Ransomware GandCrab 5.0.9

Znany również jako: Wirus GandCrab 5.0.9
Dystrybucja: Umiarkowana
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware GandCrab 5.0.9

Czym jest GandCrab 5.0.9?

GandCrab 5.0.9 to infekcja ransomware wysokiego ryzyka o nazwie GandCrab. Ten wariant został odkryty przez GandCrab. Ten wariant został odkryty przez Marcelo Rivero. Podobnie jak większość wirusów tego typu, ma on na celu szyfrowanie danych, aby pliki użytkowników stały się bezużyteczne. Zmienia nazwę każdego zaszyfrowanego pliku, dołączając do jego identyfikator ofiary jako rozszerzenie pliku (np. ".wwzaf"). Na przykład, zmienia "1.jpg" na "1.jpg.wwzaf" itd. GandCrab 5.0.9 generuje również wiadomość z żądaniem okupu w pliku tekstowym o nazwie "WWZAF-DECRYPT.txt", Jego nazwa zależy od ID ofiary (tak samo jak dołączone rozszerzenie). Plik tekstowy jest umieszczany w każdym folderze zawierającym zaszyfrowane pliki. GandCrab 5.0.9 zmienia również tapetę pulpitu.

Po uruchomieniu ransomware GandCrab 5.0.9 pojawia się okno pop-up z komunikatem "We will become back very soon;)". Nie mówi to wiele. Główne informacje są przedstawione w pliku "WWZAF-DECRYPT.txt" (lub innym wygenerowanym pliku notatnika z żądaniem okupu). Według programistów GandCrab 5.0.9, wszystkie dane użytkownika (takie jak zdjęcia, różne dokumenty, bazy danych) zostały zaszyfrowane/zablokowane, a jedynym sposobem ich odzyskania (odszyfrowania/odblokowania) jest zakup prywatnego (unikalnego) klucza odszyfrowywania. Innymi słowy, aby zapłacenie okupu. W tym przypadku ofiary GandCrab 5.0.9 są zobowiązane do pobrania przeglądarki Tor i otwarcia prezentowanego linku z jej pomocą, a następnie postępowanie zgodnie z dalszymi instrukcjami. Ofiary ransomware są proszone, aby nie próbować modyfikować zaszyfrowanych plików. Nie wiadomo, jakiego algorytmu szyfrowania (symetrycznego lub asymetrycznego) użyli cyberprzestępcy do zaszyfrowania plików przy użyciu tego wirusa ransomware. Tak czy inaczej, większość cyberprzestępców używa algorytmów generujących unikalne klucze. Przechowują je na zdalnych serwerach, które są kontrolowane wyłącznie przez nich. Ponadto, nie ma żadnego narzędzia zdolnego do złamania szyfrowania GandCrab 5.0.9 bezpłatnie, przynajmniej nie w tym momencie. Należy pamiętać, że cyberprzestępcom nie można ufać, często ignorują swoje ofiary, nawet jeśli kupiły narzędzie deszyfrowania/klucz (zapłacili okup). Dlatego najlepszym rozwiązaniem w takich przypadkach jest użycie istniejącej kopii zapasowej i odtworzenie z niej plików.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

GandCrab 5.0.9 decrypt instructions

StevenSeagal, CmdRansomware i Risk - to tylko kilka przykładów innych wirusów tego typu. Istnieje również wiele innych. Z reguły twórcy oprogramowania ransomware używają tych infekcji z dwóch powodów: do zaszyfrowania danych i żądania okupu. Zazwyczaj jedynymi różnicami między wirusami tego typu są wykorzystany algorytm szyfrowania i wysokość okupu (cena narzędzia/klucza deszyfrującego). W większości przypadków bezpłatne odszyfrowanie (bez ingerencji cyberprzestępców) jest niemożliwe, o ile ransomware nie znajduje się w stanie rozwoju i ma kilka nieusuniętych błędów lub wad. Niemniej jednak, aby uniknąć utraty danych, zalecamy regularne wykonywanie kopii zapasowych i przechowywanie ich na zdalnych serwerach lub odłączonych urządzeniach pamięci masowej.

W jaki sposób ransomware zainfekowało mój komputer?

