2023年11月29日发(作者:)

方法一 GandCrab勒索软件解密

GandCrab勒索病毒是一种广泛使用的加密病毒,自20181月以来一直针对来自世界各

地的用户。自发布以来不到一年的时间内,恶意软件已经出现多种攻击性变种,包

.GDCB.KRAB.CRABGandCrab 2GandCrab 3GandCrab 4GandCrab v4.1GanCrab

v4.1.2GanCrab v5。最近,第5个病毒版本被分为几个变种:GandCrab 5.0.1GandCrab

5.0.2GandCrab 5.0.3GandCrab 5.0.4GandCrab 5.0.5。所有这些版本都使用Salsa20

RSA-2048对数据进行编码,并附加.gdcb.crab.KRAB.lock[随机5-10]文件扩展名,

这是最新版本使用的。恶意软件是在受感染的可执行文件的帮助下传播的,例如破解(“将

图像合并为PDF的通用破解”)和虚假更新。此外,GandCrab在漏洞利用工具包的帮助下

积极传播

名称 GandCrab

恶意软件的类型 勒索

发现 2018130

系统受影响 视窗

版本

GandCrab v2

GandCrab v3

GandCrab v4

GandCrab v4.1

GanCrab v4.1.2 GandCrab v4.1.2

GandCrab v5

GandCrab v.5.0.1

GandCrab v.5.0.2

GandCrab v.5.0.3

GandCrab v.5.0.4

GandCrab v.5.0.5

扩展名已添加到受感染文件中 .gdcb.crab.krab.KRAB.lock[随机5-10字母]

赎金票据 ; ; [随机5-10字母] -

赎金金额 可能因版本而异

最初,经过两个月的积极分发,勒索软件似乎被专家和欧洲刑警组织击败。揭露勒索软件代

码中的漏洞后,最终攻击了网络犯罪分子。 但是,病毒似乎不会停止。第二个版本,发现几

个月,要求1.54 DASH以换取解密密钥。改进版本尚未被解密,因为黑客修补了关键加密漏

洞。

GandCrab一直使用不同的扩展来标记加密数据,包括.CRAB.KRAB.gdcb.lock文件扩

展名

黑客正在使用不同的策略来分发GandCrab

勒索软件研究人员报告了黑客用于传播勒索软件的几种方法。起初,病毒被发现通过垃圾邮

件蔓延。根据PC安全专家的说法,GandCrab正在使用主题“Receipt Feb-21310 [随机数]。”

