Eemaldage GandCrab viirus - 2018 uuendus

Mis on GandCrab lunavara?

GandCrab lunavara – krüptoviirus, mis on levinud Magnitude ründekomplekti abil

GandCrab on üks 2018. aasta kõige kuulsamaid lunavaraviiruseid, mis on juba mõjutanud enam kui 50 000 arvutit ning on teeninud selle loojatele enam kui $600 000. Jaanuaris avastatud viirus saab endiselt uuendusi ning uuendab jätkuvalt oma levimisviise. Kui esialgu levitati seda mitmete sotsiaalse õngitsemise kampaaniate ja rämpskirjade teel, siis hetkel tugineb see Magnitude Exploit Kit (EK) ründekomplektile, mida on juba kasutatud Magniber lunavara levitamiseks. Lisaks, pärast .gdcb faililaienduse kasutamist krüpteeritud failide märgistamiseks, lisab nüüd GandCrab failidele .crab faililaienduse.

Pärast kahe kuu pikkust võidutsemist tundub, et lunavara on võidetud tänu Rumeenia politsei, Bitdefenderi ja Europoli tiimile, kes avastasid lunavara koodist vea ja häkkisid küberkurjategijaid. Tulemusena lõi Bitdefender tasuta GandCrab dekrüpteerija, mis on saadaval NoMoreRansom kaudu.

Tundub, et see aga ei peata viiruse taga olevaid häkkereid. Rämpskirjade vahendusel levib endiselt GandCrab viiruse teine versioon, mis nõuab ohvritelt 1.54 DASH suurust lunaraha dekrüpteerimisvõtme eest. Kuigi ohvrid saavad originaalse versiooni poolt krüpteeritud faile dekrüpteerida, andsid kurikaelad välja täiendatud versiooni nimega GandCrab v2. Nad suutsid parandada ära kriitilise krüpteerimisvea, seega ei tööta tasuta dekrüpteerija selle versiooni peal. Hetkel lisab see failidele .CRAB faililaienduse ning seda kutsutakse tihti ka .CRAB faililaienduse viiruseks.

Lunavara on levitatud Vene tumeveebis Ransomware-as-aService (Raas) ehk lunaraha-teenusena süsteemina. Check Point sõnul on häkkerid kogunud juba enam kui 600 000 Ameerika dollari suuruses lunaraha tänu GandCrab uuenduslikule partnerprogrammile. Lunavara arendajad on maksnud programmi osalistele 60-70% lunavara käibest 24/7 tehnilise toe jaoks. Uurijate sõnul on sellel krüptovaral peaaegu 100 aktiivset partnerit. 80 osalist on edukalt välja andnud 700 erinevat pahavaraversiooni. Enam kui 70% nakatunud arvutitest asuvad Suurbritannias ja Ameerika Ühendriikides, seega näib, et viirus võtab sihikule inglisekeelsed arvutikasutajad.

2018. aasta aprilli keskpaigas andsid lunavarauurijad teada, et Magnitude EK on hakkanud levitama GandCrab lunavara. Varasemalt Lõuna-Korea arvutikasutajaid Magniber lunavaraga kimbutanud pahavara on võtnud sihikule Skandinaavia riigid. Kui sul on kas või õhkõrn tunne, et sinu arvuti on nakatanud, eemalda GandCrab lunavara FortectIntego abil.

Ründekomplekt kasutab failitut tehnikat, et käivitada lunavara, mis on kodeeritud VBScript.Encode/JScript.Encode skripti abil ning sisestatud mällu. Kui lunavara käivitub, siseneb lunavara explorer.exe faili ja sunnib arvuti taaskäivituma. Pärast seda käivitatakse krüpteerija ja failid lukustatakse .CRAB faililaiendusega. Tundub, et Magnitude EK vahendusel levitatakse peamiselt GandCrab 2 versiooni, mis ei ole veel dekrüpteeritav.

GandCrabi võidakse levitada ka pahavarakampaania vahendusel, mida tuntakse Seamless nime all. Selle abil suunatakse ohvrid RIG ründekomplekti juurde. See tarkvara on loodud tuvastama süsteemi nõrkuseid ja neid ära kasutama, et nakatada sihtmärgiks olev süsteem faile krüpteeriva viiruse või mõne muu ohtliku arvutiviirusega.

Küberturbe ekspertide sõnul levib GandCrab hetkel ka rämpskirjade kaudu, mille teemareal on kirjas Receipt Feb-21310 [juhuslikud numbrid]. Saatja nimi võib varieeruda, kuid e-posti aadressi teisel poolel on alati @cdkconstruction.org. Lunavara poolt kasutatud rämpssõnumis on tavaliselt PDF-formaadis manus ja sõnumi tekstis on kirjas “DOC attached” ehk viidatakse manusele.

