Ransomware GANDCRAB 5.2

Znany również jako: Wirus GANDCRAB 5.2
Dystrybucja: Umiarkowana
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware GANDCRAB 5.2

Czym jest GANDCRAB 5.2?

GANDCRAB 5.2 ransomware używane przez swoich programistów (cyberprzestępców) do szyfrowania danych przechowywanych na komputerze ofiary i utrzymywania ich zaszyfrowanych, chyba że zapłacony zostanie okup. Tworzy ono notatkę z żądaniem okupu i generuje dla niej losową nazwę, na przykład: "DSEWRBG-DECRYPT.txt". GANDCRAB 5.2 robi to samo z rozszerzeniem, które dodaje do każdego zaszyfrowanego pliku. Jeśli plik przed szyfrowaniem był nazwany "1.jpg", to zmienia jego nazwę na "1.jpg.dsewrbg" itd. Zmienia także tapetę pulpitu ofiary. GANDCRAB 5.2 jest jedną z wielu wersji oprogramowania ransomware GANDCRAB.

W notatce z żądaniem okupu "DSEWRBG-DECRYPT.txt" (jej nazwa może się różnić) cyberprzestępcy nakłaniają swoje ofiary, aby nie usuwały tego pliku tekstowego, dopóki dane nie zostaną odzyskane (odszyfrowane). Według nich usunięcie go może spowodować błędy w odszyfrowaniu. Jak twierdzą, jedynym sposobem odszyfrowania danych jest zakupienie od nich klucza deszyfrującego. Aby kontynuować proces odszyfrowywania danych, ofiary GANDCRAB 5.2 muszą najpierw pobrać i zainstalować przeglądarkę TOR, a następnie otworzyć link, który jest zawarty w notatce z żądaniem okupu. Witryna zawiera termin, który, jeśli nie zostanie dotrzymany, spowoduje podwojenie ceny za odszyfrowanie. Tym samym, jeśli podstawowa cena klucza odszyfrowującego wynosi 1200 USD, to po określonym czasie zostanie zwiększona do 2400 USD. Aby dokonać płatności należy zakupić kryptowaluty DASH lub Bitcoin i przesłać je, klikając link prowadzący do adresu portfela kryptowalutowego. Przed dokonaniem płatności cyberprzestępcy oferują swoim ofiarom bezpłatne odszyfrowywanie jednego pliku. Deweloperzy ransomware często oferują bezpłatne odszyfrowywanie jako dowód na to, że są w stanie dostarczyć narzędzia lub klucze wymagane do pomyślnego odszyfrowania. Niedawno firma Bitdefender zajmująca się ochroną przed malware opublikowała narzędzie deszyfrujące, które jest w stanie odzyskać pliki zaszyfrowane przez poprzednie wersje oprogramowania ransomware GANDCRAB. Dlatego jest bardzo prawdopodobne, że cyberprzestępcy (programiści GANDCRAB 5.2) wypuścili w odpowiedzi nową wersję. Nie ma narzędzia, które mogłoby odszyfrować jego szyfrowanie bezpłatnie, przynajmniej w tej chwili. Oznacza to, że osoby, które mają swoje komputery zainfekowane tym ransomware, mogą zostać łatwo szantażowane i zmuszone do skontaktowania się z jego twórcami. Większość cyberprzestępców używa algorytmów szyfrowania (symetrycznego lub asymetrycznego) które uniemożliwiają odszyfrowanie bez użycia określonego narzędzia. Niestety, w większości przypadków programiści ransomware są jedynymi, którzy mają te narzędzia. Jeśli komputer jest zainfekowany GANDCRAB 5.2, jedynym sposobem na odzyskanie danych jest użycie kopii zapasowej danych i odtworzenie wszystkiego z tego miejsca.

Zrzut ekranu wiadomości zachęcającej użytkowników do zapłacenia okupu za odszyfrowanie ich zainfekowanych danych:

GANDCRAB 5.2 decrypt instructions

Istnieje wielu cyberprzestępców, którzy tworzą różne programy ransomware, jednak większość z nich jest bardzo podobna. GANDCRAB 5.2 jest podobne do innych złośliwych programów tego typu, takich jak Shadi, Cammora, Heets i wielu innych. Najczęstsze (i główne) podobieństwa między tymi infekcjami są takie, że jest ono przeznaczone do szyfrowania danych i utrzymywania ich zaszyfrowanych, chyba że zapłacony został okup/zakupiono narzędzie do odszyfrowania odszyfrowywania. Głównymi różnicami są zwykle cena tego narzędzia i algorytm szyfrowania użyty do zaszyfrowania danych. Niestety, zaszyfrowane pliki można zwykle odszyfrować bez kontaktu z cyberprzestępcami tylko wtedy, gdy ransomware nie jest w pełni rozwinięte, ma pewne błędy, usterki itd. Dlatego zalecamy regularne tworzenie kopii zapasowych danych i utrzymywanie ich na zdalnym serwerze lub odłączonym urządzeniu pamięci masowej. Wówczas te kopie będą chronione przed zaszyfrowaniem razem ze wszystkimi innymi danymi.