发件人的姓名可能会有所不同,但电子邮件地址的第二部分总是@ 。垃

圾邮件还包含PDF附件和“DOC附加”作为邮件正文。

GandCrab依赖于.doc文件,一旦受害者点击恶意附件,该文件就会下载到系统中。随后,.doc

文件运行PowerShell脚本并创建一个漏洞利用文件(,该文件当前会影响64位系

统。正如各种加密恶意软件研究人员所指出的那样,文件并没有运行病毒的最终负

载,而是执行漏洞并作为恶意软件进入的媒介运行。

Exploit工具包呈现了一种用于执行GandCrab的无文件技术,该技术使用 /

脚本编码并注入内存。当执行有效负载时,勒索软件会进入

并强制PC重新启动。之后,它启用加密器并锁定.CRAB文件扩展名的文件。似乎

Magnitude EK主要用于传播GandCrab勒索软件。

GandCrab也通过名为Seamless的恶意广告活动进行分发。在它的帮助下,受害者将获得另

一个名为RIG EK的漏洞利用工具包。在检测到系统漏洞后,它利用它们通过文件加密病毒

或其他危险的计算机病毒感染目标系统。

最后,该病毒还作为Ransomware-as-a-ServiceRaas在黑网上发布。Check Point称,

由于创新的GandCrab联盟计划,黑客已经收集了超过60万美元的赎金。勒索软件开发商

一直在向参与者支付60%至70%的勒索软件收入,以换取全天候技术支持。

据研究人员称,这种加密恶意软件有近100个活跃的附属机构,其中80个成功分散了700

个不同的恶意软件样本。超过70%的受感染PC位于欧美国家,因此专用于讲英语的PC

户。但是,最近的版本提供了多种语言可供选择

勒索软件继续采取其他行动

在渗透之后,GandCrab勒索软件开始加密存储在系统上的最有价值的数据。一旦受害者遵

循赎金票据中提供的步骤,他/她将被引导到名为交付赎金的网站。

GandCrab的新变种

.GDCB文件后缀病毒。 在原始版本发布后的几周内检测到此版本的GandCrab病毒。就像

它的前身一样,它通过受感染的垃圾邮件附件进行传播,并在打开附件后运行有效负载。

它针对最流行的文件,包括但不限于.doc.txt.jpg.png.audio.video等,并将.GDCB

文件扩展名附加到每个文件。它在受害者的桌面上创建了一个文件,

果受害者迟到支付,赎金金额就会增加。

GandCrab 2勒索病毒。第二个勒索软件的版本目前无法解密。在发布这个新版本之前,骗

子修补了网络安全专家在3月初发现的严重加密漏洞。 GandCrab2通过无缝恶意广告活动

分发,将受害者引入RIG漏洞利用工具包。然而,与其前身不同,它也可以通过HoeflerText

字体更新骗局与受害者联系。

GandCrab 3勒索病毒是这个家族的第三个网络威胁。这些文件在AES-256CBC模式)+

RSA-2048算法的帮助下加密,无法再访问。此外,文件名标有.crab扩展名,CRAB-

赎金票据被删除。 文件由GandCrab 3加密的受害者的主要区别在于DASH

密货币不再可接受。人们现在被要求支付比特币的赎金。但是,请不要支付交易并检查下面

的替代解密方法。

GandCrab V4勒索病毒 版本于20187月初被注意到。此勒索软件还使用AES-256CBC

模式)和RSA-2048加密算法。这是使用.KRAB文件扩展名的第一个版本,赎金笔记可能位

于两个不同命名的文件中。文本文件包含有关攻

击的更多信息以及有关如何创建加密货币钱包的说明。 V4版本之后不久,GandCrab V4.1

就出现了。该版本略有不同,使用的是.krab文件扩展名。使用网络通信功能代替CC服务

器。此版本可以在没有Internet连接的情况下传播。由于其分发中可能使用SMB漏洞利用

功能,因此有许多关于此版本的报告。但是,它被拒绝,但需要MS17-010补丁来防止恶意

软件的渗透。

GandCrab v4.1.2勒索病毒(GandCrab v4.1.X)是在717日创建疫苗应用程序并在线共

享时发现的。该疫苗仅适用于此版本,方法是在计算机上创建一个特殊文件,勒索软件在加

密前检查并诱使病毒认为数据已加密。该文件还显示计算机是否已被感染。

GandCrab v5勒索病毒在20189月与GandCrab v5.0.1,GandCrab v5.0.2,GandCrab

v5.0.3,GandCrab v5.0.4版本一起出现。它们是恶意软件的最新变种。与之前的版本不同,

们不使用预定的文件扩展名,而是从包含5-10个字母的随机字符生成一个。新的赎金票据

也不同,如下所示:[5-10个字母的随机字符] - GandCrab v5.0.5最近也已

经出现

研究人员认为,最新版本没有使用任何漏洞利用工具包进行分发,而是依赖于位于恶意网站

上的受感染安装程序。黑客可以重定向受害者并欺骗他们下载和安装恶意负载,以及使用驱

动安装技术。

不幸的是,GandCrab v5尚未解密。

漏洞利用工具包仍然被认为是最常见的攻击媒介

黑客采用了许多策略来使用勒索软件渗透计算机。但是,漏洞利用工具包被认为是最复杂的

工具包。这些程序可以成功检测和识别系统漏洞,然后滥用它们进行攻击。专家指出,

GandCrab勒索软件是通过以下漏洞利用工具包分发的:

钻机攻击套件;

GrandSoft漏洞利用工具包;

