Usuń wirusa GandCrab 3 (Instrukcj usuwania) - Ostatnia aktualizacja, maj 2018
Instrukcja usuwania wirusa GandCrab 3
Czym jest Ransomware GandCrab 3?
Ransomware GandCrab 3 – nowa pochodna niesławnego GandCraba
GandCrab 3 to wirus krypto-ransomware działający jako kolejna wersja niesławnego malware'a GandCrab. Pod koniec kwietnia 2018, ledwie kilka miesięcy po wydaniu GandCrab2, hakerzy zaatakowali na nowo, celując w użytkowników w Rosji, Białorusi, Kazachstanie oraz Ukrainie. Wirus ten korzysta ze szyfrów AES-256 (w trybie CBC) oraz RSA-2048 by uniemożliwiać użytkownikowi korzystania z plików oraz konsekwentnie oznacza je rozszerzeniem .CRAB. Plik CRAB-DECRYPT.txt jest zaś żądaniem okupu zawierającym instrukcję, jak ofiara może zapłacić okup. Akceptowana jest płatność tylko w Bitcoinach.
| Nazwa | GandCrab 3 |
|---|---|
| Wersje | GandCrab, GandCrab 2 |
| Klasyfikacja | Ransomware |
| Rozszerzenie pliku | .CRAB |
| Żądanie okupu | CRAB-DECRYPT.txt |
| Główne objawy | Brak dostępu do plików osobistych, żądanie okupu na pulpicie, spowolnienie komputera, przejęcie tapety pulpitu, przekierowania na stronę płatności |
| Główne zagrożenia | Przejmuje system i może spowodować poważne awarie. Ryzyko utraty plików osobistych oraz pieniędzy. |
| Nie można usunąć tego ransomware'a ręcznie. By się go pozbyć, powinieneś zastoswać profesjonalne oprogramowanie anty-malware takie, jak FortectIntego | |
Na końcu kwietnia 218 roku, eksperci zajmujący się cyberbezpieczeństwem wykryli próbkę trzeciej odmiany raansmware'a GandCrab. Przodkami tego wirusa są wirusy GandCrab oraz GandCrab2 – obydwa okazały się sukcesem z perspektywy oszustów. Pierwotny atak zdołał zebrać ponad 600 tysięcy dolarów w mniej niż cztery miesiące.
Pierwotna wersja jest rozszyfrowywalna – Druga odmiana nie. Nie istnieje też dekrypter GandCrab 3.
Nie ma też stuprocentowej pewności na temat technik dystrybucyjnych wirusa. Bazując jednak na informacjach na temat GandCrab'a, mogą być stosowane następujące metdy:
- Zestaw exploitów Magnitude;
- Zestaw exploitów Rig;
- Zestaw exploitów GrandSoft;
- Kampania malwertisingowa Seamless;
- Fałszywa faktura dołączona do spamu Feb-21310 [random numbers];
- Fałszywa aktualizacja czcionek Hoefler;
- Zhakowane usługi Pulpitu Zdalnego, itd.
Po wniknięciu do systemu, GandCrab 3 modyfikuję sekwencję uruchamiania, usuwa ukryte kopie plików z pomocą Wiersza Poleceń oraz PowerShella, a następnie uruchamia algorytm szyfrujący bazujący na szyfrach AES-256 (w trybie CBC) i RSA-2048. W tle systemu malware działa jako plik random.exe. Może też zaatakować plik explorer.exe i zmusić system do ponownego uruchomienia, by zakończyć szyfrowanie.
Jak jak poprzednia odmiana, dodaje on do zablokowanych plików rozszerzenie .CRAB. na celu ma zaś ponad 250 rodzajów plików, wliczając w to najpopularniejsze formaty (.jpg, .png, .doc, .pdf, .avi, .docx, itd.).Po zablokowaniu dokumentów, wirus tworzy żądanie okupu nazwane CRAB-DECRYPT.txt. Wygląda on następująco:
—= GANDCRAB V3 =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter „username”: 21b1a2d1729f0695
1) Enter „password”: your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!
W przeciwieństwie do dwóch poprzednich wersji, które zaakceptowały kryptowalutę DASH, GandCrab 3 domaga się od ofiar zapłaty okupu w Bitcoinach. Poza tym, badacze malware wykryli, że GandCrab pochodzi z terytoriów Rumunii.
Jeśli masz nawet najmniejsze podejrzenie, że zostałeś zainfekowany tym malware'm, natychmiast usuń GandCrab 3 z systemu. W tym celu zalecamy skorzystanie z narzędzi antywirusowych FortectIntego, SpyHunter 5Combo Cleaner bądź Malwarebytes. Dopóki w komputerze tkwi wirus, nie będziesz mógł odzyskać plików bez płacenia okupu.
