Soft2Secure

解密並刪除GandCrab 5.1勒索軟件病毒

解密並刪除GandCrab 5.1勒索軟件病毒

使勒索軟件在網絡犯罪領域成為一種突破性現象的原因在於它沒有也不可能是一種萬能的治療方法,這與病毒簽名相反,後者允許安全解決方案解決幾乎任何其他惡意軟件問題。 這個生態系統最前沿的一個菌株在2019年1月中旬產生了一個名為GandCrab 5.1的新變種。這是這種令人討厭的感染的綜合情況。

什麼是GandCrab v5.1勒索軟件?

現實世界的經驗表明,只有完善的勒索軟件家族才能走上傳統之路。 這些多產的血統不時會產生惡意的網絡後代,每次迭代都會帶來一些功能增強以及外部調整。 GandCrab目前在這個市場中佔據主導地位,已經輪換了將近一年,並且在安全社區製造了足夠的噪音,真的成為了一個流行語。 這個加密敲詐地下之王的最新版本是GandCrab 5.1。 它取代了之前的5.0.4版本。 與先行者相比,新人並沒有太大的突破。 它的外在表現幾乎完全相同,包括桌面壁紙和贖金票據的措辭。 雖然有些人可能會認為缺乏重大變化是騙子疏忽的表現,但惡意軟件分析師並不那麼樂觀。以下是原因。

桌面壁纸由GandCrab 5.1设置,带有警告信息以及对赎金票据的参考

GandCrab 5.1僅在外部進行了微小的改動,擁有改進的加密機制。 具體而言,它以比其前身更加節省時間的方式應用密碼。 未經授權的加密例程越快,受害者就越不可能注意到攻擊並採取緊急措施,例如通過任務管理器終止惡意進程或關閉計算機。 總而言之,目前的模式大大超過了前任,除了大多數受害者都不足以注意到這一點。 回到這一點,在GandCrab 5.1加密目標的個人數據之後,它通過向它們附加一個隨機的擴展名來標記所有人質文件。 此擴展名對每個用戶都是唯一的,最多10個字符的字符串。 因此,假設一個名為Important.docx的文件已被劫持 – 它將被修改為一個名為這樣的禁止項:Important.docx.ibptmqlbgf。

GandCrab 5.1付款页面

但是,上述文件名的失真並不是攻擊的最後階段。 GandCrab 5.1勒索軟件會留下一個註釋,以便受感染的用戶知道究竟發生了什麼以及如何恢復無法訪問的文件。 對於不同的用戶,此實體的名稱會有所不同,因為它的第一部分與受害者特定的文件擴展名匹配,唯一的差異是字符是大寫的。 在上面的假設攻擊中,贖金票據將是IBPTMQLBGF-DECRYPT.txt。 它的介紹部分是:

GandCrab v5.1
在任何情況下都不要刪除此文件,直到恢復所有數據。
如果沒有這樣做,將導致您的系統損壞,如果有解密錯誤。
注意!
您的所有文件,文檔,照片,數據庫和其他重要文件都已加密,並具有以下擴展名:[受害者特定擴展名]。
恢復文件的唯一方法是購買唯一的私鑰。 只有我們可以給你這個密鑰,只有我們可以恢復你的文件。

這讓我們看到了惡棍強加的贖金選擇。 指示用戶訪問Tor頁面(.onion域),該頁面提供贖金的大小以及支付它的截止日期。 它還包括一個聊天部分,以接觸攻擊者。 GandCrab 5.1經銷商要求的金額為1,200美元。 它可以用比特幣支付,也可以用Dash支付,這是一種不那麼主流的加密貨幣形式。 兩種類型的錢包地址也在付款頁面上顯示。 還有一個倒計時腳本運行,顯示價格翻倍前的剩餘時間。 它設定為2天。 作為新版本的一部分,對該頁面進行的唯一更新是螃蟹的有趣圖片,這些圖片肯定不符合令人不安的情況。

顯然,入侵是一個嚴重的狀態。 研究人員尚未找到解密GandCrab 5.1偏斜文件的100%有效方法。 與此同時,遭受這場瘟疫襲擊的人們面臨兩難選擇:支付贖金並希望網絡犯罪分子能夠按照他們的要求行事,或者嘗試別的東西。 下面的部分詳細介紹了後者。 重要的是,請記住這些勒索軟件正在通過垃圾郵件傳播 – 其中一個主要活動涉及“情書”主題電子郵件。 因此,請務必在下次收件箱中時不要向陌生人打開此類郵件。

GandCrab 5.1勒索軟件自動刪除和數據恢復

由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:

  • 下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件

    下載GandCrab 5.1勒索軟件清除器

  • 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。

恢復加密的.CRAB檔案的方法

解決方法1:使用文件恢復軟件

很重要的是GandCrab 5.1勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除, 但在任何情況下,這種方法值得一試。

Data Recovery Pro

解決方法2:利用備份

首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。

解決方法3:使用卷影副本卷

如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建, 文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。

  • 使用之前版本功能

    勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。

  • 應用ShadowExplorer

    以上過程可以通過一款名為 ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載 並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。ShadowExplorer

驗證GandCrab v5.1勒索軟件是否完全被刪除

除此之外,單單只是Wcry勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起, 這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。

下載GandCrab v5.1勒索軟件清除器