Nie wiadomo, w jaki sposób programiści GandCrab 5.0.9 dystrybuują tę infekcję, ale istnieje kilka najczęściej wykorzystywanych sposobów. Cyberprzestępcy często wykorzystują e-mailowe kampanie spamowe, trojany, różne niewiarygodne kanały pobierania oprogramowania i fałszywe aktualizacje oprogramowania. Korzystają z e-mailowych kampanii spamowych, wysyłając wiele e-maili zawierających zainfekowany załącznik. Prezentowany załącznik może być dokumentem Microsoft Office, plikiem wykonywalnym (.exe), plikiem archiwum (takim jak RAR), plikiem PDF itd. Komputery są infekowane, gdy te zainfekowane załączniki zostaną otworzone/udzielone zostanie pozwolenie na wykonanie szkodliwych działań. Różne strony z bezpłatnym hostingiem plików, freeware do pobrania, sieci peer-to-peer (P2P) i inne niewiarygodne źródła pobierania oprogramowania mogą być używane do prezentowania zainfekowanych plików jako uzasadnionych. W takich przypadkach ludzie są skazani na samodzielne pobieranie i instalowanie wirusów. Trojany są infekcjami przeznaczonymi do dystrybucji innych wirusów. Posiadanie zainstalowanego trojana naraża komputer na różne dodatkowe instalacje innych wirusów. Fałszywe programy do aktualizacji oprogramowania powodują uszkodzenia przez pobieranie wirusów zamiast aktualizacji lub przez wykorzystanie błędów lub wad niektórych zainstalowanych i nieaktualnych programów.

Jak chronić się przed infekcjami ransomware?

Aby zapobiec zainfekowaniu komputerów wirusami ransomware (lub innymi), zdecydowanie zalecamy staranne przeglądanie Internetu, instalowanie, pobieranie i aktualizowanie oprogramowania. Nie otwieraj załączników prezentowanych w wiadomościach e-mail otrzymywanych z nieznanych/niewiarygodnych, podejrzanych adresów. Jeśli uważasz, że otrzymany e-mail jest nieistotny, po prostu go zignoruj. Aktualizuj swoje oprogramowanie (lub sam system operacyjny), używając wbudowanych funkcji lub narzędzi dostarczonych wyłącznie przez oficjalnych programistów. Unikaj pobierania oprogramowania za pomocą nierzetelnych, nieoficjalnych witryn lub programów do pobierania innych firm. Bardzo często zewnętrzne konfiguratory pobierania/instalacji zawierają fałszywe aplikacje, które mogą powodować infekcje komputerowe. Zawsze dobrze jest mieć zainstalowane renomowane oprogramowanie antyspyware i/lub antywirusowe. Programy te często wykrywają i eliminują różne wirusy, zanim będą mogły w jakikolwiek sposób wyrządzić szkody lub zaszkodzić komputerom. Jeśli Ttój komputer jest już zainfekowany GandCrab 5.0.9, zalecamy uruchomienie skanowania za pomocą  Spyhunter, aby automatycznie wyeliminować to ransomware.

Tekst prezentowany w pliku tekstowym "(victim's_ID)-DECRYPT.txt":

---= GANDCRAB V5.0.9 =---

***************************************************************************************************POD ŻADNYM POZOREM NIE USUWAJ TEGO PLIKU AŻ ODZYSKASZ WSZYSTKIE SWOJE DANE***********

***** NIEPOWODZENIE W ZROBIENIU TEGO SPOWODUJE KORUPCJĘ TWOJEGO SYSTEMU, JEŚLI MASZ BŁĘDY SZYFROWANIA *****

Uwaga!

Wszystkie twoje pliki, dokumenty, zdjęcia, bazy danych i inne ważne pliki są zaszyfrowane i mają rozszerzenie: .WWZAF

Jedyną metodą odzyskania plików jest zakup unikalnego klucza prywatnego. Tylko my możemy dać ci ten klucz i tylko my możemy odzyskać twoje pliki.

Serwer z kluczem znajduje się w zamkniętej sieci TOR. Możesz tam dotrzeć w następujący sposób:

----------------------------------------------------------------------------------------

| 0. Pobierz przeglądarkę Tor - hxxps://www.torproject.org/

| 1. Zainstaluj przeglądarkę Tor
| 2. Otwórz przeglądarkę Tor
| 3. Otwórz link w przeglądarce TOR: hxxp://gandcrabmfe6mnef.onion/da9ad04e1e857d00
| 4. Postępuj zgodnie z instrukcjami na tej stronie

----------------------------------------------------------------------------------------

Na naszej stronie zobaczysz instrukcje dotyczące płatności i otrzymasz możliwość odszyfrowania 1 pliku za darmo.

