Przejdź do treści
  • Aktywne
  • Poziom zagrożenia: Średni
  • Oprogramowanie ransomware
  • Windows
  • Zweryfikowano · lip 2018

Ransomware GandCrab 3Jak się go pozbyć?

Poradnik usuwania krok po kroku dla zainfekowanych urządzeń. Wykonaj zweryfikowaną procedurę poniżej — większość czytelników kończy ją w mniej niż 10 minut.

Olivia Morelli · 6687

Ransomware GandCrab 3 – nowa pochodna niesławnego GandCraba

GandCrab 3 ransomware

GandCrab 3 to wirus krypto-ransomware działający jako kolejna wersja niesławnego malware'a GandCrab. Pod koniec kwietnia 2018, ledwie kilka miesięcy po wydaniu GandCrab2, hakerzy zaatakowali na nowo, celując w użytkowników w Rosji, Białorusi, Kazachstanie oraz Ukrainie. Wirus ten korzysta ze szyfrów AES-256 (w trybie CBC) oraz RSA-2048 by uniemożliwiać użytkownikowi korzystania z plików oraz konsekwentnie oznacza je rozszerzeniem .CRAB.  Plik CRAB-DECRYPT.txt jest zaś żądaniem okupu zawierającym instrukcję, jak ofiara może zapłacić okup. Akceptowana jest płatność tylko w Bitcoinach.

Nazwa GandCrab 3
Wersje GandCrab, GandCrab 2
Klasyfikacja Ransomware
Rozszerzenie pliku .CRAB
Żądanie okupu CRAB-DECRYPT.txt
Główne objawy Brak dostępu do plików osobistych, żądanie okupu na pulpicie, spowolnienie komputera, przejęcie tapety pulpitu, przekierowania na stronę płatności
Główne zagrożenia Przejmuje system i może spowodować poważne awarie. Ryzyko utraty plików osobistych oraz pieniędzy.
Nie można usunąć tego ransomware'a ręcznie. By się go pozbyć, powinieneś zastoswać profesjonalne oprogramowanie anty-malware takie, jak FortectIntego

Na końcu kwietnia 218 roku, eksperci zajmujący się cyberbezpieczeństwem wykryli próbkę trzeciej odmiany raansmware'a GandCrab. Przodkami tego wirusa są wirusy GandCrab oraz GandCrab2 – obydwa okazały się sukcesem z perspektywy oszustów. Pierwotny atak zdołał zebrać ponad 600 tysięcy dolarów w mniej niż cztery miesiące.

Pierwotna wersja jest rozszyfrowywalna – Druga odmiana nie. Nie istnieje też dekrypter GandCrab 3.
Nie ma też stuprocentowej pewności na temat technik dystrybucyjnych wirusa. Bazując jednak na informacjach na temat GandCrab'a, mogą być stosowane następujące metdy:

  • Zestaw exploitów Magnitude;
  • Zestaw exploitów Rig;
  • Zestaw exploitów GrandSoft;
  • Kampania malwertisingowa Seamless;
  • Fałszywa faktura dołączona do spamu Feb-21310 [random numbers];
  • Fałszywa aktualizacja czcionek Hoefler;
  • Zhakowane usługi Pulpitu Zdalnego, itd.

Po wniknięciu do systemu, GandCrab 3 modyfikuję sekwencję uruchamiania, usuwa ukryte kopie plików z pomocą Wiersza Poleceń oraz PowerShella, a następnie uruchamia algorytm szyfrujący bazujący na szyfrach AES-256 (w trybie CBC) i RSA-2048. W tle systemu malware działa jako plik random.exe. Może też zaatakować plik explorer.exe i zmusić system do ponownego uruchomienia, by zakończyć szyfrowanie.

