Skala niebezpieczeństwa:  
  (98/100)

Ransomware GandCrab 3. Jak się go pozbyć? (Poradnik usuwania)

stworzone przez Olivia Morelli - - | Rodzaj: Ransomware

Ransomware GandCrab 3 – nowa pochodna niesławnego GandCraba

GandCrab 3 ransomware

GandCrab 3 to wirus krypto-ransomware działający jako kolejna wersja niesławnego malware'a GandCrab. Pod koniec kwietnia 2018, ledwie kilka miesięcy po wydaniu GandCrab2, hakerzy zaatakowali na nowo, celując w użytkowników w Rosji, Białorusi, Kazachstanie oraz Ukrainie. Wirus ten korzysta ze szyfrów AES-256 (w trybie CBC) oraz RSA-2048 by uniemożliwiać użytkownikowi korzystania z plików oraz konsekwentnie oznacza je rozszerzeniem .CRAB.  Plik CRAB-DECRYPT.txt jest zaś żądaniem okupu zawierającym instrukcję, jak ofiara może zapłacić okup. Akceptowana jest płatność tylko w Bitcoinach.

Nazwa GandCrab 3
Wersje GandCrab, GandCrab 2
Klasyfikacja Ransomware
Rozszerzenie pliku .CRAB
Żądanie okupu CRAB-DECRYPT.txt
Główne objawy Brak dostępu do plików osobistych, żądanie okupu na pulpicie, spowolnienie komputera, przejęcie tapety pulpitu, przekierowania na stronę płatności
Główne zagrożenia Przejmuje system i może spowodować poważne awarie. Ryzyko utraty plików osobistych oraz pieniędzy.
Nie można usunąć tego ransomware'a ręcznie. By się go pozbyć, powinieneś zastoswać profesjonalne oprogramowanie anty-malware takie, jak Reimage

Na końcu kwietnia 218 roku, eksperci zajmujący się cyberbezpieczeństwem wykryli próbkę trzeciej odmiany raansmware'a GandCrab. Przodkami tego wirusa są wirusy GandCrab oraz GandCrab2 – obydwa okazały się sukcesem z perspektywy oszustów. Pierwotny atak zdołał zebrać ponad 600 tysięcy dolarów w mniej niż cztery miesiące.

Pierwotna wersja jest rozszyfrowywalna – Druga odmiana nie. Nie istnieje też dekrypter GandCrab 3.
Nie ma też stuprocentowej pewności na temat technik dystrybucyjnych wirusa. Bazując jednak na informacjach na temat GandCrab'a, mogą być stosowane następujące metdy:

  • Zestaw exploitów Magnitude;
  • Zestaw exploitów Rig;
  • Zestaw exploitów GrandSoft;
  • Kampania malwertisingowa Seamless;
  • Fałszywa faktura dołączona do spamu Feb-21310 [random numbers];
  • Fałszywa aktualizacja czcionek Hoefler;
  • Zhakowane usługi Pulpitu Zdalnego, itd.

Po wniknięciu do systemu, GandCrab 3 modyfikuję sekwencję uruchamiania, usuwa ukryte kopie plików z pomocą Wiersza Poleceń oraz PowerShella, a następnie uruchamia algorytm szyfrujący bazujący na szyfrach AES-256 (w trybie CBC) i RSA-2048. W tle systemu malware działa jako plik random.exe. Może też zaatakować plik explorer.exe i zmusić system do ponownego uruchomienia, by zakończyć szyfrowanie.

Jak jak poprzednia odmiana, dodaje on do zablokowanych plików rozszerzenie .CRAB. na celu ma zaś ponad 250 rodzajów plików, wliczając w to najpopularniejsze formaty (.jpg, .png, .doc, .pdf, .avi, .docx, itd.).Po zablokowaniu dokumentów, wirus tworzy żądanie okupu nazwane CRAB-DECRYPT.txt. Wygląda on następująco:

—= GANDCRAB V3 =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter „username”: 21b1a2d1729f0695
1) Enter „password”: your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!