Po usunięciu wirusa GandCrab-3, powinieneś spróbować odblokować pliki zablokowane rozszerzeniem .CRAB z pomocą zewnętrznych narzędzi do odzyskiwania plików bądź z pomocą funkcji Przywracania Systemu. Na końcu artykułu znajdziesz instrukcje, które pomogą odzyskać choć część plików.
Przestępcy mogą korzystać z wielu technik rozpowszechniania malware
Zespół Bedynet.ru twierdzi, że ten konkretny ransomware nie przepada za stosowaniem tylko jednej metody dystrybucji. Dopóki wirus nie dosięgnął mainstreamu, ciężko wymienić całą listę wykorzystywanych technik.
Bez względu na to, ludzie powinni być ostrożni wobec wiadomości nazwanych Receipt Feb-21310 [z losowym numerem] wysłanych z [losowe nazwisko]@cdkconstruction.org.Jak tylko zobaczysz podejrzany email od nieznanego nadawcy, zalecamu go natychmiastowo oznaczyć jako spam.
Zestawy exploitów, w tym Magnitude, RIG i GrandSoft, także są znane z bycia używanym do transportu ransomware. By zapobiec złośliwym aplikacjom wykorzystywanie luk w systemie, instaluj wszystkie aktualizacje i łatki systemowe.
Na koniec, zachowaj ostrożność także wobec darmowego pobierania w sieci. Odkryto, że wiele podejrzanych i nielegalnych stron zawiera fałszywe aktualizacje systemu. Jednym z przykładów wykorzystywanych przez wcześniejszą odmianę wirusa, jest fałszywa paczka czcionek Hoefler. Potencjalna ofiara jest przekierowywana na zhakowaną stronę wyświetlającą pomieszany tekst i informującą wyskakującym okienkiem o konieczności pobrania najnowszej łatki do czcionek, która pozwoli na bezproblemowe przejrzenia treści.
Sposoby usunięcia GandCrab-3
Istnieje tylko jedna możliwość na usunięcie ransomware'a GandCrab 3 z systemu. Jest to opcja automatyczna, ponieważ wykorzystuje profesjonalny program anty-malware. Ręczne znalezienie złośliwych aplikacji i usunięcie ich, jest praktycznie niemożliwe – chyba, że chcesz uszkodzić system oraz zaszyfrowane pliki.
W zamian, usilnie zalecamy Ci skorzystać z profesjonalnego programu ochronnego, takiego jak FortectIntego. Po udanym usunięciu wirusa, spróbuj odzyskać pliki z pomocą poniższych metod.
Instrukcja ręcznego usuwania wirusa GandCrab 3
Ransomware: ręczne usuwanie ransomware w Trybie awaryjnym
Ransomware może uniemożliwiać Ci jego usunięcie. W takim wypadku powinieneś uruchomić komputer ponownie w Trybie Awaryjnym z Obsługą Sieci. W tym celu wykonaj następujące kroki:
Ważne! →
Przewodnik ręcznego usuwania może być zbyt skomplikowany dla zwykłych użytkowników komputerów. Przeprowadzenie go w sposób prawidłowy wymaga zaawansowanej wiedzy z zakresu informatyki (jeśli ważne pliki systemowe zostaną usunięte lub uszkodzone, może to skutkować uszkodzeniem całego systemu Windows) i może zająć wiele godzin. Dlatego też zdecydowanie zalecamy skorzystanie z automatycznej metody przedstawionej wyżej.
Krok 1. Przejdź do trybu awaryjnego z obsługą sieci
Ręczne usuwanie malware powinno być wykonywane w Trybie awaryjnym.
Windows 7 / Vista / XP
- Kliknij Start > Zamknij > Uruchom ponownie > OK.
- Kiedy twój komputer stanie się aktywny, zacznij naciskać przycisk F8 (jeśli to nie zadziała, spróbuj F2, F12, Del, itp. – wszystko zależy od modelu płyty głównej) wiele razy, aż zobaczysz okno Zaawansowane opcje rozruchu.
- Wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Windows 10 / Windows 8
- Kliknij prawym przyciskiem myszy przycisk Start i wybierz Ustawienia.
- Przewiń w dół i wybierz Aktualizacja i zabezpieczenia.
- Wybierz Odzyskiwanie po lewej stronie okna.
- Teraz przewiń w dół i znajdź sekcję Zaawansowane uruchamianie.
- Kliknij Uruchom ponownie teraz.
- Wybierz Rozwiązywanie problemów.
- Idź do Zaawansowanych opcji.
- Wybierz Ustawienia uruchamiania.