Jak jak poprzednia odmiana, dodaje on do zablokowanych plików rozszerzenie .CRAB. na celu ma zaś ponad 250 rodzajów plików, wliczając w to najpopularniejsze formaty (.jpg, .png, .doc, .pdf, .avi, .docx, itd.).Po zablokowaniu dokumentów, wirus tworzy żądanie okupu nazwane CRAB-DECRYPT.txt. Wygląda on następująco:

—= GANDCRAB V3 =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter „username”: 21b1a2d1729f0695
1) Enter „password”: your password
2. Add new account in Psi
3. Add and write Jabber ID: [email protected] any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!

W przeciwieństwie do dwóch poprzednich wersji, które zaakceptowały kryptowalutę DASH, GandCrab 3 domaga się od ofiar zapłaty okupu w Bitcoinach. Poza tym, badacze malware wykryli, że GandCrab pochodzi z terytoriów Rumunii.

Jeśli masz nawet najmniejsze podejrzenie, że zostałeś zainfekowany tym malware'm, natychmiast usuń GandCrab 3 z systemu. W tym celu zalecamy skorzystanie z narzędzi antywirusowych FortectIntego, SpyHunterCombo Cleaner bądź MalwarebytesMalwarebytes. Dopóki w komputerze tkwi wirus, nie będziesz mógł odzyskać plików bez płacenia okupu.

Po usunięciu wirusa GandCrab-3, powinieneś spróbować odblokować pliki zablokowane rozszerzeniem .CRAB z pomocą zewnętrznych narzędzi do odzyskiwania plików bądź z pomocą funkcji Przywracania Systemu. Na końcu artykułu znajdziesz instrukcje, które pomogą odzyskać choć część plików.

GandCrab 3 virus removal

Przestępcy mogą korzystać z wielu technik rozpowszechniania malware

Zespół Bedynet.ru twierdzi, że ten konkretny ransomware nie przepada za stosowaniem tylko jednej metody dystrybucji. Dopóki wirus nie dosięgnął mainstreamu, ciężko wymienić całą listę wykorzystywanych technik.
Bez względu na to, ludzie powinni być ostrożni wobec wiadomości nazwanych Receipt Feb-21310 [z losowym numerem] wysłanych z  [losowe nazwisko]@cdkconstruction.org.Jak tylko zobaczysz podejrzany email od nieznanego nadawcy, zalecamu go natychmiastowo oznaczyć jako spam.

Zestawy exploitów, w tym Magnitude, RIG i GrandSoft, także są znane z bycia używanym do transportu ransomware. By zapobiec złośliwym aplikacjom wykorzystywanie luk w systemie, instaluj wszystkie aktualizacje i łatki systemowe.

Na koniec, zachowaj ostrożność także wobec darmowego pobierania w sieci. Odkryto, że wiele podejrzanych i nielegalnych stron zawiera fałszywe aktualizacje systemu. Jednym z przykładów wykorzystywanych przez wcześniejszą odmianę wirusa, jest fałszywa paczka czcionek Hoefler. Potencjalna ofiara jest przekierowywana na zhakowaną stronę wyświetlającą pomieszany tekst i informującą wyskakującym okienkiem o konieczności pobrania najnowszej łatki do czcionek, która pozwoli na bezproblemowe przejrzenia treści.

Sposoby usunięcia GandCrab-3

Istnieje tylko jedna możliwość na usunięcie ransomware'a GandCrab 3 z systemu. Jest to opcja automatyczna, ponieważ wykorzystuje profesjonalny program anty-malware. Ręczne znalezienie złośliwych aplikacji i usunięcie ich, jest praktycznie niemożliwe – chyba, że chcesz uszkodzić system oraz zaszyfrowane pliki. 

W zamian, usilnie zalecamy Ci skorzystać z profesjonalnego programu ochronnego, takiego jak FortectIntego. Po udanym usunięciu wirusa, spróbuj odzyskać pliki z pomocą poniższych metod. 

Skomentuj jako pierwszy

UsunWirusa
Preferencje prywatności

Używamy plików cookie, aby ulepszać Twoje doświadczenie i analizować ruch. Niektóre pliki cookie umożliwiają osadzone treści, takie jak filmy i posty społecznościowe. Wybierz, na co zezwalasz — możesz to zmienić w dowolnej chwili.