Krypteringsviruset GandCrab är en av de nyare ransomware infektionerna och säkerhetsforskare indikerar att den är aningen underlig. Det här skadeprogrammet har en del intressanta funktioner som aldrig har upptäcks i andra virus av den här kategorin. En kampanj kallad Seamless är en s.k. ”malvertising” kedja som tar fram ett RIG exploit kit och frekvent levererar en Ramnit trojan. Alcatraz ransomware levererades också på samma sätt.
Däremot, nu tar kampanjen GandCrab viruset under sina vingar istället. Detta ransomware använder sig av både AES och RSA kryptering och lägger till filändelsen .GDCB på de skadade digitala filerna.
Vad är speciellt med GandCrab ransomware
Krypteringsviruset GandCrab kommer att lägga till en GDCB-DECRYPT.txt fil på offrens datorer. Den körbara filen kommer att presentera de första instruktionerna som kaparna ger. Offren behöver ladda ned webbläsaren TOR som tillåter internetanvändare tillgång till hemsidor som annars inte skulle kunna nås med en vanlig webbläsare. Programmet öppnar dörrar till de s.k. to ”dark och deep web”, men vi hoppas att du slipper den här resa med dom (Riskerna med att utforska The Dark Web – Håll Dig Borta! Var Säker!).
Så snart som användarna gått in på den obligatoriska sidan via TOR (gdcbghvjyqy7jclk.onion). Kommer den startade sidan visa information om den infekterade datorn: position enligt IP, operativsystem, PC användaren, språk m.m. Offren kan faktiskt ladda upp en fil till sidan och dekryptera den. Den digitala filen bör inte vara större än 2 MB och behöver vara en av följande filtyper: txt, jpg/jpeg, bmp, png, gif. För att få tillbaka alla filerna behöver offret betala 1,5 DASH. I TOR hemsidan förklaras det vara 1200 USD. Vid tillfället av den här artikeln är 1 DASH värd 1135,11 USD.
GandCrab viruset kan ha flera laster. Under utredningen fann vi dessa skadliga filer: 4.exe och 2018-01-29_00-38-31.exe. Enligt upphovsrätten på dessa filer så är de genererade av en okänd källa kallad “kdabjnrg”.
En annan intressant detalj angående krypteringsviruset GandCrab är att det accepterar en öppen källa – peer-to-peer DASH krypto-valuta. Vi har aldrig sett ett ransomware där utgivaren begär lösensumma i den här digitala formen tidigare. Däremot är det kanske inte så konstigt då Bitcoin har bytts ut mot Monero i ett par virus vi har diskuterat tidigare.
Versioner av GandCrab ransomware (engelska):
Variant name |
Release date |
Extension |
Contact |
Decryptor |
GandCrab (Original) |
Jan 26, 2018 |
.CRAB .GDCB |
gdcbghvjyqy7jclk.onion/(yourID) |
YES |
Mar 5, 2018 |
.CRAB .GDCB |
gdcbmuveqjsli57x.onion/(yourID) |
NO |
|
Apr 28, 2018 |
.CRAB |
http://gandcrab2pie73et.onion/(yourID) |
NO |
|
GandCrab v4 |
June 30, 2018 |
.KRAB |
gandcrabmfe6mnef.onion/(yourID) |
NO, but has a Prevention vaccine |
.KRAB Ransomware (Gandcrab v4)
GandCrab ransomware jämfört med andra har utvecklats väldigt fort med 4 nya varianter (samt deras andra modifierade versioner) på endast 6 månader, vilket gör det till ett av dessa mest spridda ransomwares idag. Medan principen är densamma och GandCrab fortfarande krypterar filer och begär lösensumma, så har en del tekniska- och en del andra aspekter förändrats avsevärt – detta gör det ännu mer okänt och envis.
Den första synliga modifieringen som GandCrab v4 har är den kända filändelsen som nu stavas .KRAB tillsammans med ett matchande hotbrev ‘KRAB-DECRYPT.txt’, samt de nya TOR länkarna för betalning och information. Dessutom har kaparna nu beslutat att använda Salsa20 algoritmen för att kryptera filerna istället för de vanligare RSA och AES. Enligt en del IT-entusiaster sprids GandCrab 4 via en del falska program crack-sidor och nedladdningsalternativ som placerats på legitima hemsidor, alternativt falska bloggar. Dessutom begär de 1200 USD i krypto-valutan DASH (runt 4,7 DSH).
Eftersom GandCrab demonstrerar en sofistikerad kryptering och metod för distribution med varje variant, så har det blivit svårt för specialister på IT-säkerhet att försöka dekryptera filerna. Av den här anledningen har ett syd-koreanskt säkerhetsföretag AhnLab lanserat ett förebyggande alternativ för Gandcrab v4.1.2 som hjälper användare att undvika Gandcrab virusets kryptering, men endast för version 4.1.2. Applikationen skapar en speciell ‘hexidecimal string number .locked’ fil i C:ProgramData mappen som replikerar den från Gandcrab vilket indikerar att datorn redan har blivit äventyrad. Med andra ord skall det förebygga mot att viruset låser datorn två gånger och eliminerar tillgång även om offret betalar. Självklart kommer skurkarna inom kort finna en nå lösning eller en ny variant för att ta sig förbi det här hindret med.
