严重程度量表:  
  (99/100)

GandCrab 勒索软件. 如何移除? (卸载指南)

朱莉·史匹灵特斯 评价 - - | 类型:勒索软件

GandCrab 勒索软件 -借助 Magnitude 漏洞利用工具包来传播的加密病毒

The image of GandCrab ransomware

GandCrab 是 2018 年其中一个最著名的勒索软件病毒 ,它已经侵入超过 50,000 台计算机,并为其开发者赚取了超过 $600,000。它被发现于一月,目前仍在接收新的更新并不断更新其分布技术。最初它是通过各种社会工程活动和恶意垃圾活动来分布,目前它则依赖于 Magnitude Exploit Kit(漏洞利用工具包,EK),这个工具包已被用于发布 Magniber 勒索软件。此外,在使用 gdcb 文件扩展名来标记被加密的文件后,GandCrab 现在添加了 .crab 文件扩展名。 

名字 GandCrab
恶意软件类型  勒索软件
发现于 2018 年 1 月 30 日
受侵入的系统 Windows
添加在受感染文件的扩展名 .gdcb, .crab
勒索字条 GDCB-DECRYPT.txt
赎金数额 1.54 DASH(达世币) ($ 1126)
能否解密  是
版本 GandCrab v2

在盛行两个月后,当罗马尼亚警察队、Bitdefender(比特梵徳)和欧洲刑警组织发现勒索软件的代码存有缺陷,并且被破解了网络犯罪分子后,勒索软件似乎已被击败。因此,Bitdefender 创建了一个免费的 GandCrab 解密器,这个解密器可在 NoMoreRansom 找到。

GandCrab decryptor

然而,这似乎无法阻止隐藏在这个病毒背后的黑客。第二版的 GandCrab 病毒仍然通过垃圾邮件进行传播,并要求受害者支付 1.54  DASH 以换取解密密钥。尽管受害者可以对被原始版本加密的文件进行解密,但骗子们发布了一个名为 GandCrab v2 的改进版本,他们成功修补了关键的加密漏洞,所以免费的解密器并不适用于该版本。目前,它添加了 .CRAB 文件扩展名,并且命名为 .CRAB 文件扩展病毒。

这个勒索软件也在俄罗斯的黑色网络上以“软件即服务”(Ransomware-as-aService, Raas) 发布。据 Check Point 称,由于创新的 GandCrab 联盟计划,黑客已经收取了超过 60 万美元的赎金。勒索软件开发者也一直将勒索软件收入的 60% 至 70% 支付参与者,以换取全天候的技术支持。据研究人员称,这个加密恶意软件拥有近 100 个活跃的联盟,其中 80 个参与者成功分布了 700 个不同的恶意软件样本。超过 70% 的受感染计算机位于英国和美国,因此很明显的它专注于使用英语的计算机用户。

在 2018 年 4 月中旬,勒索软件研究人员报告说,Magnitude EK 已经开始专注于 GandCrab 勒索软件的分布。被用来向居住在韩国的网民传播 Magniber 勒索软件的串联,目前已在斯堪的纳维亚半岛国家出现。如果你觉得可能被感染(哪怕只是一丁点怀疑),请确保你使用 Reimage 来删除 GandCrab 勒索软件。

GandCrab virus appening .crab file extension

漏洞利用工具包呈现了一种用于执行勒索软件有效载荷的无文件技术,这些有效载荷使用了 VBScript.Encode / JScript.Encode 脚本来编码并注入内存。当有效载荷正在执行时,勒索软件会进入 explorer.exe 文件并强制重新启动计算机。之后,它会启用加密程序并锁住带有 .CRAB 文件扩展名的文件。看起来 Magnitude EK 主要用来传播尚未解密的 GandCrab 2 版本。

GandCrab 也可以通过被称为 Seamless 的恶意广告活动进行分布。在它的帮助下,受害者将引来 RIG 漏洞利用工具包。此类软件被设计来检测系统漏洞,并利用它们通过文件加密病毒或其他危险的计算机病毒来感染目标系统。

正如网络安全专家所指出的,[GandCrab] 目前正在通过标题为 Receipt Feb-21310 [随机号码] 的垃圾电邮传播。发件人的姓名可能会有所不同,但电邮地址的第二部分一定是 @cdkconstruction.org。勒索软件使用的垃圾邮件以含有 PDF 附件和 “附加的DOC”为邮件正文。

GandCrab spreads via fake Hoefler text font updates

GandCrab 依赖于一个当受害者点击恶意附件后就会被下载到系统中的 .doc 文件,这个 .doc 文件随后会运行 PowerShell 脚本,并创建一个目前会侵入 64-位元系统的漏洞文件 (sct5.txt)。正如各种加密恶意软件的研究人员所指,sct5.txt 文件并没有运行 GandCrab 病毒的最终有效载荷,而是执行漏洞利用,并以恶意软件的媒介运行以进入系统。

在渗入后,GandCrab 开始加密存储在系统上的最宝贵数据。之后,用户就无法再存取他们的文件,并从 GDCB-DECRYPT.txt 文件中的赎金索求讯息中得知勒索软件的攻击:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

一旦受害者按照勒索字条里提供的步骤,他/她将被带到被称为 GandCrab 解密器的网站。他们将会看到赎金数额(大约 1200 美元)、支援聊天、DASH 地址,以及上传一个文件以进行免费解密的可能性。

值得一提的是,GandCrab 勒索软件指定了一个特定的交易时间段,否则赎金数额将翻倍。然而,这只是企图恐吓受害者,强迫他们在没有明确评估其他可能性的情况下支付赎金。

因此,我们强烈建议你不要遵循犯罪分子的规则,因为你可以通过其他方式或使用专家开发的解密程序来取回对文件的访问权限。为此,你必须先移除 GandCrab。来自 NoVirus.uk 的专家已经向受侵入的用户发出警告,称这是一种非常危险的计算机病毒,应该在专业人员的帮助下或使用强大的防病毒软件来将它消除。

对于将 GandCrab 移除,虽然你可以使用其他反恶意软件来终止这个文件加密病毒,我们的首选是 ReimagePlumbytes Anti-MalwareMalwarebytes Malwarebytes。你可以在本文末尾找到有关消除过程的详细说明。

另外,不要试图自己摆脱 GandCrab 病毒。这种复杂的勒索软件类型感染会隐藏它们的存在,并伪装成合法的计算机进程。终止关键的系统文件可能会导致计算机永久性损坏,加密恶意软件也会重新出现。因此,我们建议使用下面的消除指南。

GandCrab 勒索软件版本的列表

.GDCB 文件扩展病毒。GandCrab 病毒的这个版本在原始版本发布几周后就已经出现 。就像其前身一样,它也是通过受感染的垃圾邮件附件来传播,并在打开附件后运行有效载荷。

它针对了最流行的文件,包括但不限于 .doc、.txt、.jpg、.png、.audio、.video 等,并为每个文件添加了 .GDCB 文件扩展名。它在受害者的桌面上创建一个 GDCB-DECRYPT.txt 文件,催促受害者下载 Tor 浏览器,然后发送 1.54 DASH 赎金。如果受害者迟付款,赎金就会增加。

GandCrab2。勒索软件的第二个版本目前无法解密。在发布这个新变种之前,骗子修补了网络安全专家在 3 月初发现的重大加密缺陷。

GandCrab2 通过 Seamless 恶意广告活动分布,为受害者引来 RIG 漏洞利用工具包。然而,它并不像其前身,它也可以通过 HoeflerText 字体更新骗局欺骗受害者。 

它使用了 .CRAB 文件扩展来锁住数据,并准备了 CRAB-DECRYPT.txt 勒索字条。骗子要求通过 Tor 浏览器支付 500 美元的 Dash 币才提供私人解密密钥。虽然最初专家认为这个版本是其原版的一个克隆,但它似乎已经被改进,防止免费解密器将它解密。

GandCrab2 variant. An example of a ransom note

专家提供免费的 GandCrab 解密器

来自著名的 NoMoreRansom.org 项目的 IT 专业人员终于开发了 GandCrab 解密器。想要复原 .GDCB 扩展名文件的任何人都可以将它下载。你可以在本文结尾处找到它。

专家指出,欲使用解密工具,首先必须摆脱 GandCrab。否则,勒索软件将继续一遍又一遍地加密受害计算机上的数据。

他们建议使用专业的安全工具从系统中将勒索软件卸载。我们强烈建议你使用本文末尾提供的工具。如果你无法通过官方 GandCrab 解密器重新获取损坏的信息,你还有其他的方法可用。