UWAGA!

W CELU ZAPOBIEGNIĘCIA ZNISZCZENIU DANYCH:

* NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW
* NIE ZMIENIAJ PONIŻSZYCH DANYCH

---POCZĄTEK KLUCZA GANDCRAB---
-
---KONIEC KLUCZA GANDCRAB---

---POCZĄTEK DANYCH PC---
-
---KONIEC DANYCH PC---

Zrzut ekranu tapety pulpit GandCrab 5.0.9:

screenshot of a GandCrab 5.0.9 ransom note

Tekst prezentowany na tapecie pulpitu ransomware GandCrab 5.0.9:

ZASZYFROWANE PRZEZ GANDCRAB 5.0.9

TWOJE PLIKI SĄ ODPOWIEDNIO ZABEZPIECZONE PRZEZ NASZE OPROGRAMOWANIE. ABY JE ODZYSKAĆ NALEŻY KUPIĆ DESZYFRATOR

W dalszych krokach przeczytaj WWZAF-DECRYPT.txt, który jest zlokalizowany w każdym zaszyfrowanym folderze

Zrzut ekranu strony ransomware GandCrab 5.0.9:

GandCrab 5.0.9 ransomware website

Tekst prezentowany na tej stronie:

Jeśli płatność nie zostanie dokonana do 3/8/2018, godz. 10:45:13, koszt za odszyfrowanie plików zostanie podwojony

Odliczanie do podwójnej ceny: czas się skończył. Cena podwoiła się!

O co chodzi?

Twój komputer został zainfekowany ransomware GandCrab.

Wszystkie twoje pliki zostały zaszyfrowane i nie można ich samodzielnie odszyfrować.

Aby odszyfrować pliki, musisz kupić deszyfrator GandCrab

Cena wynosi - 800 USD

Co mogę zrobić, aby odzyskać moje pliki?

Powinieneś kupić nasze oprogramowanie deszyfrator GandCrab. Przeskanuje ono twój komputer, udział sieciowy, wszystkie podłączone urządzenia, sprawdzi zaszyfrowane pliki i odszyfruje je. Aktualna cena: 800 USD. Akceptujemy kryptowalutę DASH i Bitcoin

Jakie gwarancje możesz mi dać?

Aby mieć pewność, że mamy działający deszyfrator, możesz za darmo odszyfrować jeden plik.

Plik ten musi jednak być obrazem, ponieważ obrazy zwykle nie są cenne.

Nie mam Bitcoin (BTC) ani DASH (DSH). Jak mogę dokonać płatności?

To łatwe. Lista najpopularniejszych usług wymiany:

BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

Pełna lista usług wymiany Bitcoin tutaj, a dla DASH tutaj.

Utwórz konto

Obciąż saldo za pomocą karty kredytowej lub systemu PayPal

Kup żądaną ilość monet (Bitcoin lub DASH)

Dokonaj wypłaty na nasz adres

Zrzut plików zaszyfrowanych przez GandCrab 5.0.9 (rozszerzenie ".wwzaf"):

screenshot of files encrypted by GandCrab 5.0.9

Zrzut ekranu okna pop-up ransomware GandCrab 5.0.9:

GandCrab5 pop-up displayed once the ransomware is executed

Tekst prezentowany w oknie pop-up ransomware GandCrab 5.0.9:

Wkrótce wrócimy! ;)

Usuwanie ransomware GandCrab 5.0.9:

Natychmiastowe automatyczne usunięcie Wirus GandCrab 5.0.9: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Wirus GandCrab 5.0.9. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem GandCrab 5.0.9. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware GandCrab 5.0.9).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware , aby wyeliminować wszelkie pozostałe pliki GandCrab 5.0.9.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty GandCrab 5.0.9 są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy uzyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez GandCrab 5.0.9 możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak ransomware GandCrab 5.0.9.

Zauważ, że aktualizacja Windows 10 Fall Creators obejmuje funkcję "Controlled Folder Access" która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jest więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych Tutaj.

Inne narzędzia znane z usuwania ransomware GandCrab 5.0.9:

Źródło: https://www.pcrisk.com/removal-guides/14138-gandcrab-5-0-9-ransomware