GandCrab tugineb .doc failile, mis laaditakse süsteemi siis, kui ohver klõpsab nakatunud manusel. .doc fail käivitab seejärel PowerShell skripti ja loob ründefaili (sct5.txt), mis mõjutab hetkel 64-bitiseid süsteeme. Nagu mitmed krüptopahavarade uurijad on viidanud, ei käivita sct5.txt fail GandCrab viirust ennast, vaid käivitab rünnaku ja tegutseb nagu vahendaja, mille kaudu pahavara saaks süsteemi siseneda.

Pärast süsteemi sattumist hakkab GandCrab krüpteerima kõige väärtuslikumaid andmeid, mis on süsteemi salvestatud. Pärast seda ei saa kasutajad enam oma failidele ligi pääseda ning neid teavitatakse lunavararünnakust lunaraha nõudva sõnumiga, mis on lisatud GDCB-DECRYPT.txt faili:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

Kui ohver järgib lunarahateates olevaid samme, suunatakse ta veebilehele, mida kutsutakse GandCrab dekrüpteerijaks. Inimesele näidatakse lunaraha suurust (umbes $1200), kliendituge, DASH-aadressit ja võimalust laadida üles üks fail tasuta dekrüpteerimiseks.

Tasub mainida, et GandCrab lunavara määrab ka teatud ajaperioodi, mille jooksul tuleks alluda ja tasuda summa, muidu lubatakse küsida juba poole rohkem raha. See on aga üksnes mõeldud ohvrite hirmutamiseks, lootuses, et ohver tasub lunaraha ilma teisi võimalusi kaalumata.

Kurjategijate sätestatud reegleid ei tohi mitte kunagi järgida, kuna on olemas ka alternatiivseid võimalusi, kuidas saada oma failid tagasi või sa võid kasutada ekspertide loodud dekrüpteerijat. Esmalt pead sa aga GandCrabi eemaldama. NoVirus.uk eksperdid on juba hoiatanud nakatunud kasutajaid selle eest, et tegemist on äärmiselt ohtliku arvutiviirusega, mis tuleks eemaldada professionaalse või kas või lihtsama viirusetõrje abil.

GandCrab lunavara on esimene faile krüpteeriv viirus, mis aktsepteerib lunarahana DASH valuutat.

Me soovitame GandCrab eemaldamiseks programme FortectIntego või Malwarebytes. Selle krüptoviiruse eemaldamiseks võib aga kasutada ka mõnda muud pahavaratõrjet. Artikli allosast leiad detailse juhendi selle kohta, kuidas viiruse eemaldamisega algust teha.

Lisaks mainime: ÄRA ürita GandCrab viirust käsitsi eemaldada. Niivõrd keerukad lunavara tüüpi nakkused on loodud nii, et need peidaksid end sügavale arvutisse ja maskeeruksid legitiimseteks arvutiprotsessideks. Vajalike süsteemifailide peatamine võib arvutit jäädavalt kahjustada ning krüptoviirus võib tagasi ilmuda. Seetõttu soovitame kasutada allpool olevat juhendit.

GandCrab lunavara versioonide nimekiri

.GDCB faililaiendusviirus. See GandCrab viirus avastati paar nädalat pärast originaalversiooni. Just nagu selle eelkäijagi levib see nakatunud rämpskirjamanuste kaudu ja käivitab oma laadungi siis, kui manus avatakse.

Viirus võtab sihikule kõige populaarsemad faililaiendused, muuhulgas .doc, .txt, .jpg, .png, .audio, .video jne ning see lisab igale sellisele failile .GDCB faililaienduse. See loob ohvri töölauale GDCB-DECRYPT.txt faili, mis utsitab laadima Tor veebilehitseja ja edastama neile 1.54 DASH suuruse lunaraha. Lunaraha suurust tõstetakse siis, kui ohver ei maksa seda märgitud aja jooksul.

GandCrab2. Lunavara teine versioon ei ole hetkel krüpteeritav. Enne selle versiooni väljaandmist parandasid kurikaelad krüpteerimisvea, mis avastati küberturbeekspertide poolt märtsi alguses.

GandCrab2 versiooni levitatakse Seamless pahavarakampaaniaga, mis juhatab ohvrid RIG ründekomplektini. Erinevalt oma eelkäijast võib see jõuda ohvriteni ka Hoefler tekstifondi uuenduse pettuse kaudu.

Viirus lukustab andmed .CRAB faililaiendusega ja loob CRAB-DECRYPT.txt lunarahateate. Petturid nõuavad Dash müntides 500 Ameerika dollarit Tor brauseri vahendusel tasumiseks, lubades vastutasuks anda privaatse dekrüpteerimisvõtme. Kuigi esialgu pidasid eksperdid seda versiooni eelkäija klooniks, tundub, et seda on täiendatud selleks, et vältida dekrüpteerimist tasuta dekrüpteerijaga.

Eksperdid pakuvad tasuta GandCrab dekrüpteerijat

Kuulsa NoMoreRansom.org projekti taga olevad IT-professionaalid on loonud lõpuks GandCrab dekrüpteerija. Selle saab alla laadida igaüks, kes soovib taastada .GDCB faililaiendusega failid. Sa leiad selle artikli lõpust.

