GandCrab v4 勒索软件——锁住文件的危险病毒,以第四个版本强势回归 
GandCrab v4 勒索软件是 GandCrab 家族的最新变种,它是 2018 年 7 月初第一次被安全专家发现。这个加密病毒使用了 AES-256 (CBC mode)(密码分组链接模式)和 RSA-2048 加密计算法来加密数据,并在每一个受侵入的文件添加 .KRAB 扩展名字。然后这个恶意软件就会马上置放一份勒索字条,CRAB-DECRYPT.txt 或 KRAB-DECRYPT.txt,向用户说明复原数据的唯一方法就是以加密货币支付比特币给网络犯罪分子。安全专家找到证据说明是罗马尼亚出生的黑客创建了该病毒的最新变种。
| 概要 | |
| 名称 | GandCrab v4 |
| 类型 | 勒索软件 |
| 相关联 | GandCrab 家族 |
| 加密计算法 | AES-256 和 RSA-2048 |
| 文件扩展 | .KRAB |
| 勒索字条 | CRAB-DECRYPT.txt 或 KRAB-DECRYPT.txt |
| 消除方法 | 自动方法而已——使用 Reimage Reimage Cleaner Intego、SpyHunter 5Combo Cleaner 或 Malwarebytes |
| 解密工具 | 尚未有官方的解密工具 |
虽然骗子已经停止了这个恶意软件的先前版本,而文件解密工具也已创建,但 GandCrab v4 病毒并不属于这种情况。由于这个网络威胁仍然是全新的,安全研究人员可能会在未来开发其解密工具。不幸的是,截至目前,欲在没有密钥的情况下复原文件几乎是不可能的。然而,让计算机恢复正常操作的第一步是将 GandCrab v4 勒索软件移除。
加密恶意软件通常是通过垃圾邮件中的受感染附件、打断受保护程度较低的 RDP(远程桌面协议)、使用软件漏洞或通过恶意网站(如文件共享或种子网站)上的可执行文件来渗入计算机。一旦 GandCrab v4 病毒进入,它就会执行完整的系统扫描,并寻找它要加密的文件。之后,它就会将 .KRAB 扩展名附加到所有视频、音频、照片、数据库、图像文件后面。因此,picture.jpg 被修改为 picture.jpg.KRAB,然后就无法被存取了。
可以将文件解锁的密钥被置放在服务器上,而只有 GandCrab v4 的网络骗子可以访问该服务器。最糟糕的是,每个密钥都是为每个受感染的计算机单独生成的,因此无法重复使用它。然而,安全研究人员建议在任何情况下都不可以支付赎金。
众所周知,黑客通常都会无视受害者,也从不发送所承诺的密钥。此外,这些恶意的人可能会发送更多的恶意软件,这可能会对你的计算机造成进一步的损害。因此,如果 KRAB 扩展名锁住了你的文件,请不要惊慌。你只需下载并安装 Reimage Reimage Cleaner Intego、SpyHunter 5Combo Cleaner、Malwarebytes 或任何其他信誉良好的安全软件,然后运行完整的系统扫描。这将有助于你有效地移除 GandCrab v4 勒索软件。
只有在完成消除过程之后,你才可以尝试复原文件。不幸的是,复原文件的唯一安全方法是使用备份(通过使用云服务或物理外部存储设备,如 USB 记忆棒或外部硬盘)。因此,即使你不认为自己可能受到感染,你应该仍然定期备份你的数据,因为它可以保护你的宝贵文件免遭破坏。
避免打开看似或感觉可疑的电邮
网络钓鱼电邮中受感染的附件通常是感染勒索软件的罪魁祸首。黑客经常会利用用户在计算机安全方面粗心大意的事实,使用机器人发送数千封可能看起来非常可信的垃圾邮件。一旦受害者点击恶意附件,病毒的有效负载就会被执行,所有的文件将会被锁住。为了避免这种情况的发生,请仔细检查电邮,如果你不是 100% 确定它们是合法的,请不要单击任何链接或附件。
危险的恶意软件被注入计算机的其他方式包括:
- 漏洞利用套件;
- 未受保护的 RDP;
- 使用僵尸网络;
- 文件共享站点和点对点网络里的受感染可执行文件;
- 被破解或重新包装的软件;
- 伪造的更新等等。
使用信誉良好的安全软件移除 GandCrab
欲安全地移除 GandCrab V4 病毒,你必须使用反恶意软件。如果你想保护自己不会遭受在线的危险,你必须安装信誉良好的安全工具。如果你仍未使用任何保护,那你的计算机即将面临危险。因此,请下载 Reimage Reimage Cleaner Intego、SpyHunter 5Combo Cleaner 或 Malwarebytes,并将它们保持在最新状态。如果恶意软件阻止了正确的防病毒程序操作,请进入“带网络连接的安全模式”,如下所述。
只有在将 GandCrab v4 完全移除后,你才可以尝试复原文件,否则文件将再次被加密。因此,如果你拥有数据的备份,请勿在病毒消除之前将它连接起来。如果你没有备份,你可以尝试使用第三方软件来复原文件,我们将在以下解释如何进行操作。
以下的视频解释了如何在开始删除 GandCrab 之前创建安全环境。请记住,这个病毒能够禁用合法的安全软件,以防止它从系统中被移除。为了防止因这种能力而产生的严重后果,你应该执行以下步骤:
手动GandCrab v4病毒移除指南:
使用 Safe Mode with Networking 来移除 GandCrab v4
为了安全地摆脱 GandCrab V4 病毒,请按照以下方式进入“带网络的安全模式”:
-
步骤1: 将你的计算机重新启动至 Safe Mode with Networking
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Safe Mode with Networking
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking
-
步骤2: 移除 GandCrab v4
请使用你那个已受感染的账户登录并打开网页浏览器。下载 Reimage Reimage Cleaner Intego 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个GandCrab v4 的移除过程。
如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。
使用 System Restore 来移除 GandCrab v4
你可以尝试使用“系统还原”来消除恶意软件:
-
步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Command Prompt
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt
-
步骤2: 将你的系统文件和设置还原
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
-
现在输入 rstrui.exe 然后再点击 Enter 一次。.
-
当显示新的窗口时,点击 Next 然后选择在 GandCrab v4 渗入之前的还原点,完成后点击 Next。
-
现在请点击 Yes 以启动系统还原。
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
额外指示:恢复你的数据
以上的指南将帮你从你的计算机移除 GandCrab v4。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。虽然对于某些人,支付赎金似乎是一个好主意,但我们不建议这样做。你不仅会浪费你的金钱,还会进一步损坏你的计算机。此外,你将成为网络犯罪分子及其恶意行为的资助人。相反的,请尝试以下的一些替代解决方案。
如果你的文件已被 GandCrab v4 加密,你可以使用几个方法来将它们还原:
使用 Data Recovery Pro
对于受勒索软件感染的文件,Data Recovery Pro 可以是一个有用的工具。虽然它有可能无法帮助你,但你还应该尝试使用它。
- 下载 Data Recovery Pro;
- 按照安装 Data Recovery 的步骤并在你的计算机上安装这个程序;
- 将它启动并扫描计算机以找出被 GandCrab v4 勒索软件加密的文件;
- 还原它们
使用 Windows Previous Versions 功能来复原你的文件
只有在勒索软件锁住文件之前启用了“系统还原”功能,这个方法才有效。此外,每次只能复原一个文件。因此,取回大量数据是不太可能的。
- 找出你想要还原的加密文件然后右键点击它;
- 选择 “Properties” 然后移到 “Previous versions” 标签页;
- 在这里,检查 “Folder versions” 里每个文件的可用副本,你应该选择你想要还原的版本然后点击 “Restore”。
你可以试试 ShadowExplorer
ShadowExplorer只有在病毒保持完整的卷影副本时才有作用。
- 下载 Shadow Explorer (http://shadowexplorer.com/);
- 按照 Shadow Explorer 安装向导然后将这个应用程序安装在你的计算机;
- 启动程序然后移到左上角的下拉菜单并选择被加密数据的硬盘,查看那儿有些什么文件夹;
- 右键点击你想要还原的文件夹然后选择 “Export”,你也可以选择你要将它储存的地方。
请尝试 GandCrab 解密工具
虽然原始解密工具有效的可能性很小,但你仍然可以将它下载并尝试使用。
最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止GandCrab v4 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 Reimage Reimage Cleaner Intego、SpyHunter 5Combo Cleaner 或 Malwarebytes
关于作者
如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。
您的意见关于GandCrab v4 ransomware