Soft2Secure

解密.CRAB文件病毒並刪除GandCrab v2.1勒索軟件

解密.CRAB文件病毒並刪除GandCrab v2.1勒索軟件

新版的GandCrab勒索軟件已經出來,將.CRAB擴展附加到人質文件並刪除CRAB-DECRYPT.txt勒索音符,因此請在此處獲取詳細信息。

GandCrab是最近出現的罕見的製作精良的勒索軟件毒株之一,這解釋了有關其惡作劇的大量媒體報導。 掌管這場精心策劃的勒索浪潮的威脅演員在羅馬尼亞的執法行動中失去了一些C2服務器。 這使得安全專家可以為罪魁禍首的原始變體創建一個免費的解密工具。 然而,一周後,這些騙子發布了新版2.1版GandCrab,這表明他們骯髒的業務正在不斷發展。 更新後的感染進行了一些更改。 首先,它為每個加密文件添加.CRAB擴展名。 其次,贖金票據的名稱已成為CRAB-DECRYPT.txt。

文件獲得.CRAB擴展名

儘管之前的mod以開發工具包支持的傳播開始,但GandCrab v2.1主要通過來自臭名昭著的Necurs殭屍網絡的垃圾郵件進行分發。 有效負載的載體是誘餌捕獲的電子郵件附件,通常是流氓發票,它以混淆的JavaScript文件的形式出現。 2018年4月初,一場精心策劃的新型分銷活動紮根於韓國金融業組織。 這些垃圾郵件假裝與某些版權法問題有關,並附帶一個.egg文件附件,該附件指定了一種壓縮存檔格式,其使用方式大多與亞洲國家隔離。 該檔案包含一個內部的惡意二進製文件,一旦打開,就會執行感染。 這個malspam波浪的目標本質指出,GandCrab船員已經在他們的卑鄙手段方面走向成熟。

另一個切入點是通過所謂的EITest欺騙手段,用戶在訪問受損網站時抓住壞人。 在後一種情況下,潛在受害者遇到欺騙性警報,指出未找到“HoeflerText”字體,並下載偽造的更新,這實際上是勒索軟件。

CRAB-DECRYPT.txt由GandCrab v2.1提交贖金

已經悄悄進入一個新的主機,GandCrab 2.1勒索軟件的.CRAB文件變體對可能有價值的數據進行大規模掃描。 每一個匹配勒索惡意軟件標準的對像都會被RSA加密,這是一種強大的非對稱密碼,除非私鑰解密,否則它是不可破解的。 文件調整過程的一部分是將.CRAB後綴串聯到每個經過轉義的條目。

如上所述,贖回的木馬生成的贖金也發生了變化。 它的名字是CRAB-DECRYPT.txt,另外還包括一個關於使用qTox信使的新建議,用於生活在被Tor封鎖的國家的受害者。 救援筆記中引用的GandCrab付款頁面看起來與其前身不同。 要點雖然基本相同 – 它指示受害者向攻擊者的錢包提交價值400美元的Dash cryptocurrency。 因此,即使在考慮此選項之前,請嘗試以下幾節中介紹的幾個解決方法。

GandCrab v2.1勒索軟件自動刪除和數據恢復

由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:

  • 下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件

    下載.CRAB文件病毒刪除器

  • 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。

恢復加密的.CRAB檔案的方法

解決方法1:使用文件恢復軟件

很重要的是GandCrab勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除, 但在任何情況下,這種方法值得一試。

Data Recovery Pro

解決方法2:利用備份

首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。

解決方法3:使用卷影副本卷

如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建, 文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。

  • 使用之前版本功能

    勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。

  • 應用ShadowExplorer

    以上過程可以通過一款名為 ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載 並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。ShadowExplorer

驗證GandCrab v2.1勒索軟件是否完全被刪除

除此之外,單單只是Wcry勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起, 這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。

下載GandCrab v2.1勒索軟件清除器