移除 GandCrab 病毒 - 2018 年更新

GandCrab病毒移除指南

什么是GandCrab 勒索软件?

GandCrab 勒索软件 -借助 Magnitude 漏洞利用工具包来传播的加密病毒

GandCrab 勒索软件的勒索字条

GandCrab 是 2018 年其中一个最著名的勒索软件病毒 ,它已经侵入超过 50,000 台计算机,并为其开发者赚取了超过 $600,000。它被发现于一月,目前仍在接收新的更新并不断更新其分布技术。最初它是通过各种社会工程活动和恶意垃圾活动来分布,目前它则依赖于 Magnitude Exploit Kit(漏洞利用工具包,EK),这个工具包已被用于发布 Magniber 勒索软件。此外,在使用 gdcb 文件扩展名来标记被加密的文件后,GandCrab 现在添加了 .crab 文件扩展名。

名字 GandCrab
恶意软件类型 勒索软件
发现于 2018 年 1 月 30 日
受侵入的系统 Windows
添加在受感染文件的扩展名 .gdcb, .crab
勒索字条 GDCB-DECRYPT.txt
赎金数额 1.54 DASH(达世币) ($ 1126)
能否解密
版本 GandCrab v2

在盛行两个月后,当罗马尼亚警察队、Bitdefender(比特梵徳)和欧洲刑警组织发现勒索软件的代码存有缺陷,并且被破解了网络犯罪分子后,勒索软件似乎已被击败。因此,Bitdefender 创建了一个免费的 GandCrab 解密器,这个解密器可在 NoMoreRansom 找到。

GandCrab decryptor

然而,这似乎无法阻止隐藏在这个病毒背后的黑客。第二版的 GandCrab 病毒仍然通过垃圾邮件进行传播,并要求受害者支付 1.54 DASH 以换取解密密钥。尽管受害者可以对被原始版本加密的文件进行解密,但骗子们发布了一个名为 GandCrab v2 的改进版本,他们成功修补了关键的加密漏洞,所以免费的解密器并不适用于该版本。目前,它添加了 .CRAB 文件扩展名,并且命名为 .CRAB 文件扩展病毒。

这个勒索软件也在俄罗斯的黑色网络上以“软件即服务”(Ransomware-as-aService, Raas) 发布。据 Check Point 称,由于创新的 GandCrab 联盟计划,黑客已经收取了超过 60 万美元的赎金。勒索软件开发者也一直将勒索软件收入的 60% 至 70% 支付参与者,以换取全天候的技术支持。据研究人员称,这个加密恶意软件拥有近 100 个活跃的联盟,其中 80 个参与者成功分布了 700 个不同的恶意软件样本。超过 70% 的受感染计算机位于英国和美国,因此很明显的它专注于使用英语的计算机用户。

在 2018 年 4 月中旬,勒索软件研究人员报告说,Magnitude EK 已经开始专注于 GandCrab 勒索软件的分布。被用来向居住在韩国的网民传播 Magniber 勒索软件的串联,目前已在斯堪的纳维亚半岛国家出现。如果你觉得可能被感染(哪怕只是一丁点怀疑),请确保你使用 FortectIntego 来删除 GandCrab 勒索软件。

GandCrab 病毒添加了 .crab 文件扩展名

漏洞利用工具包呈现了一种用于执行勒索软件有效载荷的无文件技术,这些有效载荷使用了 VBScript.Encode / JScript.Encode 脚本来编码并注入内存。当有效载荷正在执行时,勒索软件会进入 explorer.exe 文件并强制重新启动计算机。之后,它会启用加密程序并锁住带有 .CRAB 文件扩展名的文件。看起来 Magnitude EK 主要用来传播尚未解密的 GandCrab 2 版本。

GandCrab 也可以通过被称为 Seamless 的恶意广告活动进行分布。在它的帮助下,受害者将引来 RIG 漏洞利用工具包。此类软件被设计来检测系统漏洞,并利用它们通过文件加密病毒或其他危险的计算机病毒来感染目标系统。

正如网络安全专家所指出的,[GandCrab] 目前正在通过标题为 Receipt Feb-21310 [随机号码] 的垃圾电邮传播。发件人的姓名可能会有所不同,但电邮地址的第二部分一定是 @cdkconstruction.org。勒索软件使用的垃圾邮件以含有 PDF 附件和 “附加的DOC”为邮件正文。

