Soft2Secure

Software to Security

Soft2Secure

首页Soft2SecureGandCrab勒索軟件刪除:如何解密GDCB病毒

GandCrab勒索軟件刪除:如何解密GDCB病毒

GandCrab勒索軟件刪除:如何解密GDCB病毒

自二月初以來,一種名為GandCrab的新型複雜軟件已經造成嚴重破壞。 事實證明,這在一定程度上是革命性的,因為它已經率先接受了勒索贖金,而以前沒有其他的勒索惡意軟件家族使用過。 此外,它擁有一個不斷發展的多元化分配程序。

什麼是GandCrab勒索軟件?

GandCrab代表了新一代的勒索特洛伊木馬,具有良好的策劃傳播,先進的防病毒逃避,無與倫比的加密和強大的指揮和控制基礎設施。 隨著2017年底以來勒索軟件普遍流行在網絡犯罪領域,高科技樣本的出現是一件相當重要的事情。 在寫這篇文章的時候,這個敲詐浪潮的設計師已經發布了GandCrab v2.1。 除了傳播工作流程變得更加靈活之外,它與原始變體幾乎沒有區別。 如前所述,最新版本的罪魁禍首將.GDCB擴展添加到加密文件中,並放出名為GDCB-DECRYPT.txt的救援手冊。

GandCrab勒索软件入侵

分配方法的調整是有形的。 而之前的版本是通過漏洞攻擊包(包括RIG和GrandSoft)進行的,而目前的版本是通過惡意垃圾郵件到達電腦的。 雖然這在技術複雜性方面似乎正在降級,但有效載荷部署的成功率可能已經增長。 敵人利用殭屍網絡來群發潛在的受害者。 被發送的釣魚郵件假裝為收據,主題為“收到2月 – [隨機數]”。 信息的正文是平淡無奇的,說:“附上文件”。

垃圾邮件传播GandCrab勒索软件

這一切都是關於偽裝成PDF文件的附件。 一旦收件人打開它,他們最終將顯示在帶有驗證碼的屏幕上,他們應該在其中放置複選標記以確認它們不是機器人。 接下來,流氓PDF對像從butcaketforthen.com網頁下載一個誘餌陷阱的Microsoft Word文件並加載它。 然後去一個花園多樣的“受保護的視圖”的通知,要求受害者啟用編輯,從而運行Office宏。 惡意宏輪流下載並啟動完成感染鏈的PowerShell腳本,並在目標主機上執行GandCrab勒索軟件二進製文件

執行程序首先遍歷受污染機器的硬盤分區,可移動驅動器和網絡共享,以搜索可能有價值的數據。 在加密檢測到的項目之前,它會結束多個可能正在使用某些可能的人質文件的進程。 它還會確定受害者的IP地址和地理位置,以便稍後在解密服務頁面中顯示此信息。 GandCrab從C2服務器接收到一個公開的加密密鑰後,通過非對稱加密算法RSA來執行數據削弱工作。

除了拒絕訪問外,此文件偏移的一個值得注意的副產品是.GDCB字符串與每個編碼條目的並置。 勒索軟件還將其恢復方法如何在具有人質數據的文件夾中記錄GDCB-DECRYPT.txt,並在桌面上刪除副本。 最終,受害者被指示訪問“GandCrab Decryptor”頁面。 這是一個Tor隱藏資源,用於處理贖金付款。 感染需要1.54 Dash,勒索軟件製造商首次使用的一種加密貨幣形式。 無論支付網絡犯罪分子有多大的誘惑力,都要重新獲得數據並繼續前進,一定要先嘗試一切。 從下面的步驟開始,刪除GandCrab勒索軟件,並檢查取證是否可以在數據恢復方面做到這一點。

GandCrab勒索軟體自動刪除和數據恢復

由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:

  • 下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件

    下載GandCrab勒索軟件清除器

  • 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。

恢復加密的GandCrab檔案的方法

解決方法1:使用文件恢復軟件

很重要的是GandCrab勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。

下载Stellar Data Recovery Professional


下載數據恢復高級版

解決方法2:利用備份

首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。

解決方法3:使用卷影副本卷

如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。

  • 使用之前版本功能勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。
    解決方法3:使用卷影副本卷
  • 應用ShadowExplorer以上過程可以通過一款名為
    ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載
    並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。
    ShadowExplorer

驗證GandCrab勒索軟件是否完全被刪除

除此之外,單單只是GandCrab勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。

下載GandCrab勒索軟件清除器