W przeciwieństwie do dwóch poprzednich wersji, które zaakceptowały kryptowalutę DASH, GandCrab 3 domaga się od ofiar zapłaty okupu w Bitcoinach. Poza tym, badacze malware wykryli, że GandCrab pochodzi z terytoriów Rumunii.

Jeśli masz nawet najmniejsze podejrzenie, że zostałeś zainfekowany tym malware'm, natychmiast usuń GandCrab 3 z systemu. W tym celu zalecamy skorzystanie z narzędzi antywirusowych Reimage, Malwarebytes MalwarebytesCombo Cleaner bądź Plumbytes Anti-MalwareMalwarebytes Malwarebytes. Dopóki w komputerze tkwi wirus, nie będziesz mógł odzyskać plików bez płacenia okupu.

Po usunięciu wirusa GandCrab-3, powinieneś spróbować odblokować pliki zablokowane rozszerzeniem .CRAB z pomocą zewnętrznych narzędzi do odzyskiwania plików bądź z pomocą funkcji Przywracania Systemu. Na końcu artykułu znajdziesz instrukcje, które pomogą odzyskać choć część plików.

Przestępcy mogą korzystać z wielu technik rozpowszechniania malware

Zespół Bedynet.ru twierdzi, że ten konkretny ransomware nie przepada za stosowaniem tylko jednej metody dystrybucji. Dopóki wirus nie dosięgnął mainstreamu, ciężko wymienić całą listę wykorzystywanych technik.
Bez względu na to, ludzie powinni być ostrożni wobec wiadomości nazwanych Receipt Feb-21310 [z losowym numerem] wysłanych z  [losowe nazwisko]@cdkconstruction.org.Jak tylko zobaczysz podejrzany email od nieznanego nadawcy, zalecamu go natychmiastowo oznaczyć jako spam.

Zestawy exploitów, w tym Magnitude, RIG i GrandSoft, także są znane z bycia używanym do transportu ransomware. By zapobiec złośliwym aplikacjom wykorzystywanie luk w systemie, instaluj wszystkie aktualizacje i łatki systemowe.

Na koniec, zachowaj ostrożność także wobec darmowego pobierania w sieci. Odkryto, że wiele podejrzanych i nielegalnych stron zawiera fałszywe aktualizacje systemu. Jednym z przykładów wykorzystywanych przez wcześniejszą odmianę wirusa, jest fałszywa paczka czcionek Hoefler. Potencjalna ofiara jest przekierowywana na zhakowaną stronę wyświetlającą pomieszany tekst i informującą wyskakującym okienkiem o konieczności pobrania najnowszej łatki do czcionek, która pozwoli na bezproblemowe przejrzenia treści.

Sposoby usunięcia GandCrab-3

Istnieje tylko jedna możliwość na usunięcie ransomware'a GandCrab 3 z systemu. Jest to opcja automatyczna, ponieważ wykorzystuje profesjonalny program anty-malware. Ręczne znalezienie złośliwych aplikacji i usunięcie ich, jest praktycznie niemożliwe – chyba, że chcesz uszkodzić system oraz zaszyfrowane pliki. 

W zamian, usilnie zalecamy Ci skorzystać z profesjonalnego programu ochronnego, takiego jak Reimage. Po udanym usunięciu wirusa, spróbuj odzyskać pliki z pomocą poniższych metod. 

Oferta
zrób to teraz!
Download
Reimage (usuwanie) Gwarantujemy
zadowolenie
Download
Reimage (usuwanie) Gwarantujemy
zadowolenie
Program jest kompatybilny z Microsoft Windows Supported versions Program jest kompatybilny z OS X Supported versions
Co zrobić w przypadku porażki?
Jeśli nie udało się Tobie usunąć wirusa z pomocą Reimage, zadaj pytanie naszemu zespołowi, zapewniając tak wiele szczegółów, jak to możliwe..
Do usuwania szkód po wirusie zalecamy Reimage. Darmowy skaner oprogramowania pozwoli ci uzyskac informacje odnosnie tego czy twoj komputer zostal zainfekowany czy tez nie. Jezeli chcialbys usunac oprogramowanie malware lepiej bedzie jezeli zakupisz pelna licencje oprogramowania Reimage ktory jest sprawdznym oprogramowaniem do usuwania plikow malware.