GandCrab 通过伪造的 Hoefler 字体更新来传播

GandCrab 依赖于一个当受害者点击恶意附件后就会被下载到系统中的 .doc 文件,这个 .doc 文件随后会运行 PowerShell 脚本,并创建一个目前会侵入 64-位元系统的漏洞文件 (sct5.txt)。正如各种加密恶意软件的研究人员所指,sct5.txt 文件并没有运行 GandCrab 病毒的最终有效载荷,而是执行漏洞利用,并以恶意软件的媒介运行以进入系统。

在渗入后,GandCrab 开始加密存储在系统上的最宝贵数据。之后,用户就无法再存取他们的文件,并从 GDCB-DECRYPT.txt 文件中的赎金索求讯息中得知勒索软件的攻击:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

一旦受害者按照勒索字条里提供的步骤,他/她将被带到被称为 GandCrab 解密器的网站。他们将会看到赎金数额(大约 1200 美元)、支援聊天、DASH 地址,以及上传一个文件以进行免费解密的可能性。

值得一提的是,GandCrab 勒索软件指定了一个特定的交易时间段,否则赎金数额将翻倍。然而,这只是企图恐吓受害者,强迫他们在没有明确评估其他可能性的情况下支付赎金。

因此,我们强烈建议你不要遵循犯罪分子的规则,因为你可以通过其他方式或使用专家开发的解密程序来取回对文件的访问权限。为此,你必须先移除 GandCrab。来自 NoVirus.uk 的专家已经向受侵入的用户发出警告,称这是一种非常危险的计算机病毒,应该在专业人员的帮助下或使用强大的防病毒软件来将它消除。

GandCrab 勒索软件的图解GandCrab 勒索软件是第一个接受 DASH 币作为赎金的文件加密病毒。

对于将 GandCrab 移除,虽然你可以使用其他反恶意软件来终止这个文件加密病毒,我们的首选是 FortectIntegoMalwarebytes。你可以在本文末尾找到有关消除过程的详细说明。

另外,不要试图自己摆脱 GandCrab 病毒。这种复杂的勒索软件类型感染会隐藏它们的存在,并伪装成合法的计算机进程。终止关键的系统文件可能会导致计算机永久性损坏,加密恶意软件也会重新出现。因此,我们建议使用下面的消除指南。

GandCrab 勒索软件版本的列表

.GDCB 文件扩展病毒。GandCrab 病毒的这个版本在原始版本发布几周后就已经出现 。就像其前身一样,它也是通过受感染的垃圾邮件附件来传播,并在打开附件后运行有效载荷。

它针对了最流行的文件,包括但不限于 .doc、.txt、.jpg、.png、.audio、.video 等,并为每个文件添加了 .GDCB 文件扩展名。它在受害者的桌面上创建一个 GDCB-DECRYPT.txt 文件,催促受害者下载 Tor 浏览器,然后发送 1.54 DASH 赎金。如果受害者迟付款,赎金就会增加。

GandCrab2。勒索软件的第二个版本目前无法解密。在发布这个新变种之前,骗子修补了网络安全专家在 3 月初发现的重大加密缺陷。

GandCrab2 通过 Seamless 恶意广告活动分布,为受害者引来 RIG 漏洞利用工具包。然而,它并不像其前身,它也可以通过 HoeflerText 字体更新骗局欺骗受害者。

它使用了 .CRAB 文件扩展来锁住数据,并准备了 CRAB-DECRYPT.txt 勒索字条。骗子要求通过 Tor 浏览器支付 500 美元的 Dash 币才提供私人解密密钥。虽然最初专家认为这个版本是其原版的一个克隆,但它似乎已经被改进,防止免费解密器将它解密。

GandCrab2 变种。勒索字条示例

专家提供免费的 GandCrab 解密器

来自著名的 NoMoreRansom.org 项目的 IT 专业人员终于开发了 GandCrab 解密器。想要复原 .GDCB 扩展名文件的任何人都可以将它下载。你可以在本文结尾处找到它。

专家指出,欲使用解密工具,首先必须摆脱 GandCrab。否则,勒索软件将继续一遍又一遍地加密受害计算机上的数据。

他们建议使用专业的安全工具从系统中将勒索软件卸载。我们强烈建议你使用本文末尾提供的工具。如果你无法通过官方 GandCrab 解密器重新获取损坏的信息,你还有其他的方法可用。

