de dolari, cu toate că unii utilizatori au raportat că această versiune cere 550 de dolari.
Cu toate că dezvoltatorii lui GandCrab 5.2 promit decriptarea gratuită a unui fişier şi chiar garantează decriptarea completă a datelor, totuşi, aceşti oameni sunt criminali cibernetici, şi nu se poate avea încredere în ei. Principalul scop al dezvoltatorilor de viruşi este format din banii dumneavoastră.
Asiguraţi-vă că îl eliminaţi pe GandCrab 5.2, în loc să plătiţi recompensa sau să contactaţi aceşti criminali, deoarece aceştia sunt cunoscuţi de ceva timp pentru comportamentul lor maliţios. Preocuparea dumneavoastră pentru fişierele criptate este de înţeles, însă trebuie să vă concentraţi pe terminarea malware-ului, după care restaurarea datelor folosind copii de rezervă sau programe de recuperare a datelor.
Ataşamentele email-urilor spam ascund fişiere infectate care execută sarcini utile de ransomware
În timp ce navigaţi pe internet, veţi primi alerte atunci când întâlniţi site-uri de phishing sau purtătoare de malware, dacă folosiţi un anti-malware reputabil. Cu toate acestea, când vine vorba de email-urile spam, nu puteţi fi siguri dacă acel email este în regulă, fără a-l verifica manual. Este posibil să scanaţi fişierul ataşat fără a deschide documentul în sistem, şi să vă asiguraţi că scopul lui nu este maliţios.
Din nefericire, atunci când nu faceţi asta, puteţi fi infectat cu uşurinţă cu malware de la fişierele PDF sau Word, atunci când le descărcaţi sau deschideţi în dispozitiv, fără a le verifica. Aceste email-uri, de obicei, includ nume ale unor servicii sau companii binecunoscute, pentru a înşela oamenii. Atunci când scriptul maliţios este declanşat direct, sarcina utilă a ransomware-ului sau alte programe maliţioase pot intra în sistem fără a fi întrerupte.
Curăţaţi sistemul de GandCrab 5.2 fără a mai aştepta alte pierderi în sistem
Trebuie să treceţi la eliminarea lui GandCrab 5.2 imediat după ce observaţi activitatea acestui virus sau vreun alt comportament suspicios. Poate fi efectuat cu uşurinţă dacă utilizaţi programe anti-malware profesionale. Aceste unelte automate pot efectua o scanare completă a sistemului şi pot indica imediat posibilele programe maliţioase.
După scanarea detaliată a sistemului, FortectIntego, SpyHunter 5Combo Cleaner sau Malwarebytes vă sugerează metode de eliminare a lui GandCrab 5.2 şi curăţarea PC-ului. Ar trebui să urmaţi aceşti paşi pentru a termina virusul inclusiv daunele aduse de el. Repetaţi scanarea cu alte programe similare şi verificaţi de două ori înainte de a introduce un dispozitiv extern cu copiile de rezervă ale datelor sau înainte de instalarea unui software de recuperare date.
Virusul de tip ransomware GandCrab 5.2 este cea mai recentă versiune a familiei GandCrab, şi nu există vreo unealtă oficială de decriptare pentru această variantă. Cu toate acestea, aţi putea fi infectat cu ameninţări anterioare ce au funcţii similare, deci, verificaţi articolele despre eliminarea versiunilor mai vechi.
Manual de înlăturare a virusului GandCrab 5.2
Înlăturaţi GandCrab 5.2 utilizând Safe Mode with Networking
Asiguraţi-vă că eliminaţi ransomware-ul GandCrab 5.2 folosind unelte antivirus reputabile, şi încercaţi să porniţi dispozitivul în Safe Mode with Networking înainte de asta. Aceşti paşi vă permit rularea programului anti-malware, fără întreruperi.
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
- Select Safe Mode with Networking from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
- Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings.
-
Pasul 2: Înlătură GandCrab 5.2
Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi FortectIntego sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui GandCrab 5.2.
În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.
Înlăturaţi GandCrab 5.2 utilizând System Restore
Încercaţi funcţia System Restore deoarece această metodă permite restaurarea la o stare anterioară a dispozitivului dumneavoastră.
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
- Select Command Prompt from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
- Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings.
-
Pasul 2: Resetaţi fişierele şi setările sistemului
- Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter.
- Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter..
- Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui GandCrab 5.2. După ce veţi face acest lucru, apăsaţi Next.
- Acum apăsaţi pe Yes pentru a începe restaurarea sistemului.
Bonus: Recuperaţi-vă datele
Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi GandCrab 5.2 din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.Dacă fişierele dumneavoastră au fost criptate de către GandCrab 5.2, puteţi utiliza diverse metode pentru a le recupera:
Data Recovery Pro este varianta de software pentru restaurare fişiere, care poate înlocui copiile de rezervă.
Folosiţi Data Recovery Pro atunci când aveţi nevoie de alternative pentru copiile datelor, sau fişierele dumneavoastră au fost şterse accidental sau criptate.
- Descărcare Data Recovery Pro;
- Urmaţi paşii din setările Data Recovery şi instalaţi programul în calculatorul dumneavoastră;
- Lansaţi-l şi scanaţi-vă calculatorul pentru fişierele criptate de către ransomware-ul GandCrab 5.2;
- Recuperaţi-le.
Funcţia Windows previous Versions este utilă pentru recuperarea fişierelor după atacul lui GandCrab 5.2.
Atunci când System Restore este activ, puteţi folosi funcţia Windows Previous Versions
- Căutaţi un fişier criptat pe care doriţi să îl recuperaţi şi apăsaţi dreapta pe el;
- Selectaţi “Properties” şi mergeţi la fereastra “Previous versions”;
- Aici, verificaţi fiecare copie disponibilă a fişierelui în “Folder versions”. Ar trebui să selectaţi versiunea pe care doriţi să o recuperaţi şi apăsaţi “Restore”.
ShadowExplorer este o metodă pentru recuperarea datelor.
Atunci când ransomware-ul nu afectează Shadow Volume Copies, puteţi restaura datele folosind ShadowExplorer
- Descarcă Shadow Explorer (http://shadowexplorer.com/);
- Urmaţi setarea de instalare Shadow Explorer şi instalaţi această aplicaţie în calculatorul dumneavoastră.
- Lansaţi programul şi treceţi prin meniul sus-jos din colţul stânga sus pentru a selecta diskul cu datele criptate. Verificaţi ce dosare se află acolo.
- Apăsaţi dreapta pe dosarul pe care doriţi să îl recuperaţi şi selectaţi “Export”. De asemenea, puteţi selecta locul unde doriţi să îl stocaţi.
Decriptorul pentru GandCrab 5.2 nu a fost creat.
În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de GandCrab 5.2 precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum FortectIntego, SpyHunter 5Combo Cleaner sau Malwarebytes.