Ransomware GandCrab 5.0.3 – wirus blokujący pliki korzystający z pięciu losowych znaków po zaszyfrowaniu danych

Ransomware GandCrab 5.0.3 to odmiana GandCraba v5, która pojawiła się w połowie października 2018 roku. Malware to zazwyczaj atakuje poprzez spam bądź korzystając ze słabo zabezpieczonych protokołów dostępu zdalnego, a także z zestawów exploitów (takich, jak Fallout EK), a następnie korzysta z silnego algorytmu szyfrującego, by blokować dane. Pliki nie zostają uszkodzone – zamiast tego pojawia się rozszerzenie składające się z pięciu losowych znaków uniemożliwiające do nich dostęp. GandCrab 5.0.3 następnie pozostawia żądanie okupu nazwane [5 losowych znaków]-DECRYPT.txt, wyjaśniające ofiarom, co powinny zrobić dalej. Aby odzyskać pliki osobiste, użytkowników prosi się o zapłatę okupu w wysokości 400-2400$ w kryptowalucie Bitcoin bądź Dash. Malware nie jest rozszyfrowywalne – użytkownicy mogą jednak skorzystać z odpowiedniej szczepionki, która – zaaplikowana przed prawdziwym atakiem – zapobiegnie całkowicie szyfrowaniu plików przez GandCrab 5.0.3.
| Podsumowanie | |
| Nazwa | GandCrab 5.0.3 |
| Typ | Ransomware |
| Powiązane wersje | Gandcrab 5.0.1, GandCrab v5.0.2, GandCrab 5.0.4 |
| Używane szyfry | Salsa20 oraz RSA-2048 |
| Rozszerzenie | .[5 losowych znaków] |
| Żądanie okupu | [5 losowych znaków]-DECRYPT.txt |
| Dystrybucja | Zestawy exploitów, maile phishingowe, słabe zabezpieczenia dostępu zdalnego, itd. |
| Eliminacja | Użyj FortectIntego lub SpyHunterCombo Cleaner, by wyeliminować wirusa |
Od wydanie piątej wersji pod koniec września, GandCrab gwałtownie wydał cztery kolejne odmiany wirusa w krótkim odstępie czasowym. Wszystkie z nich korzystają z szyfrowania Salsa20 oraz RSA-2048 oraz z losowej kombinacji znaków jako rozszerzenie blokowanych plików. Według cyberprzestępców, metoda ta pozwala ukryć i utrudnić proces eliminacji ransomware'a GandCrab 5.0.3.
Głównym plikiem umieszczającym wirusa jest plik JavaScript nazwany GandCrab 5.0.3 downloader.js, który po uruchomieniu wywołuje dwa kolejne pliki – dsoyaltj.exe i Wermgr.exe. Procesy te zapewniają wirusowi prawa administracyjne, dzięki którym może on modyfikować rejestr systemu i inne ważne ustawienia.
Po zaszyfrowaniu plików, wirus GandCrab 5.0.3 zostawia żądanie okupu w każdym z zaatakowanych folderów. Żądanie to zawiera następującą wiadomość:
—= GANDCRAB V5.0.3 =—
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: {5 random letters}
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
———————————————————————–
| 0. Download Tor browser – https://www.torproject.org/
| 1. Install Tor Browser
| 2. Open Tor Browser
| 3. Open link in TOR browser http://gandcrabmfe6mnef.onion/[unique_ID]
| 4. Follow the instructions on this page
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
• DO NOT MODIFY ENCRYPTED FILES
• DO NOT CHANGE DATA BELOW
Gdy użytkownik wpisze podany adres, zobaczy dalsze szczegóły na temat płatności oraz otrzymywania dekryptera. Eksperci jednak nie zalecają kontaktowania się z przestępcami – istnieje wysokie ryzyko utraty pieniędzy. Zamiast tego użytkownicy powinni zignorować żądania okupu oraz usunąć ransomware GandCrab 5.0.3 z komputera. By upewnić się, że proces ten jest wykonany należycie, użytkownik powinien uruchomić komputer w Trybie Awaryjnym z Obsługą Sieci, by tymczasowo wyłączyć wirusa i wykonać skan systemu z pomocą FortectIntego, SpyHunterCombo Cleaner lub innego zaufanego oprogramowania.
Tylko po usunięciu GandCraba 5.0.3, ofiary powinny przystąpić do odzyskania plików. Ci, którzy trzymają kopie zapasowe plików mają szczęście – zapewniają one stuprocentowe odzyskanie danych. Użytkownicy, którzy nie przygotowali kopii zapasowej nie powinni się poddawać już teraz oraz spróbować zewnętrznych aplikacji. Zapewnimy wszystkie instrukcje poniżej – zalecamy do ich poznania.

Ćwicz bezpieczne przeglądanie sieci, by uniknąć atakó ransomware
Bezpieczeństwo sieci jest często ignorowane przez użytkowników – jeśli o to chodzi, użytkownicy są niezwykle nieuważni. Co więcej, może być to poskutkowane prostym brakiem wiedzy. Niestety – ludzie nie mający pojęcia, w jaki sposób może się rozpowszechniać malware bardzo często stają się jego ofiarami.
Ransomware to jedno z najbardziej rozpowszechnionych po sieci zagrożeń, jeśli chodzi o wyłudzanie pieniędzy. Dlatego, użytkownicy powinni zawsze wykonywać kopie zapasowe systemów – żaden ze środków bezpieczeństwa nie gwarantuje 100% ochrony. Bez względu na to, niektóre akcje mogą znacznie obniżyć ryzyko infekcji:
- Aktualizacje systemu i innego oprogramowania;
- Posiadanie potężnego oprogramowania ochronnego;
- Unikanie stron udostępniających pliki, torrenty i podobne;
- Często zmieniane, silne hasła;
- Ostrożność przy otwieraniu spamu, linków i załączników.
Pozbądź się bezpiecznie ransomware'a GandCrab 5.0.3 z Twojego komputera
Istnieje wiele ludzi, których sprzęt został zainfekowany, pytających się „Co powinienem zrobić teraz?” Użytkownicy powinni zrozumieć, że infekcja już miała miejsce, lecz można sobie z nią poradzić. Pierwszym krokiem jest usunięcie ransomware'a GandCrab 5.0.3, bez względu na to, co sugerują cyberprzestępcy. Nie ma co ufać ich słowom, skoro korzystają oni z nieuczciwych metod do infekowania urządzeń i przejmowania plików osobistych.
Aby usunąć wirusa GandCrab 5.0.3, powinieneś najpierw wejść w Tryb Awaryjny z Obsługą Sieci tak, jak wyjaśniliśmy poniżej. Po uruchomieniu, pobierz i zainstaluj zaufany program ochronny, a następnie wykonaj z jego pomocą pełny skan systemu. Ręczna eliminacja wirusa jest niemożliwa dla zwykłych użytkowników – nie marnuj więc na nią czasu (co gorsza, nieumiejętnie wykonana może poskutkować koniecznością pełnej reinstalacji systemu).
Czy ten poradnik był pomocny?
Skomentuj jako pierwszy