- Naciśnij Uruchom ponownie.
- teraz wciśnij 5 lub kliknij 5) Włącz tryb awaryjny z obsługą sieci.
Krok 2. Zamknij podejrzane procesy
Menedżer zadań systemu Windows to przydatne narzędzie, które wyświetla wszystkie procesy działające w tle. Jeśli malware uruchomiło proces, to musisz go zamknąć:
- Wciśnij Ctrl + Shift + Esc na klawiaturze, by otworzyć Menedżera zadań.
- Kliknij Więcej szczegółów.
- Przewiń w dół do sekcji Procesy w tle i wyszukaj wszystko, co wygląda podejrzanie.
- Kliknij prawym przyciskiem myszy i wybierz Otwórz lokalizację pliku.
- Wróć do procesu, kliknij na niego prawym przyciskiem myszy i wybierz Zakończ proces.
- Usuń zawartość złośliwego folderu.
Krok 3. Sprawdź Uruchamianie
- Wciśnij Ctrl + Shift + Esc na klawiaturze, by otworzyć Menedżera zadań systemu Windows.
- Idź do karty Uruchamianie.
- Kliknij prawym przyciskiem myszy na podejrzany program i wybierz Wyłącz.
Krok 4. Usuń pliki wirusów
Pliki powiązane z malware można znaleźć w różnych miejscach na komputerze. Oto instrukcje, które pomogą ci je znaleźć:
- Wpisz Czyszczenie dysku w wyszukiwarce Windows i naciśnij Enter.
- Wybierz dysk, który chcesz wyczyścić (C: to domyślny dysk główny i prawdopodobnie jest on tym, który zawiera złośliwe pliki).
- Przewiń w dół przez listę Pliki do usunięcia i wybierz następujące:
Tymczasowe pliki internetowe
Pliki do pobrania
Kosz
Pliki tymczasowe - Wybierz Wyczyść pliki systemowe.
- Możesz także poszukać innych złośliwych plików ukrytych w następujących folderach (wpisz te wpisy w wyszukiwaniu Windows i wciśnij Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Po zakończeniu, uruchom ponownie komputer w normalnym trybie.
Usuń GandCrab 3 korzystająć z System Restore
-
Krok 1: Zresetuj swój komputer Safe Mode with Command Prompt
Windows 7 / Vista / XP- Kliknij Start → Shutdown → Restart → OK .
- Kiedy już włączysz swój komputer, zacznij wciskać przycisk F8 tak długo aż zobaczysz okno Advanced Boot Options
-
Wybierz $1$s z listy
Windows 10 / Windows 8- Wciśnij przycisk Power w oknie logowania oznaczonym Windows. Następnie wciśnij i przytrzmaj Shift, który znajduje się na twojej klawiaturze i wciśnij dodatkowo Restart.
- Teraz wybierz Troubleshoot → Advanced options → Startup Settings a na końcu dodatkowo wybierz Restart
-
Jak tylko włączysz swój komputer wybierz -Enable Safe Mode with Command Prompt w oknie Startup Settings
-
Krok 2: Przywróć ustawienia fabryczne i pliki systemowe
-
Jak tylko zobaczysz okno Command Prompt, wpisz cd restore i wybierz Enter
-
Teraz wybierz rstrui.exe a nastepnie kliknij Enter jeszcze raz.
-
Kiedy pokaże ci się nowe okno wybierz Next a nastepnie wybierz punkt przywracania systemu, który wypada przed zainstalowaniem GandCrab 3. Zaraz po tym wybierz $3$s.
-
Teraz wybierz Yes aby rozpocząć przywracanie systemu
-
Jak tylko zobaczysz okno Command Prompt, wpisz cd restore i wybierz Enter
Bonus: przywróć swoje dane
Poradnik zaprezentowany powyżej powinien pomóc ci w usunieciu oprogramwania GandCrab 3 z twojego komputera. Celem przywrócenia zaszyfrowanych danych prosze skorzystaj z dokladnego poradnika przygotowanego przez naszych ekspertow do spraw bezpieczenstwa usunwirusa.plNiestety, usunięcie GandCrab 3 nie rozszyfruje automatycznie zaatakowanych plików. Po eliminacji wirusa, powinieneś skorzystać z zewnętrznych narzędzi do odzyskiwania danych. My zalecamy następujące opcje:
Jezeli twoje pliki zostaly zaszyfrowane przez GandCrab 3 mozesz skorzystac z podanych metod aby je przywrocic
Wykorzystaj Data Recovery Pro
Data Recovery Pro to zaufane oprogramowanie użytkowe zdolne do odzyskania danych utraconych z powodu przypadkowego skasowania bądź awarii systemu.