Magnitude漏洞攻击包。

此外,值得了解漏洞利用工具包并不是勒索软件分发的唯一方式。犯罪分子可能会利用轻信

的人并使用带有恶意附件的欺骗性垃圾邮件。通常,信件伪装成来自知名品牌和公司的购物

收据,发票或类似文件。同样,天真的用户打开受感染的附件并让网络威胁进入。

正如我们在前一段中所指出的,此勒索软件的开发者正在积极传播垃圾邮件。

因此,建议您在浏览互联网或监控电子邮件时要格外小心。

GandCrab勒索病毒删除并进行数据恢复

如果要恢复受感染的文件,则必须先删除GandCrab。不幸的是,如何做到这一点的选择并

不多。

1.选择高级防恶意杀毒软件进行自动删除

2.手动从PC中删除病毒

要修复系统,请在计算机上发现加密文件后立即下载专业安全杀毒软件。运行完整的系统扫

描并让它终止此文件加密病毒。不幸的是,这些程序与加密文件的解密无关。

请注意,您可能无法首先安装恶意软件删除工具。为此,您必须将计算机重新启动到带网络

连接的安全模式或依赖系统还原。

使用带网络连接的安全模式删除GANDCRAB

将计算机重新启动到带网络连接的安全模式是勒索软件清除过程的第一步。

Windows 7 / Vista / XP

单击开始 关机 重新启动 确定。

当您的计算机变为活动状态时,请多次按F8键直到看到“ 高级启动选项”窗口。

从列表中选择带网络连接的安全模式

2步:删除GandCrab

登录受感染的帐户并启动浏览器。下载其他合法的高级反间谍杀毒软件程序。在完整系统扫

描之前更新它并删除属于勒索软件的恶意文件并完成GandCrab删除。

如果您的勒索软件阻止了网络安全模式,请尝试进一步的方法

要在系统还原的帮助下摆脱此勒索软件,请按照下列步骤操作:

步骤1:使用命令提示符将计算机重新启动到安全模式

Windows 7 / Vista / XP

单击开始 关机 重新启动 确定。

当您的计算机变为活动状态时,请多次按F8键直到看到“ 高级启动选项”窗口。

从列表中 选择“ 命令提示符

2步:恢复系统文件和设置

一旦命令提示符窗口中显示出来,进入CD恢复并单击回车。

现在键入并再次按Enter键。

当出现新窗口时,单击“ 下一步”并选择GandCrab渗透之前的还原点。完成后,单击“ 下一

步”。

现在单击是以启动系统还原。

一旦你将系统恢复到以前的日期,下载和扫描您的计算机进行重新映像,并确保GandCrab

去除成功执行。

恢复您的数据

1.数据恢复软件可以帮助您恢复受损数据

s早期版本功能有助于恢复加密文件

如果在勒索软件攻击之前启用了系统还原功能,则可以使用Windows早期版本回溯。

找到您需要还原的加密文件,然后右键单击它;

选择“属性”并转到“以前的版本”选项卡;

在此处,在“文件夹版本”中检查文件的每个可用副本。您应该选择要恢复的版本,然后单击

“恢复”。

方法二 如何刪除Gandcrab V5.0.4

索和解密的所有文件

十月 16, 2018 拉米Douafi 勒索, 卸載教程 0

Gandcrab V5.0.4勒索感染? 需要解密文件?

什麼是Gandcrab V5.0.4勒索

Gandcrab V5.0.4是的更新版本 GANDCRAB V5.0 加密的病毒,加密用戶數據,並要求贖

. 像以前的版本, 它最加密用戶文件, office文檔, 檔案, 相片, 視頻, 音頻和其他文件.

該病毒的加密文件的擴展名更改為一組 8 封信,並增加該擴展

這同時是筆記. 從而, 加密文件看起來像這樣: XTLKNFPQ-

要么 . 當它變得清晰, 這些文件變得不適合繼續使

. 此外, Gandcrab V5.0.4刪除文件的卷影副本和系統恢復點,以消除手動解密文件的可

能性. 每一次你試圖打開一個文件, 該加密病毒打開一個包含關於購買信息的說明文件:

= GANDCRAB V5.0.4 =

Attention!

All your files, documents, photos, databases and other

important files are encrypted and have the

extension: .YKWKCUGI

The only method of recovering files is to purchase an unique

private key. Only we can give you this key and only and only

we can recover your files.

The server with your key is in a closed network TOR. You can

get there by the following ways:

—————————————————————————————–

| 0. Download Tor browser /

| 1. Install Tor Browser

| 2. Open Tor Browser

| 3. Open link in TOR browser

/371525fbc2a9ddd2

| 4. Follow the instructions on this page

—————————————————————————————–

On our page you will see instructions on payment and get the

opportunity to decrypt 1 file for free.

ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES

* DO NOT CHANGE DATA BELOW

BEGIN GANDCRAB KEY

IAQAADcGuK20868jo rVSSQNHeCNCzn LVthNchP1cchrZ+ZK64yengprthG

1oan 1 BmSjZWIVyseGGDBKUiOnX4NfUDgoNh

rthhDaVWAetprp+ystBhHoerAGVbtaprwIXUeKItyFQJUkFlmE+J9/91W3ngfX

UDpB13408PijhAwijqUnWNZBMXD4TQrv… [REDACTED] END GANDCRAB

KEY

BEGIN PC DATA

wfKD6iudumBkmpL8IRr4U7WxEFa3OW3tyzxyOuL12FYqvNmWPB5KYaxd5ZYqTp

在以前的版本, cryptovirus的騙子要求的贖金 $ 2,400, 並需要只能通過Tor瀏覽器,只

cryptocurrency提出贖金. 這樣做是為了不留下交易痕跡,風險最小化完成. 此外, 騙子

說,如果你不立即支付贖金的數量將增加嚇唬用戶. 當然,這是一招. 沒有人會永遠給你保

證,詐騙者會回報你的文件. 我們絕不建議你付出的入侵者. 在底部,你可以看到我們的指

示,並通過刪除Gandcrab V5.0.4自行解密文件.

更新使用以下服務,以確定你被攻擊勒索軟件的版本和類型勒索如果要解密文件

: : ID. ,

請按照我們下面的指令或如果您有任何困難請聯繫我

, ,

我們真的可以幫助解密文件

: submit@. .

如何Gandcrab V5.0.4感染你的電腦

像這樣cryptovirus以前的版本, Gandcrab V5.0.4, 作為一項規則, 無需用戶大局;同意通

過無保護的網絡設置. 例如, 在垃圾郵件列表或作為一個程序或應用錯誤的更新附件. 是因

為它可能, 我們建議您熟悉我們的導遊,試圖馬上擺脫Gandcrab V5.0.4和解密文件.

首先, 不要驚慌. 按照下面這些簡單的步驟.

1. 啟動您的計算機 帶網絡連接的安全模式. 要做到這一點, 您的系統開始按F8前幾次重新

啟動計算機. 這將停止加載系統會顯示 高級啟動選項 屏幕. 選擇 帶網絡安全模式 從選項

列表中選擇使用上下鍵盤和命中上箭頭 輸入.

2. 登錄到感染Gandcrab V5.0.4病毒系統. 啟動Internet瀏覽器並下載一個可靠的反惡意

軟件程序並啟動全系統掃描. 一旦掃描完成, 查看掃描結果,並刪除所有檢測到的條目.

推薦的解決方案

:

WiperSoft Gandcrab V5.0.4 , , .

完全消除的所有實例文件夾註冊表項

恢復使用卷影副本文件

1. 下載並運行 數據恢復專業版.

2. 選擇您想從並按恢復它們的驅動器和文件夾,您的文件位於和日期 掃描.

3. 選擇的文件夾中的所有文件要恢復和選擇 恢復.

4. 選擇導出位置,並查看恢復的文件.

下載數據恢復專業

2: 刪除以下Gandcrab V5.0.4的文件和文件夾:

相關連接或其它項目:

No information

相關文件:

No information

如何解密Gandcrab V5.0.4感染的文件?

你可以嘗試用人工的方法來恢復和解密文件.

手動解密文件

使用系統還原恢復系統

雖然Gandcrab V5.0.4排出系統的最新版本還原文件, 這種方法可以幫助你恢復部分文件.

給它一個嘗試,並使用標準的系統還原恢復你的數據.

1. 發起搜索 系統還原

2. 點擊結果

3. 選擇感染出現之前的日期

4. 按照屏幕上的說明

滾動文件,回到以前的版本

以前的版本可以通過Windows備份創建的文件的副本和文件夾 (如果是積極的) 或者通過

系統創建的文件和文件夾的副本還原. 您可以使用此功能來恢復你意外修改或刪除的文件

和文件夾, 或受損. 此功能可在Windows 7 和更高版本.

1. 右鍵單擊該文件,並選擇 屬性

2. 打開 以前的版本 標籤

3. 選擇最新的版本,然後單擊 複製

4. 點擊 恢復