举个例子,如果病毒的目的是删除卷影副本,解密器可能会失败。在这种情况下,你可以借助 ShadowExplorer 或类似的第三方工具来至少复原一些文件。

此外,你可以通过使用备份来完全复原文件,而无需支付赎金。如果你没有备份,你应该在文章末尾处查看我们准备好的备选数据复原方法,并尝试使用解密器。

网络威胁使用漏洞利用工具包进入系统

漏洞利用工具包主要是用来检测目标系统上的漏洞,并帮助恶意程序利用漏洞侵入计算机。这个特定的勒索软件是由 Rig 漏洞利用工具包、GrandSoft 漏洞利用工具包 和 Magnitude 漏洞利用工具包来分布的。 这个复杂的软件不需要用户的许可就可以在系统上安装恶意软件。

GandCrab installed via Magnitude EK

此外,值得一提的是,漏洞利用工具包并非是分布勒索软件的唯一途径。犯罪分子可能会使用带有恶意附件的欺诈性垃圾邮件,欺骗轻易受骗的人。这些电邮通常伪装成来自知名品牌和公司的购物收据、发票或类似文件,无知的用户会打开受感染的附件,让网络威胁进入系统。

正如我们在前一段中指出的那样,勒索软件的开发者正在积极地传播垃圾邮件。邮件的标题都是 Receipt Feb-21310 [随机编号],但发件人名称可能略有不同。尽管如此,发件人电邮的后缀是 @ cdkconstruction.org。这封垃圾邮件没有太多讯息,只是指出“附加了DOC”。

因此,我们建议你在互联网上浏览或查看你的电邮时要非常谨慎。在打开信件时务必密切注意 —— 你可以通过轻微的拼写错误,或者要求打开附件“以了解更多详情”来识别恶意邮件。尤其是当你看到JS、.EXE、.COM、.PIF、.SCR、.HTA、.vbs、.wsf、.jse、.jar 和其他可疑文件扩展时,请不要打开可疑的电邮附件。此外,避免访问可疑网站,因为它们可能由网络犯罪分子管理,并用来分布高风险的计算机感染。

了解如何安全地卸载 GandCrab 病毒并取回你的数据

如果你想移除 GandCrab 勒索软件并进行数据复原,唯一的方法就是使用安全软件。请注意,你必须尽快执行此操作,以避免对计算机造成进一步的损坏。过后你将能够使用新的解密器来取回被勒索软件加密的文件。

欲修复系统,请在你发现到计算机上的加密文件后立即下载专业的安全软件。我们建议使用 ReimageMalwarebytes MalwarebytesCombo CleanerPlumbytes Anti-MalwareMalwarebytes Malwarebytes 进行 GandCrab 移除,这些都曾经在测试病毒时所用。在安装其中一个应用程序后,请运行完整的系统扫描,让它终止这个文件加密病毒。不幸的是,这些程序无法解密被加密的文件。

请注意,你可能无法先安装恶意软件清除工具。为此,你必须将你的计算机重新启动到“带有网络的安全模式”或使用“系统还原”。你可以在本文末尾找到如何进行的分步指导,摆脱 GandCrab。另外,我们的专家还准备了备用的复原方法来帮助你复原被加密的文件。

优惠
现在就行动!
下载
Reimage (移除工具) 快乐
保证
下载
Reimage (移除工具) 快乐
保证
Microsoft Windows兼容 Supported versions OS X兼容 Supported versions
如果失败了,该怎么办呢?
如果您无法使用  Reimage 来移除病毒损坏,请提交问题 给我们的支援团队,并尽可能提供详细的信息。
建议使用 Reimage 来移除病毒损坏。 免费的扫描程序可以让你查看你的计算机是否受到感染。如果你需要移除恶意软件,你必须购买恶意软件移除工具 Reimage 的许可版。
快照
快照

手动GandCrab病毒移除指南:

关于作者

Julie Splinters
Julie Splinters - 恶意软件移除专家

如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。

联系 Julie Splinters
关于 Esolutions 公司

来源:https://www.2-spyware.com/remove-gandcrab-ransomware.html

其他语言的移除指南