- Pobierz Data Recovery Pro;
- Zapoznaj się z nastepującymi krokami Data Recovery a nastepnie zainstaluj program na swoim komputerze.
- Uruchom go a nastepnie przeskanuj swoj zaszyfrowany komputer w poszukiwaniu GandCrab 3.
- Przywróć je
Aktywuj Przywracania Systemu Windows
Jeśli korzystasz z Przywracania Systemu, system powinien automatycznie tworzyć Punkty Przywracania. Oczywiście – możesz też takie punty tworzyć samemu. Jeśli chcesz sprawdzić, czy odzyskanie plików z pomocą tego sposobu jest możliwe, skorzystaj z tej instrukcji:
- Znajdź zaszyfrowany plik, który chcesz przywrócić i kliknij na nim prawym przyciskiem myszy
- Wybierz “Properties” a nastepnie przejdz do zakladki “Previous versions”
- Tutaj sprawdz dostepne kopie pliku w “Folder versions”. Powinienes wybrac wersje ktora cie interesuje i kliknac przycisk przywracania “Restore”
ShadowExplorer
ShadowExplorer nie pomoże – ransomware usuwa ukryte kopie plików.
- Pobierz Shadow Explorer (http://shadowexplorer.com/);
- W odniesieniu do manadzera instalacji Shadow Explorer po prostu postepuj z pozostalymi krokami instalacji.
- Uruchom program, przejdz przez menu a nastepnie w górnym lewym roku kliknij dysk z zaszyfronwanymi danymi. Sprawdz jakie wystepuja tam foldery
- Kliknij prawym przyciskiem na folder ktory chcesz przywrocic i wybierz “Export”. Nastepnie wybierz gdzie chcesz go skladowac.
Nie istnieje żaden dekrypter
Na końcu powinienes dodatkowo pomyśleć o ochronie swojego komputera przed oprogramowaniem ransomware. Aby chronić swój komputer przed GandCrab 3 i innym szkodliwym oprogramowaniem polecamy skorzystanie ze sprawdzonego oprogramowania antyszpiegującego takiego jak FortectIntego, SpyHunter 5Combo Cleaner lub Malwarebytes
Polecane dla ciebie:
Nie pozwól, by rząd cię szpiegował
Rząd ma wiele problemów w związku ze śledzeniem danych użytkowników i szpiegowaniem obywateli, więc powinieneś mieć to na uwadze i dowiedzieć się więcej na temat podejrzanych praktyk gromadzenia informacji. Uniknij niechcianego śledzenia lub szpiegowania cię przez rząd, stając się całkowicie anonimowym w Internecie.
Możesz wybrać różne lokalizacje, gdy jesteś online i uzyskać dostęp do dowolnych materiałów bez szczególnych ograniczeń dotyczących treści. Korzystając z Private Internet Access VPN, możesz z łatwością cieszyć się połączeniem internetowym bez żadnego ryzyka bycia zhakowanym.
Kontroluj informacje, do których dostęp może uzyskać rząd i dowolna inna niepożądana strona i surfuj po Internecie unikając bycia szpiegowanym. Nawet jeśli nie bierzesz udziału w nielegalnych działaniach lub gdy ufasz swojej selekcji usług i platform, zachowaj podejrzliwość dla swojego własnego bezpieczeństwa i podejmij środki ostrożności, korzystając z usługi VPN.
Kopie zapasowe plików do późniejszego wykorzystania w przypadku ataku malware
Problemy z oprogramowaniem spowodowane przez malware lub bezpośrednia utrata danych w wyniku ich zaszyfrowania może prowadzić do problemów z twoim urządzeniem lub do jego trwałego uszkodzenia. Kiedy posiadasz odpowiednie, aktualne kopie zapasowe, możesz z łatwością odzyskać dane po takim incydencie i wrócić do pracy.
Bardzo ważne jest, aby aktualizować kopie zapasowe po wszelkich zmianach na urządzeniu, byś mógł powrócić do tego nad czym aktualnie pracowałeś, gdy malware wprowadziło jakieś zmiany lub gdy problemy z urządzeniem spowodowały uszkodzenie danych lub wpłynęły negatywnie na wydajność.
Posiadając poprzednią wersję każdego ważnego dokumentu lub projektu, możesz oszczędzić sobie frustracji i załamania. Jest to przydatne, gdy niespodziewanie pojawi się malware. W celu przywrócenia systemu, skorzystaj z Data Recovery Pro.
Jeżeli ten darmowy poradnik usuwania plików pomógł ci i jesteś zadowolony z działania naszego serwisu, prosimy o rozważenie dotacji, aby serwis mógł pozostać aktywny. Nawet najmniejsze sumy są mile widziane.