举个例子,如果病毒的目的是删除卷影副本,解密器可能会失败。在这种情况下,你可以借助 ShadowExplorer 或类似的第三方工具来至少复原一些文件。

此外,你可以通过使用备份来完全复原文件,而无需支付赎金。如果你没有备份,你应该在文章末尾处查看我们准备好的备选数据复原方法,并尝试使用解密器。

网络威胁使用漏洞利用工具包进入系统

漏洞利用工具包主要是用来检测目标系统上的漏洞,并帮助恶意程序利用漏洞侵入计算机。这个特定的勒索软件是由 Rig 漏洞利用工具包、GrandSoft 漏洞利用工具包 和 Magnitude 漏洞利用工具包来分布的。 这个复杂的软件不需要用户的许可就可以在系统上安装恶意软件。

GandCrab 通过 Magnitude EK 来安装

此外,值得一提的是,漏洞利用工具包并非是分布勒索软件的唯一途径。犯罪分子可能会使用带有恶意附件的欺诈性垃圾邮件,欺骗轻易受骗的人。这些电邮通常伪装成来自知名品牌和公司的购物收据、发票或类似文件,无知的用户会打开受感染的附件,让网络威胁进入系统。

正如我们在前一段中指出的那样,勒索软件的开发者正在积极地传播垃圾邮件。邮件的标题都是 Receipt Feb-21310 [随机编号],但发件人名称可能略有不同。尽管如此,发件人电邮的后缀是 @ cdkconstruction.org。这封垃圾邮件没有太多讯息,只是指出“附加了DOC”。

因此,我们建议你在互联网上浏览或查看你的电邮时要非常谨慎。在打开信件时务必密切注意 —— 你可以通过轻微的拼写错误,或者要求打开附件“以了解更多详情”来识别恶意邮件。尤其是当你看到JS、.EXE、.COM、.PIF、.SCR、.HTA、.vbs、.wsf、.jse、.jar 和其他可疑文件扩展时,请不要打开可疑的电邮附件。此外,避免访问可疑网站,因为它们可能由网络犯罪分子管理,并用来分布高风险的计算机感染。

了解如何安全地卸载 GandCrab 病毒并取回你的数据

如果你想移除 GandCrab 勒索软件并进行数据复原,唯一的方法就是使用安全软件。请注意,你必须尽快执行此操作,以避免对计算机造成进一步的损坏。过后你将能够使用新的解密器来取回被勒索软件加密的文件。

欲修复系统,请在你发现到计算机上的加密文件后立即下载专业的安全软件。我们建议使用 FortectIntegoSpyHunter 5Combo CleanerMalwarebytes 进行 GandCrab 移除,这些都曾经在测试病毒时所用。在安装其中一个应用程序后,请运行完整的系统扫描,让它终止这个文件加密病毒。不幸的是,这些程序无法解密被加密的文件。

请注意,你可能无法先安装恶意软件清除工具。为此,你必须将你的计算机重新启动到“带有网络的安全模式”或使用“系统还原”。你可以在本文末尾找到如何进行的分步指导,摆脱 GandCrab。另外,我们的专家还准备了备用的复原方法来帮助你复原被加密的文件。

优惠
现在就行动!
下载
Fortect 快乐
保证
下载
Intego 快乐
保证
Microsoft Windows兼容 macOS兼容
如果失败了,该怎么办呢?
如果您无法使用 Fortect Intego 来移除病毒损坏,请提交问题 给我们的支援团队,并尽可能提供详细的信息。
Fortect Intego 含有免费的有限扫描功能。更多的扫描功能只有在购买 Fortect Intego 完整版时后才能使用。当免费扫描程序检测到问题时,您可以使用免费的手动修复方式解决问题,也可以决定购买完整版以便自动修复它们。
替代软件
不同的软件有不同的用途。如果您无法成功以 Fortect 修复损坏的文件,请尝试运行 SpyHunter 5。
替代软件
不同的软件有不同的用途。如果您无法成功以 Intego 修复损坏的文件,请尝试运行 Combo Cleaner。

手动GandCrab病毒移除指南

使用 Safe Mode with Networking 来移除 GandCrab

将计算机重新启动到“带有网络的安全模式”是消除勒索软件过程的第一步。

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Networking
    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Safe Mode with Networking 选择 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking 选择 'Enable Safe Mode with Networking'
  • 步骤2: 移除 GandCrab