Eksperdid viitavad tähelepanu sellele, et dekrüpteerimistööriista kasutamiseks tuleb esmalt vabaneda GandCrabist. Vastasel korral jätkab lunavara ohvriks langenud arvuti andmete krüpteerimist aina uuesti ja uuesti.

Eksperdid soovitavad kasutada lunavara mahalaadimiseks professionaalset turvaprogrammi. Me soovitame kasutada artikli lõpus viidatud programme. Kui sa ei saa rikutud failidele ligipääsu ametliku GandCrab dekrüpteerijaga, on ka alternatiivseid meetodeid, mis võivad sind aidata.

Näiteks, kuigi viirus on loodud nii, et see kustutaks varikoopiaid, ei pruugi see seda täielikult teha. Sellisel juhul saad sa kasutada ShadowExplorerit või mõnda sarnast kolmanda poole programmi, mis saab taastada vähemalt osad failid.

Lisaks, sa saad oma failid täielikult taastada ilma lunaraha tasumata, kui kasutad koopiaid. Kui sul pole koopiaid, vaata alternatiivseid andmete taastamise meetodeid selle artikli lõpust ning proovi ka dekrüpteerijat.

Küberoht kasutab süsteemi sisenemiseks ründekomplekte

Ründekomplektid on loodud tuvastama süsteemi haavatavusi ning need aitavad pahavaradel neid haavatavusi ära kasutada arvutisse sisenemiseks. Seda konkreetset lunavara levitatakse Rig ründekomplekti, GrandSoft ründekomplekti ja Magnitude ründekomplektiga. Need keerukad programmid ei vaja kasutaja luba selleks, et pahavara süsteemi laadida.

Lisaks tasub teada, et lunavara ei levitata üksnes ründekomplektidega. Kurjategijad kasutavad ära heausklikke inimesi ja kasutavad petturlikke rämpskirju, mis sisaldavad nakatunud manuseid. Tavaliselt jäljendavad kirjad teadatuntud brändide ja ettevõtete ostukviitungeid, arveid või muid taoliseid dokumente. Naiivsed arvutikasutajad võivad nakatunud manuse avada ja lastagi sedasi küberohu arvutisse.

Nagu me eelmises lõigus viitasime on selle lunavara looja levitanud oma viirust aktiivselt rämpskirjade abil. Kirja teemarida on alati samasugune: Receipt Feb-21310 [juhuslikud numbrid], saatja nimi võib olla pisut erinev igal korral. Saatja e-posti aadressi lõpus on aga alati @cdkconstruction.org. Rämpskirjas pole palju infot, kuid selles on viide manusele “DOC attached.”

Seepärast soovitame olla äärmiselt hoolikas internetis lehitsemisel ja oma kirjade vaatamisel. On väga oluline kirjade avamisel olla väga ettevaatlik – sa saad tuvastada pahavaralise kirja näiteks väikeste trükivigade abil või selle järgi, et kiri utsitab avama manust “lisainfo jaoks”. Palun ära ava kahtlaste e-kirjade manuseid, eriti kui näed faililaiendusena midagi kahtlast nagu JS, .EXE, .COM, .PIF, .SCR, .HTA, .vbs, .wsf, .jse, .jar vms. Väldi ka kahtlaste veebilehtede külastamist, kuna neid võivad hallata küberkurjategijad ning neid võidakse kasutada ohtlike arvutiviiruste levitamiseks.

Õpi, kuidas GandCrab viirus ohutult maha laadida ja saada oma andmed tagasi

Kui sa tahad GandCrab lunavara eemaldada ja oma andmed taastada, on ainus viis selle tegemiseks turvaprogrammi kasutamine. Pea meeles, et seda tuleks teha kiirelt, vältimaks arvuti kahjustumist. Pärast viiruse eemaldamist saad kasutada uut dekrüpteerijat, et saada lunavara poolt krüpteeritud failid tagasi.

Süsteemi parandamiseks laadi alla professionaalne turvaprogramm kohe, kui märkad oma arvutis krüpteeritud faile. Soovitame GandCrab eemaldamiseks programme FortectIntego, SpyHunter 5Combo Cleaner või Malwarebytes, mida on kasutatud viiruse testimise ajal. Pärast turvaprogrammi installeerimist käivita täielik süsteemiskänneering ja lase programmil see failiviirus eemaldada. Kahjuks ei suuda need programmid dekrüpteerida krüpteeritud faile.

Pane tähele, et esialgu ei pruugi pahavaratõrje laadimine olla võimalik. Sel juhul pead sa taaskäivitama arvuti režiimis Safe Mode with Networking või pead lootma System Restore peale. Artikli lõpust leiad samm-sammulise juhise selle kohta, kuidas seda kõike teha ja GandCrabist vabaneda. Lisaks on meie eksperdid välja toonud alternatiivsed meetodid, mis võivad aidata krüpteeritud failide taastamisega.