GandCrab v4 勒索软件——锁住文件的危险病毒,以第四个版本强势回归 
GandCrab v4 勒索软件是 GandCrab 家族的最新变种,它是 2018 年 7 月初第一次被安全专家发现。这个加密病毒使用了 AES-256 (CBC mode)(密码分组链接模式)和 RSA-2048 加密计算法来加密数据,并在每一个受侵入的文件添加 .KRAB 扩展名字。然后这个恶意软件就会马上置放一份勒索字条,CRAB-DECRYPT.txt 或 KRAB-DECRYPT.txt,向用户说明复原数据的唯一方法就是以加密货币支付比特币给网络犯罪分子。安全专家找到证据说明是罗马尼亚出生的黑客创建了该病毒的最新变种。
概要 | |
名称 | GandCrab v4 |
类型 | 勒索软件 |
相关联 | GandCrab 家族 |
加密计算法 | AES-256 和 RSA-2048 |
文件扩展 | .KRAB |
勒索字条 | CRAB-DECRYPT.txt 或 KRAB-DECRYPT.txt |
消除方法 | 自动方法而已——使用 Reimage、SpyHunter 5Combo Cleaner 或 Malwarebytes |
解密工具 | 尚未有官方的解密工具 |
虽然骗子已经停止了这个恶意软件的先前版本,而文件解密工具也已创建,但 GandCrab v4 病毒并不属于这种情况。由于这个网络威胁仍然是全新的,安全研究人员可能会在未来开发其解密工具。不幸的是,截至目前,欲在没有密钥的情况下复原文件几乎是不可能的。然而,让计算机恢复正常操作的第一步是将 GandCrab v4 勒索软件移除。
加密恶意软件通常是通过垃圾邮件中的受感染附件、打断受保护程度较低的 RDP(远程桌面协议)、使用软件漏洞或通过恶意网站(如文件共享或种子网站)上的可执行文件来渗入计算机。一旦 GandCrab v4 病毒进入,它就会执行完整的系统扫描,并寻找它要加密的文件。之后,它就会将 .KRAB 扩展名附加到所有视频、音频、照片、数据库、图像文件后面。因此,picture.jpg 被修改为 picture.jpg.KRAB,然后就无法被存取了。
可以将文件解锁的密钥被置放在服务器上,而只有 GandCrab v4 的网络骗子可以访问该服务器。最糟糕的是,每个密钥都是为每个受感染的计算机单独生成的,因此无法重复使用它。然而,安全研究人员建议在任何情况下都不可以支付赎金。
众所周知,黑客通常都会无视受害者,也从不发送所承诺的密钥。此外,这些恶意的人可能会发送更多的恶意软件,这可能会对你的计算机造成进一步的损害。因此,如果 KRAB 扩展名锁住了你的文件,请不要惊慌。你只需下载并安装 Reimage、SpyHunter 5Combo Cleaner、Malwarebytes 或任何其他信誉良好的安全软件,然后运行完整的系统扫描。这将有助于你有效地移除 GandCrab v4 勒索软件。
只有在完成消除过程之后,你才可以尝试复原文件。不幸的是,复原文件的唯一安全方法是使用备份(通过使用云服务或物理外部存储设备,如 USB 记忆棒或外部硬盘)。因此,即使你不认为自己可能受到感染,你应该仍然定期备份你的数据,因为它可以保护你的宝贵文件免遭破坏。
避免打开看似或感觉可疑的电邮
网络钓鱼电邮中受感染的附件通常是感染勒索软件的罪魁祸首。黑客经常会利用用户在计算机安全方面粗心大意的事实,使用机器人发送数千封可能看起来非常可信的垃圾邮件。一旦受害者点击恶意附件,病毒的有效负载就会被执行,所有的文件将会被锁住。为了避免这种情况的发生,请仔细检查电邮,如果你不是 100% 确定它们是合法的,请不要单击任何链接或附件。
危险的恶意软件被注入计算机的其他方式包括:
- 漏洞利用套件;
- 未受保护的 RDP;
- 使用僵尸网络;
- 文件共享站点和点对点网络里的受感染可执行文件;
- 被破解或重新包装的软件;
- 伪造的更新等等。
使用信誉良好的安全软件移除 GandCrab
欲安全地移除 GandCrab V4 病毒,你必须使用反恶意软件。如果你想保护自己不会遭受在线的危险,你必须安装信誉良好的安全工具。如果你仍未使用任何保护,那你的计算机即将面临危险。因此,请下载 Reimage、SpyHunter 5Combo Cleaner 或 Malwarebytes,并将它们保持在最新状态。如果恶意软件阻止了正确的防病毒程序操作,请进入“带网络连接的安全模式”,如下所述。
只有在将 GandCrab v4 完全移除后,你才可以尝试复原文件,否则文件将再次被加密。因此,如果你拥有数据的备份,请勿在病毒消除之前将它连接起来。如果你没有备份,你可以尝试使用第三方软件来复原文件,我们将在以下解释如何进行操作。
以下的视频解释了如何在开始删除 GandCrab 之前创建安全环境。请记住,这个病毒能够禁用合法的安全软件,以防止它从系统中被移除。为了防止因这种能力而产生的严重后果,你应该执行以下步骤: