GandCrab lunnasohjelma. Kuinka poistaa? (Poisto-ohjeet)
GandCrab – tiedostoja salaava lunnasohjelma, joka leviää exploit kiteillä ja saastuneilla PDF liitteillä
GandCrab on tiedostoja salaava virus, joka tällä hetkellä leviää Rig exploit kitin ja GrandSoft exploit kitin avulla. Sen kehittäjät levittävät tätä haittaohjelmaa roskapostien PDF liitteenä. Lunnasohjelmien salaamat tiedostot saavat .GDCB päätteen ja niitä ei voida avata. Tämän lisäksi, uhrit saavat GDCB-DECRYPT.txt tiedoston, joka toimii lunnasviestinä. Tällä hetkellä tämän lunnasohjelman kehittäjät pyytävät 1.54 DASH valuuttaa salauksen poistoavaimesta. Tällä hetkellä se kohdistaa64-bit järjestelmät .
Analyysien mukaan, GandCrab lunnasohjelmaa levitetään haittamainos kampanjalla, tunnetaan myös nimellä Seamless, joka johdattaa uhrit RIG exploit kittiin. Tällaiset ohjelmat on suunniteltu tunnistamaan järjestelmän haavoittuvuudet ja käyttämään niitä hyväkseen saastuttaakseen kohdejärjestelmän tiedostoja salaavalla viruksella tai muulla vaarallisella tietokone viruksella.
Turvallisuusasiantuntijoiden mukaan, GandCrab leviää tällä hetkellä roskapostina, joka otsikko on Receipt Feb-21310 [satunnaiset numerot]. Lähettäjät nimi voi vaihdella, mutta sähköposti toinen osa on aina @cdkconstruction.org. GandCrab roskaposti sisältää PDF liitteen, joka lataa .doc tiedoston järjestelmään. .doc tiedosto taas sisältää PowerShell skriptin ja luo exploit tiedoston (sct5.txt), joka tällä hetkellä vaikuttaa 64-bit järjestelmiin. Kuten tutkijat ovat osoittaneet, sct5.txt tiedosto ei käynnistä GandCrab haittakuormaa, mutta käynnistää exploit kitin ja toimii välineenä haittaohjelman sisäänpääsyyn.
Saastumisen jälkeen, GandCrab alkaa salaamaan kaikkein tärkeimpiä tiedostoja järjestelmässä. Tämän jälkeen käyttäjällä ei enää ole pääsyä tiedostoihin ja heille kerrotaan lunnasohjelman hyökkäyksestä lunnasviestissä, joka kertoo seuraavaa:
—= GANDCRAB =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this pageOn our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!
Kun uhri seuraa lunnasviestin ohjeita, hänet viedään verkkosivulle nimeltä GandCrab salauksen poistaja. Ihmisille annetaan lunnaan summa (noin $1200), tuki chat, DASH osoite ja mahdollisuus ladata yksi tiedosto ilmaiseen purkuun.
Valitse 'Safe Mode with Networking'
Valitse 'Enable Safe Mode with Networking'
Valitse 'Safe Mode with Command Prompt'
Valitse 'Enable Safe Mode with Command Prompt'
Kirjoita 'cd restore' ilman lainausmerkkejä ja paina 'Enter'
Kirjoita 'rstrui.exe' ilman lainausmerkkejä ja paina 'Enter'
Kun 'System Restore' ikkuna ilmaantuu, valitse 'Next'
Valitse palautuspiste ja klikkaa 'Next'
Klikkaa 'Yes' ja aloita järjestelmän palautus
On syytä sanoa, että GandCrab kertoo määrätyn aikarajan, jossa lunnaat tulee maksaa, tai maksu tullaan tuplaamaan. Tämä on kuitenkin vain yritys pelotella uhreja ja pakottaa heidät maksamaan lunnaat ilman muiden mahdollisuuksien tutkimista.
Siksi me todella neuvomme olemaan seuraamatta rikollisten sääntöjä, koska on vaihtoehtoisia tapoja saada pääsy tiedostoihin takaisin. Sen tekemiseksi, sinun pitää ensin poistaa GandCrab. NoVirus.uk asiantuntijat varoittavat, että tämä on vaarallinen tietokone virus ja se kannattaa poistaa ammattilaisen avulla tai tehokkaalla antiviruksella.
Meidän valinta GandCrab poistoon on Reimage tai Malwarebytes Anti Malware. Vaikka on mahdollista käyttää muutakin haittaohjelman poistajaa tämän tiedostoja salaavan viruksen poistoon. Löydät yksityiskohtaiset ohjeet poistoprosessin aloittamiseen tämän artikkelin alta.
Tämän lisäksi, ÄLÄ yritä poistaa GandCrab virusta itse. Tällainen monimutkainen lunnasohjelma tartunta on suunniteltu piilottamaan olemassaolo ja naamioitumaan lailliseksi prosessiksi. Tärkeä järjestelmä tiedoston poistaminen voi johtaa pysyvään tietokoneen vaurioitumiseen ja lunnasohjelman ilmaantumiseen uudelleen. Siksi me suosittelemme käyttämään alla olevaa poisto-ohjetta.
Kehittäjät levittävät lunnasohjelmaa kahden exploit kitin avulla
Kuten me olemme jo maininneet, tämä vaarallinen tietokoneuhka leviää kahden exploit kitin avulla, Rig exploit kit sekä GrandSoft exploit kit. Molemmat ovat todella tunnettuja exploit kittejä, jotka tunnistavat haavoittuvuudet uhrien tietokoneella ja auttavat lunnasohjelmaa pääsemään järjestelmään. Tällaiset ohjelmat eivät valitettavasti vaadi käyttäjän lupaa asentaa tiedostoja salaavia viruksia ja antavat omistajilleen pääsyn laukaista GandCrab viruksen järjestelmään. Siksi kokemattomat tietokoneen käyttäjät eivät ehkä ensin huomaa lunnasohjelman hyökkäystä.
On myös syytä tietää, että exploit kitit eivät ole ainoa tapa, jolla lunnasohjelmia levitetään. Rikolliset voivat käyttää hyväkseen sinisilmäisiä ihmisiä ja käyttävät petollisia roskaposteja, joissa on vaarallisia liitteitä. Yleensä ne on naamioitu ostokuiteiksi, laskuiksi tai vastaaviksi dokumenteiksi tunnetuilta merkeiltä tai yrityksiltä. Sinisilmäiset käyttäjät avaavat saastuneen liitteen ja päästävät verkkouhan sisään.
Kuten me aikaisemmassa kappaleessa kerroimme, tämän lunnasohjelman kehittäjät levittävät sitä aktiivisesti roskapostilla. Viestin otsikko on aina Receipt Feb-21310 [ satunnainen numero], lähettäjän nimi voi vaihdella hieman. Loppuosa on kuitenkin aina @cdkconstruction.org. Tässä roskapostissa ei ole paljon tietoja, se kuitenkin kertoo, että ”DOC liitteenä.”
Siksi me suosittelemme olemaan todella varovainen nettiä selatessa tai sähköposteja lukiessa. On tärkeää olla todella tarkkana, kun sähköposteja avataan — voit tunnistaa vaarallisen sähköpostin pienistä kirjoitusvirheistä tai kehotuksista avata liite ”lisätietojen saamiseksi”. Älä avaa epäilyttävien sähköpostien liitteitä, erityisesti jos näet JS, .EXE, .COM, .PIF, .SCR, .HTA, .vbs, .wsf, .jse, .jar, ja muita epäilyttäviä tiedoston päätteitä. Älä myöskään vieraile epäilyttävillä sivuilla, koska ne voivat olla verkkorikollisten hallussa ja niitä voidaan käyttää tietokone virusten levittämiseen.
Opi kuinka poistaa GandCrab virus nyt
Käyttäjillä, joiden järjestelmä on saastunut lunnasohjelmalla, ei yleensä ole paljon valintaa ja heidän pitää toimia nopeasti — ainoa tapa poistaa GandCrab, on poistaa uhka automaattisesti. Pidä mielessäsi, että mitä nopeammin sen teet, niin sitä parempi, koska tämä lunnasohjelma voidaan ohjelmoida päästämään muita vaarallisia tietokoneuhkia järjestelmääsi.
Sinun kannattaa ladata ammattilaisten turvaohjelma, heti kun huomaat tietokoneesi olevan saastunut. Meidän suosituksemme ovat Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus, tai Malwarebytes Anti Malware GandCrab poistoon. Asennuksen jälkeen, suorita järjestelmän täysi tarkistus ja antaa sen poistaa tiedostoja salaava virus.
Et ehkä voi asentaa haittaohjelman poistaa aluksi. Sen tekemiseksi sinun pitää käynnistää tietokoneesi Vikasieto Tilaan. Löydät askel-askeleelta ohjeet sen tekemiseen ja GandCrab poistamiseen artikkelin lopusta. Tämän lisäksi, meidän asiantuntijamme ovat valmistelleet vaihtoehtoiset tavat palauttaa salatut tiedostot.
Manuaalinen GandCrab viruksen Poisto-ohje:
Poista GandCrab käyttäen Safe Mode with Networking
Aloita GandCrab poisto käynnistämällä tietokone Vikasieto Tilaan Verkolle.
-
Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Networking
Windows 7 / Vista / XP- Klikkaa Start → Shutdown → Restart → OK.
- Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
-
Valitse Safe Mode with Networking listalta
Windows 10 / Windows 8- Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
- Valitse sitten Troubleshoot → Advanced options → Startup Settings ja paina lopuksi Restart
-
Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Networking, Startup Settings ikkunassa.
-
Askel 2: Poisto GandCrab
Kirjaudu saastuneelle tilillesi ja käynistä selain. Lataa Reimage tai jokin muu haittaohjelman poistaja. Päivitä se ja suorita järjestelmän täysi tarkistus ja poista lunnasohjelmalle kuuluvat tiedostot ja suorita GandCrab poisto loppuun.
Jos lunnasohjelmasi estää Safe Mode with Networking toiminnan niin koeta seuraavaa tapaa.
Poista GandCrab käyttäen System Restore
-
Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klikkaa Start → Shutdown → Restart → OK.
- Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
-
Valitse Command Prompt listalta
Windows 10 / Windows 8- Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
- Valitse sitten Troubleshoot → Advanced options → Startup Settings ja paina lopuksi Restart
-
Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Command Prompt, Startup Settings ikkunassa.
-
Askel 2: Palauta järjestelmän tiedostot ja asetukset
-
Kun Command Prompt ikkuna ilmaantuu, kirjoita cd restore ja klikkaa Enter.
-
Kirjoita sitten rstrui.exe ja paina Enter uudelleen..
-
Kun uusi ikkuna avautuu, klikkaa Next ja valitse haluamasi palautuspiste joka on ennen GandCrab pääsyä koneelle. Klikkaa sen jälkeen Next.
-
Klikkaa nyt Yes aloittaaksesi järjestelmän palautuksen
-
Kun Command Prompt ikkuna ilmaantuu, kirjoita cd restore ja klikkaa Enter.
Bonus: Palauta tiedostosi
Ohjeiden jotka ovat yllä, pitäisi auttaa sinua poistamaan GandCrab tietokoneeltasi. Salattujen tiedostojen palauttamiseksi, me suosittelemme käyttämään yksityiskohtaisia ohjeita jotka virukset.fi turvallisuusasiantuntijat ovat luoneetJos tiedostosi ovat joutuneet GandCrab salaamaksi niin voit käyttää useita tapoja niiden palauttamiseksi
Käytä Data Recovery Pro ohjelmaa
Tämä palautusohjelma on suunniteltu auttamaan lunnasohjelmien uhreja, sekä jos he ovat vahingossa poistaneet tiedostoja. Se vaadi erityisten ominaisuuksien sallimista tietokoneella, jotta voit käyttää sitä.
- Lataa Data Recovery Pro (https://virukset.fi/download/data-recovery-pro-setup.exe);
- Seuraa askeleita Data Recovery Asetuksissa ja asenna ohjelma tietokoneellesi
- Käynnistä se ja tarkista tietokoneesi tiedostojen varalta jotka GandCrab lunnasohjelma on salannut
- Palaute ne
Kokeile Windows Previous Versions Ominaisuutta
Windows käyttäjät voivat käyttää sisäänrakennettua ominaisuutta, joka antaa palauttaa salatut tiedostot aikaisemmasta versiosta. Muista kuitenkin varmistaa, että Järjestelmän Palautus oli käytössä ennen lunnasohjelman hyökkäystä.
- Etsi salattu tiedosto joka sinun pitää palauttaa ja klikkaa sitä hiiren oikealla painikkeella
- Valitse “Properties” ja mene “Previous versions” välilehteen;
- Tarkista täällä kaikki tiedostosta saatavilla olevat kopiot kansiossa “Folder versions”. Sinun pitää valita versio jonka haluat palauttaa ja klikata “Restore”.
Hanki ShadowExplorer
Tämä palautustyökalu vaati Shadow Volume Copies tiedostot toimiakseen. Katso onko lunnasohjelma poistanut ne ja käytä ohjeita alla.
- Lataa Shadow Explorer (http://shadowexplorer.com/);
- Seuraa Shadow Explorer Asennusvelhoa ja asenna sovellus tietokoneellesi;
- Käynnistä ohjelma ja mene pudotusvalikkoon vasemmassa yläkulmassa jotta voit valita salattujen tietojen kovalevyn. Tarkista mitä kansioita siellä on;
- Klikkaa niitä kansiota hiiren oikealla jotka haluat palauttaa ja valitse “Export”. Voit myös valita minne ne haluat palautettavan.
Tällä hetkellä ei valitettavasti ole GandCrab salauksen poistajaa.
Lopuksi, sinun kannattaa aina ajatella suojautumista krypto-lunnasohjelmia vastaan. Voidaksesi suojella tietokonettasi GandCrab ja muita lunnasohjelmia vastaan, käytä maineikasta haittaohjelman poistajaa, kuten Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus tai Malwarebytes Anti Malware.