    请使用你那个已受感染的账户登录并打开网页浏览器。下载 FortectIntego 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个GandCrab 的移除过程。

如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。

使用 System Restore 来移除 GandCrab

欲借助“系统还原”来清除此勒索软件,请按照以下步骤操作:

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt
    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Command Prompt 选择 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt 选择 'Enable Safe Mode with Command Prompt'
  • 步骤2: 将你的系统文件和设置还原
    1. 一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter 输入不带引号的 'cd restore' 然后点击 'Enter'
    2. 现在输入 rstrui.exe 然后再点击 Enter 一次。. 输入不带引号的 'rstrui.exe' 然后点击 'Enter'
    3. 当显示新的窗口时,点击 Next 然后选择在 GandCrab 渗入之前的还原点,完成后点击 Next 当 'System Restore' 窗口显示时,选择 'Next' 选择你的还原点然后点击 'Next'
    4. 现在请点击 Yes 以启动系统还原。 点击 'Yes' 并启动系统还原
    一旦你将系统还原到上一个日期,请下载 FortectIntego 然后使用它来扫描你的计算机,并确保 GandCrab 成功完整移除。

额外指示:恢复你的数据

以上的指南将帮你从你的计算机移除 GandCrab。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。

如果你的文件已被 GandCrab 加密,你可以使用几个方法来将它们还原:

Data Recovery Pro 可以帮你找回受损的数据

这是一个很棒的数据复原工具,因为它不需要在系统上启用任何附加功能。请注意,如果文件由于系统崩溃而丢失,这个也很有帮助。

  • 下载 Data Recovery Pro;
  • 按照安装 Data Recovery 的步骤并在你的计算机上安装这个程序;
  • 将它启动并扫描计算机以找出被 GandCrab 勒索软件加密的文件;
  • 还原它们

Windows Previous Versions Feature 有助于复原被加密的文件

如果你在勒索软件攻击之前启用了“系统还原”功能,你可以使用 Windows Previous Versions 返回之前的版本。

  • 找出你想要还原的加密文件然后右键点击它;
  • 选择 “Properties” 然后移到 “Previous versions” 标签页;
  • 在这里,检查 “Folder versions” 里每个文件的可用副本,你应该选择你想要还原的版本然后点击 “Restore”。

GandCrab 解密器现在已可用

专家们为 GandCrab 勒索软件设计了一个独特的解密软件,你可以在此处取得。如果它无法解密特定的恶意软件版本,请随时试试看以上的替代复原方法。

最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止GandCrab 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 FortectIntegoSpyHunter 5Combo CleanerMalwarebytes

向你推荐

不要让政府监视你

政府在跟踪用户数据和监视公民方面存在许多问题,因此你应该考虑到这一点,并了解有关可疑信息收集实践的更多信息。请在互联网上完全匿名以避免任何不必要的政府跟踪或监视。

你可以选择不同的位置,上网并访问所需的任何资料,而不受到特殊内容的限制。通过使用 Private Internet Access VPN.,你可以轻松享受互联网连接,并且不会遭到黑客入侵。

控制政府或任何其他不需要方可以访问的信息,并且可以在不被监视的情况下在线浏览。即使你并没有参与非法活动,或者你信任你所选择的服务和平台,你也要对自己的安全性保持怀疑,并通过使用 VPN 服务采取预防措施。

备份文件以便在被恶意软件攻击后可以使用

由于网络感染或自己的错误行为,计算机用户可能会遭受各种各样的损失。恶意软件造成的软件问题,或加密导致的直接数据丢失,都可能会导致设备出现问题或永久损坏。如果你拥有适当的最新备份,那你可以在发生此类事件后轻松还原数据,继续工作。

在设备上进行任何更改后,创建新的备份更新非常重要,这样你就可以回到恶意软件更改任何内容或设备问题导致数据或性能损坏时的工作点。请持续这种行为,让文件备份成为你每天或每周的习惯。

当你拥有每个重要文档或项目的先前版本时,你就不会感到沮丧和崩溃,因为当恶意软件突然出现时,它就能派上用场。请使用 Data Recovery Pro 进行系统还原。

关于作者
Julie Splinters
Julie Splinters - 恶意软件移除专家

如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。

联系 Julie Splinters
关于 Esolutions 公司

其他语言的移除指南