Instrukcja ręcznego usuwania wirusa GandCrab 3:

Usuń GandCrab 3 korzystająć z Safe Mode with Networking

Ransomware może uniemożliwiać Ci jego usunięcie. W takim wypadku powinieneś uruchomić komputer ponownie w Trybie Awaryjnym z Obsługą Sieci. W tym celu wykonaj następujące kroki:

  • Krok 1: Zresetuj swój komputer Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Kliknij Start Shutdown Restart OK .
    2. Kiedy już włączysz swój komputer, zacznij wciskać przycisk F8 tak długo aż zobaczysz okno Advanced Boot Options
    3. Wybierz $1$s z listy Wybierz 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Wciśnij przycisk Power w oknie logowania oznaczonym Windows. Następnie wciśnij i przytrzmaj Shift, który znajduje się na twojej klawiaturze i wciśnij dodatkowo Restart.
    2. Teraz wybierz Troubleshoot Advanced options Startup Settings a na końcu dodatkowo wybierz Restart
    3. Jak tylko włączysz swój komputer wybierz -Enable Safe Mode with Networking w oknie Startup Settings Wybierz 'Enable Safe Mode with Networking'
  • Krok 2: Usuń GandCrab 3

    Zaloguj się na zainfekowane konto a następnie uruchom przeglądarkę internetową. Pobierz Reimage lub też inny sprawdzony program antyszpiegujący. Zaaktualizuj go przed wykonaniem pełnego skanu systemu a następnie usuń podejrzane pliki powiązane z wirusem ransomware, zakończ usuwanie GandCrab 3.

Jeżeli program ransomware blokuje skorzystanie z Safe Mode with Networking, skorzystaj z innej metody

Usuń GandCrab 3 korzystająć z System Restore

  • Krok 1: Zresetuj swój komputer Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Kliknij Start Shutdown Restart OK .
    2. Kiedy już włączysz swój komputer, zacznij wciskać przycisk F8 tak długo aż zobaczysz okno Advanced Boot Options
    3. Wybierz $1$s z listy Wybierz 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Wciśnij przycisk Power w oknie logowania oznaczonym Windows. Następnie wciśnij i przytrzmaj Shift, który znajduje się na twojej klawiaturze i wciśnij dodatkowo Restart.
    2. Teraz wybierz Troubleshoot Advanced options Startup Settings a na końcu dodatkowo wybierz Restart
    3. Jak tylko włączysz swój komputer wybierz -Enable Safe Mode with Command Prompt w oknie Startup Settings Wybierz 'Enable Safe Mode with Command Prompt'
  • Krok 2: Przywróć ustawienia fabryczne i pliki systemowe
    1. Jak tylko zobaczysz okno Command Prompt, wpisz cd restore i wybierz Enter Wpisz 'cd restore' bez cudzysłowia a nastepnie wybierz 'Enter'
    2. Teraz wybierz rstrui.exe a nastepnie kliknij Enter jeszcze raz. Wpisz 'rstrui.exe' bez cudzysłowia a nastepnie wybierz 'Enter'
    3. Kiedy pokaże ci się nowe okno wybierz Next a nastepnie wybierz punkt przywracania systemu, który wypada przed zainstalowaniem GandCrab 3. Zaraz po tym wybierz $3$s. Kiedy pojawi się okno 'System Restore' wybierz 'Next'. Wybierz punkt przywracania systemu i wybierz 'Next'
    4. Teraz wybierz Yes aby rozpocząć przywracanie systemu Kliknij 'Yes' i rozpocznij przywracanie systemu.
    Jak tylko przywrócisz system do poprzednich ustawien, pobierz na swoj komputer program Reimage i z jego pomoca dokonaj skanowania swojego systemu, upewnij się że udało ci sie usunąć oprogramowanie GandCrab 3