W jaki sposób ransomware zainfekowało mój komputer?

Dokładna metoda wykorzystywana przez cyberprzestępców do rozsyłania ransomware GANDCRAB 5.2 jest nieznana. Jednak większość programów tego typu jest rozsyłanych za pomocą kampanii spamowych (e-mailowych), trojanów, fałszywych aktualizacji oprogramowania, niewiarygodnych programów do pobierania/instalacji lub narzędzi do łamania oprogramowania. Kampanie spamowe mogą być (i są) wykorzystywane do rozsyłania różnych infekcji poprzez załączone złośliwe pliki. Zazwyczaj są to dokumenty Microsoft Office, pliki archiwów (ZIP, RAR i inne), pliki PDF, pliki wykonywalne (.exe), JavaScript itd. Po otwarciu/uruchomieniu, załączniki te pobierają i instalują infekcje komputerowe, takie jak ransomware lub inne malware. Trojany to szkodliwe programy, które już muszą zostać zainstalowane. Po zainstalowaniu powodują infekcje łańcuchowe - pobierają i instalują inne złośliwe programy. Fałszywe programy do aktualizacji oprogramowania zwykle infekują komputery/systemy operacyjne poprzez pobieranie i instalowanie malware zamiast oczekiwanych aktualizacji, albo wykorzystując błędy/luki nieaktualnego oprogramowania. Bezpłatne narzędzia pobierania, serwisy z bezpłatnym hostingiem, sieci peer-to-peer (klienci torrent, eMule itp.) oraz inne podejrzane/niewiarygodne źródła pobierania oprogramowania są wykorzystywane przez cyberprzestępców do rozsyłania infekcji komputerowych. Prezentują one złośliwe pliki (lub różne nieuczciwe aplikacje) jako uzasadnione. Pobierając i instalując je, użytkownicy sami infekują komputer. Innym sposobem na spowodowanie tego typu uszkodzeń jest korzystanie z narzędzi do łamania oprogramowania. Są one pierwotnie zaprojektowane do aktywacji płatnego oprogramowania/systemu operacyjnego i umożliwiają użytkownikom korzystanie z niego za darmo. Jednak często cyberprzestępcy rozsyłają narzędzia aktywacyjne, które w rzeczywistości służą do instalowania złośliwych programów.

Jak chronić się przed infekcjami ransomware?

Zalecamy, aby zawsze dwa razy pomyśleć przed otwarciem załączników lub linków, które są prezentowane w wiadomościach e-mail otrzymanych z nieznanych/podejrzanych adresów. Jeśli wiadomość e-mail jest nieistotna i zawiera załącznik, zalecamy jej nie otwierać. Przynajmniej nie bez upewnienia się, że jest bezpieczna. Pobieraj całe oprogramowanie korzystając wyłącznie z bezpośrednich linków, wiarygodnych i oficjalnych źródeł/stron internetowych. Nie zaleca się używania zewnętrznych programów pobierania ani instalatorów. Możliwe, że źródła te mogą zostać wykorzystane do dystrybucji nieuczciwych aplikacji, które mogą zainfekować komputery lub spowodować inne problemy. Aktualizuj zainstalowane oprogramowanie używając wyłącznie tych narzędzi lub wbudowanych funkcji, które są dostarczane przez oficjalnych programistów, a nie strony trzecie. Radzimy również, aby zawsze mieć zainstalowane i włączone renomowane oprogramowanie antywirusowe/antyszpiegowskie. Jeśli twój komputer jest już zainfekowany GANDCRAB 5.2, zalecamy wykonanie skanowania za pomocą Spyhunter , aby automatycznie wyeliminować to ransomware.

Tekst prezentowany w pliku tekstowym ransomware GANDCRAB 5.2 (w tym przypadku "DSEWRBG-DECRYPT.txt"):

---= GANDCRAB V5.2 =--- ******************POD ŻADNYM POZOREM NIE USUWAJ TEGO PLIKU DOPÓKI NIE ODZYSKASZ SWOICH DANYCH*******************
*****NIE ZASTOSOWANIE SIĘ DO TEGO SPOWODUJE ZNISZCZENIE TWOJEGO SYSTEMU, JEŚLI WYSTĄPIĄ BŁĘDY W ODSZYFROWYWANIU *****
Uwaga!

Wszystkie twoje pliki, dokumenty, zdjęcia, bazy danych i inne ważne pliki są zaszyfrowane i mają rozszerzenie: .DSEWRBG

Jedyną metodą odzyskiwania plików jest zakup unikalnego klucza prywatnego. Tylko my możemy dać ci ten klucz i tylko my możemy odzyskać twoje pliki.