Hur du dekrypterar låsta filer av Gandcrab viruset
Vid tiden av den här artikeln har säkerhetsforskare inte lyckats presentera en garanterad väg att dekryptera filerna. Eftersom krypteringsviruset Gandcrab tycks distribueras relativt aktivt så är vi säkra på att specialister kommer att finna ett sätt att skapa en kostnadsfri dekrypterare. Tills dess hoppas vi att du inte beslutar dig för att betala 1.5 DASH till kaparna. Bli inte skrämd av meddelandet som säger att du endast har 4-5 dagar på dig att betala lösensumman.
Å andra sidan, det kan finnas ett sätt att dekryptera filerna manuellt. Vänligen kontrollera om du fortfarande har dina Shadow Volume kopior kvar. Sedan kan en del tredjepartsprogram för återställning av filer fungera för offer av ransomwares. Se dock till att du eliminerar krypteringsprogrammet innan du provar på några alternativ för återställning.
UPPDATERING: Det finns nu ett dekrypteringsprogram tillgängligt av BitDefender Labs Du kan ladda ned dekrypteraren här
Hur kan ett ransomware som GandCrab spridas
Den här särskilda exemplet distribuerades under Seamless kampanjen, samt forcerade in RIG exploit kits. Det här är en vanlig strategi för att leverera ransomware infektioner. Däremot kan viruset även ta sig in via dåligt skyddade RDP:s, eller installeras via skadliga annonser/ hemsidor online. För att hålla operativsystemet rent från sådana sårbarheter, då föreslår vi dig att du uppdaterar alla dina program och OS.
För att skydda dig själv mot skadeprogram behöver du vara försiktig med ditt surfande. Klicka inte på slumpmässigt innehåll och ladda inte heller ner från okända eller illegala källor. Om du finner kampen mot kapare svår så kan vi erbjuda hjälp även där. Installera Reimage eller Spyhunter och experimentera med deras fantastiska egenskaper. Dessa program kommer att kunna upptäcka alla skadeprogram och parasiter, samt hålla enheten fri från dessa.
Uppdatering sedan Mars 1, 2018. Forskare har lyckats utveckla ett kostnadsfritt verktyg för dekryptering för offren av Gandcrab ransomware viruset. Tack vare denna nya utveckling slipper användare överväga att betala lösensumman för att återfå sina filer. Allt de behöver göra är att ladda ned den kostnadsfria verktyget för dekryptering och av BitDefender och återställa deras data. Däremot har kaparna inte givit upp och distribuerar fortfarande viruser genom det falska meddelandet “HoeflerFont wasn’t found”. Du kan ladda ned det kostnadsfria verktyget från BitDefender här.
Gandcrab Ransomware Snabb
- Vad är speciellt med GandCrab ransomware
- .KRAB Ransomware (Gandcrab v4)
- Hur du dekrypterar låsta filer av Gandcrab viruset
- Hur kan ett ransomware som GandCrab spridas
- Automatisk Malware verktyg för borttagning
- Hur du tar bort GandCrab ransomware genom systemåterställning:
- Starta om din dator i Felsäkert Läge med Kommandotolken
- 2. Total borttagning av GandCrab v3
- 3. Återställ GandCrab ransomware påverkade filer med hjälp av Shadow Volume kopior
Automatisk Malware verktyg för borttagning
(Win)
Notera: Spyhunter försök ger detektion av parasiten som Gandcrab Ransomware och hjälper till dess avlägsnande gratis. begränsad testversion finns tillgänglig, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Notera: Combo Cleaner försök ger detektion av parasiten som Gandcrab Ransomware och hjälper till dess avlägsnande gratis. begränsad testversion finns tillgänglig,
Hur du tar bort GandCrab ransomware genom systemåterställning:
Starta om din dator i Felsäkert Läge med Kommandotolken
För Windows 7/ Vista/ XP
- Start -> Stäng av -> Starta om -> OK.
- Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
- Välj Felsäkert Läge med Kommandotolken.
För Windows 8/ 10
- Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om.
- Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
- När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.
Återställ systemfiler och inställningar.
- När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
- Skriv sedan in Rstrui.exe och tryck Enter igen.
- Klicka på "nästa" i fönstret som visas.
- Välj en av Återställningarna som finns tillgängliga innan GandCrab v2 infiltrerade datorn och klicka sedan på "nästa".
- För att starta systemåtersällning, klicka "Ja".
2. Total borttagning av GandCrab v3
Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till GandCrab v4.
3. Återställ GandCrab ransomware påverkade filer med hjälp av Shadow Volume kopior
Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker GandCrab v2 radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.
Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.
a) Windows egna tidigare versionerHögerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad.
OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.