Bonus: przywróć swoje dane

Poradnik zaprezentowany powyżej powinien pomóc ci w usunieciu oprogramwania GandCrab 3 z twojego komputera. Celem przywrócenia zaszyfrowanych danych prosze skorzystaj z dokladnego poradnika przygotowanego przez naszych ekspertow do spraw bezpieczenstwa usunwirusa.pl

Niestety, usunięcie GandCrab 3 nie rozszyfruje automatycznie zaatakowanych plików. Po eliminacji wirusa, powinieneś skorzystać z zewnętrznych narzędzi do odzyskiwania danych. My zalecamy następujące opcje:

Jezeli twoje pliki zostaly zaszyfrowane przez GandCrab 3 mozesz skorzystac z podanych metod aby je przywrocic

Wykorzystaj Data Recovery Pro

Data Recovery Pro to zaufane oprogramowanie użytkowe zdolne do odzyskania danych utraconych z powodu przypadkowego skasowania bądź awarii systemu. 

  • Pobierz Data Recovery Pro;
  • Zapoznaj się z nastepującymi krokami Data Recovery a nastepnie zainstaluj program na swoim komputerze.
  • Uruchom go a nastepnie przeskanuj swoj zaszyfrowany komputer w poszukiwaniu GandCrab 3.
  • Przywróć je

Aktywuj Przywracania Systemu Windows

Jeśli korzystasz z Przywracania Systemu, system powinien automatycznie tworzyć Punkty Przywracania. Oczywiście – możesz też takie punty tworzyć samemu. Jeśli chcesz sprawdzić, czy odzyskanie plików z pomocą tego sposobu jest możliwe, skorzystaj z tej instrukcji:

  • Znajdź zaszyfrowany plik, który chcesz przywrócić i kliknij na nim prawym przyciskiem myszy
  • Wybierz “Properties” a nastepnie przejdz do zakladki “Previous versions”
  • Tutaj sprawdz dostepne kopie pliku w “Folder versions”. Powinienes wybrac wersje ktora cie interesuje i kliknac przycisk przywracania “Restore”

ShadowExplorer

ShadowExplorer nie pomoże – ransomware usuwa ukryte kopie plików. 

  • Pobierz Shadow Explorer (http://shadowexplorer.com/);
  • W odniesieniu do manadzera instalacji Shadow Explorer po prostu postepuj z pozostalymi krokami instalacji.
  • Uruchom program, przejdz przez menu a nastepnie w górnym lewym roku kliknij dysk z zaszyfronwanymi danymi. Sprawdz jakie wystepuja tam foldery
  • Kliknij prawym przyciskiem na folder ktory chcesz przywrocic i wybierz “Export”. Nastepnie wybierz gdzie chcesz go skladowac.

Nie istnieje żaden dekrypter

Na końcu powinienes dodatkowo pomyśleć o ochronie swojego komputera przed oprogramowaniem ransomware. Aby chronić swój komputer przed GandCrab 3 i innym szkodliwym oprogramowaniem polecamy skorzystanie ze sprawdzonego oprogramowania antyszpiegującego takiego jak Reimage, Malwarebytes MalwarebytesCombo Cleaner lub Plumbytes Anti-MalwareMalwarebytes Malwarebytes

O autorze

Olivia Morelli
Olivia Morelli

Jeżeli ten darmowy poradnik usuwania plików pomógł ci i jesteś zadowolony z działania naszego serwisu, prosimy o rozważenie dotacji, aby serwis mógł pozostać aktywny. Nawet najmniejsze sumy są mile widziane.

Skontaktuj się z autorem
O firmie Esolutions

Źródło: https://www.2-spyware.com/remove-gandcrab-3-ransomware.html

Poradniki w innych językach