Serwer z kluczem znajduje się w zamkniętej sieci TOR. Możesz tam dotrzeć w następujący sposób:
----------------------------------------------------------------------------------------

| 0. Pobierz przeglądarkę Tor - https://www.torproject.org/

| 1. Zainstaluj przeglądarkę Tor
| 2. Otwórz przeglądarkę Tor
| 3. Otwórz link w przeglądarce TOR: http://gandcrabmfe6mnef.onion/113737081e857d00
| 4. Wykonaj instrukcje na tej stronie

----------------------------------------------------------------------------------------
Zobaczysz na naszej stronie instrukcje dotyczące płatności i otrzymasz możliwość odszyfrowania 1 pliku bezpłatnie.
UWAGA!
ABY ZAPOBIEC ZNISZCZENIU DANYCH:
* NIE ZMIENIAJ ZASZYFROWANYCH PLIKÓW
* NIE ZMIENIAJ PONIŻSZYCH DANYCH
---POCZĄTEK KLUCZA GANDCRAB---
-
---KONIEC KLUCZA GANDCRAB---

---POCZĄTEK DANYCH KOMPUTERA--
-
---KONIEC DANYCH KOMPUTERA---

Zrzut ekranu tapety pulpitu GANDCRAB 5.2:

GANDCRAB 5.2 wallpaper

Zrzut ekranu witryny GANDCRAB 5.2:

GANDCRAB 5.2 website

Tekst prezentowany na tej stronie:

Jeśli płatność nie zostanie dokonana do 18. stycznia 2011 roku, do godz. 11:11:06, koszt odszyfrowania plików zostanie podwojony

Odliczanie do podwojenia ceny: czas się skończył. Cena podwoiła się!

O co chodzi?

Twój komputer został zainfekowany ransomware GandCrab.

Wszystkie twoje pliki zostały zaszyfrowane i nie można ich samodzielnie odszyfrować.

Aby odszyfrować pliki, musisz kupić deszyfrator GandCrab

Cena wynosi - 2400 USD

Co mogę zrobić, aby odzyskać moje pliki?

Powinieneś kupić nasze oprogramowanie deszyfrujące GandCrab. Przeskanuje ono twój komputer, udział sieciowy, wszystkie podłączone urządzenia i sprawdzi zaszyfrowane pliki, a następnie odszyfruje je. Aktualna cena: 2400 USD. Akceptujemy kryptowalutę DASH i Bitcoin

Jakie gwarancje możesz mi dać?

Aby mieć pewność, że mamy deszyfrator i on działa, możemy bezpłatnie odszyfrować jeden plik.

Plik ten musi być obrazem, ponieważ obrazy zwykle nie są cenne.

Nie mam Bitcoin (BTC) ani DASH (DSH). Jak mogę dokonać płatności?

Łatwo. Oto lista najpopularniejszych usług wymiany:

BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

Pełna lista usług wymiany Bitcoin tutaj, a dla DASH tutaj.

Utwórz konto

Doładuj saldo za pomocą karty kredytowej lub PayPal

Kup żądaną ilość monet (Bitcoin lub DASH)

Dokonaj wypłaty na nasz adres

Uwaga

Nie usuwaj pliku *-DECRYPT.txt przed pełnym przywróceniem twojego komputera.

Zrzut ekranu plików zaszyfrowanych przez GANDCRAB 5.2 (w tym przypadku rozszerzenie ".dsewrbg"):

Files encrypted by GANDCRAB 5.2

Jak wspomniano powyżej, Bitdefender opublikował niedawno narzędzie deszyfrujące, zdolne do odzyskania danych zaszyfrowanych przez GandCrab V1, V4 i wszystkie wersje V5 (do 5.1). Dlatego ofiary mogą łatwo odszyfrować swoje dane bez płacenia cyberprzestępcom. Więcej informacji możesz znaleźć w tym artykule Możesz pobrać deszyfrator, klikając ten link.

Zrzut ekranu deszyfratora GandCrab od Bitdefender:

GandCrab ransomware decryption tool by Bitdefender

Usuwanie ransomware GANDCRAB 5.2:

Natychmiastowe automatyczne usunięcie Wirus GANDCRAB 5.2: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Wirus GANDCRAB 5.2. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem GANDCRAB 5.2. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware GANDCRAB 5.2).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki GANDCRAB 5.2.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty GANDCRAB 5.2 są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez GANDCRAB 5.2 możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak GANDCRAB 5.2.

Zauważ, że aktualizacja Windows 10 Fall Creators obejmuje funkcję "Kontrolowany dostęp do folderu", która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jest więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych Tutaj.

Inne narzędzia znane z usuwania ransomware GANDCRAB 5.2:

Źródło: https://www.pcrisk.com/removal-guides/14510-gandcrab-5-2-ransomware