Raskusaste:  
  (99/100)

GandCrab lunavara. Kuidas seda eemaldada? (Eemaldamise juhend)

GandCrab lunavara – krüptoviirus, mis on levinud Magnitude ründekomplekti abil

The image of GandCrab ransomware

GandCrab on üks 2018. aasta kõige kuulsamaid lunavaraviiruseid, mis on juba mõjutanud enam kui 50 000 arvutit ning on teeninud selle loojatele enam kui $600 000. Jaanuaris avastatud viirus saab endiselt uuendusi ning uuendab jätkuvalt oma levimisviise. Kui esialgu levitati seda mitmete sotsiaalse õngitsemise kampaaniate ja rämpskirjade teel, siis hetkel tugineb see Magnitude Exploit Kit (EK) ründekomplektile, mida on juba kasutatud Magniber lunavara levitamiseks. Lisaks, pärast .gdcb faililaienduse kasutamist krüpteeritud failide märgistamiseks, lisab nüüd GandCrab failidele .crab faililaienduse. 

Nimi GandCrab
Pahavara liik Lunavara
Avastatud 30. jaanuar, 2018
Nakatunud süsteemid Windows
Kasutatavad faililaiendused .gdcb, .crab
Lunarahateate nimi GDCB-DECRYPT.txt
Lunaraha suurus 1.54 DASH ($ 1126)
Dekrüpteeritav Jah
Versioonid GandCrab v2

Pärast kahe kuu pikkust võidutsemist tundub, et lunavara on võidetud tänu Rumeenia politsei, Bitdefenderi ja Europoli tiimile, kes avastasid lunavara koodist vea ja häkkisid küberkurjategijaid. Tulemusena lõi Bitdefender tasuta GandCrab dekrüpteerija, mis on saadaval NoMoreRansom kaudu.

GandCrab decryptor

Tundub, et see aga ei peata viiruse taga olevaid häkkereid. Rämpskirjade vahendusel levib endiselt GandCrab viiruse teine versioon, mis nõuab ohvritelt 1.54 DASH suurust lunaraha dekrüpteerimisvõtme eest. Kuigi ohvrid saavad originaalse versiooni poolt krüpteeritud faile dekrüpteerida, andsid kurikaelad välja täiendatud versiooni nimega GandCrab v2. Nad suutsid parandada ära kriitilise krüpteerimisvea, seega ei tööta tasuta dekrüpteerija selle versiooni peal. Hetkel lisab see failidele .CRAB faililaienduse ning seda kutsutakse tihti ka .CRAB faililaienduse viiruseks. 

Lunavara on levitatud Vene tumeveebis Ransomware-as-aService (Raas) ehk lunaraha-teenusena süsteemina. Check Point sõnul on häkkerid kogunud juba enam kui 600 000 Ameerika dollari suuruses lunaraha tänu GandCrab uuenduslikule partnerprogrammile. Lunavara arendajad on maksnud programmi osalistele 60-70% lunavara käibest 24/7 tehnilise toe jaoks. Uurijate sõnul on sellel krüptovaral peaaegu 100 aktiivset partnerit. 80 osalist on edukalt välja andnud 700 erinevat pahavaraversiooni. Enam kui 70% nakatunud arvutitest asuvad Suurbritannias ja Ameerika Ühendriikides, seega näib, et viirus võtab sihikule inglisekeelsed arvutikasutajad. 

2018. aasta aprilli keskpaigas andsid lunavarauurijad teada, et Magnitude EK on hakkanud levitama GandCrab lunavara. Varasemalt Lõuna-Korea arvutikasutajaid Magniber lunavaraga kimbutanud pahavara on võtnud sihikule Skandinaavia riigid. Kui sul on kas või õhkõrn tunne, et sinu arvuti on nakatanud, eemalda GandCrab lunavara Reimage abil. 

GandCrab virus appening .crab file extension

Ründekomplekt kasutab failitut tehnikat, et käivitada lunavara, mis on kodeeritud VBScript.Encode/JScript.Encode skripti abil ning sisestatud mällu. Kui lunavara käivitub, siseneb lunavara explorer.exe faili ja sunnib arvuti taaskäivituma. Pärast seda käivitatakse krüpteerija ja failid lukustatakse .CRAB faililaiendusega. Tundub, et Magnitude EK vahendusel levitatakse peamiselt GandCrab 2 versiooni, mis ei ole veel dekrüpteeritav. 

GandCrabi võidakse levitada ka pahavarakampaania vahendusel, mida tuntakse Seamless nime all. Selle abil suunatakse ohvrid RIG ründekomplekti juurde. See tarkvara on loodud tuvastama süsteemi nõrkuseid ja neid ära kasutama, et nakatada sihtmärgiks olev süsteem faile krüpteeriva viiruse või mõne muu ohtliku arvutiviirusega.

Küberturbe ekspertide sõnul  levib GandCrab hetkel ka rämpskirjade kaudu, mille teemareal on kirjas Receipt Feb-21310 [juhuslikud numbrid]. Saatja nimi võib varieeruda, kuid e-posti aadressi teisel poolel on alati @cdkconstruction.org. Lunavara poolt kasutatud rämpssõnumis on tavaliselt PDF-formaadis manus ja sõnumi tekstis on kirjas “DOC attached” ehk viidatakse manusele.GandCrab spreads via fake Hoefler text font updates

GandCrab tugineb .doc failile, mis laaditakse süsteemi siis, kui ohver klõpsab nakatunud manusel. .doc fail käivitab seejärel PowerShell skripti ja loob ründefaili (sct5.txt), mis mõjutab hetkel 64-bitiseid süsteeme. Nagu mitmed krüptopahavarade uurijad on viidanud, ei käivita sct5.txt fail GandCrab viirust ennast, vaid käivitab rünnaku ja tegutseb nagu vahendaja, mille kaudu pahavara saaks süsteemi siseneda. 

Pärast süsteemi sattumist hakkab GandCrab krüpteerima kõige väärtuslikumaid andmeid, mis on süsteemi salvestatud. Pärast seda ei saa kasutajad enam oma failidele ligi pääseda ning neid teavitatakse lunavararünnakust lunaraha nõudva sõnumiga, mis on lisatud GDCB-DECRYPT.txt faili:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

Kui ohver järgib lunarahateates olevaid samme, suunatakse ta veebilehele, mida kutsutakse GandCrab dekrüpteerijaks. Inimesele näidatakse lunaraha suurust (umbes $1200), kliendituge, DASH-aadressit ja võimalust laadida üles üks fail tasuta dekrüpteerimiseks. 

Tasub mainida, et GandCrab lunavara määrab ka teatud ajaperioodi, mille jooksul tuleks alluda ja tasuda summa, muidu lubatakse küsida juba poole rohkem raha. See on aga üksnes mõeldud ohvrite hirmutamiseks, lootuses, et ohver tasub lunaraha ilma teisi võimalusi kaalumata.

Kurjategijate sätestatud reegleid ei tohi mitte kunagi järgida, kuna on olemas ka alternatiivseid võimalusi, kuidas saada oma failid tagasi või sa võid kasutada ekspertide loodud dekrüpteerijat. Esmalt pead sa aga GandCrabi eemaldama. NoVirus.uk eksperdid on juba hoiatanud nakatunud kasutajaid selle eest, et tegemist on äärmiselt ohtliku arvutiviirusega, mis tuleks eemaldada professionaalse või kas või lihtsama viirusetõrje abil. 

Me soovitame GandCrab eemaldamiseks programme Reimage või Plumbytes Anti-MalwareNorton Internet Security. Selle krüptoviiruse eemaldamiseks võib aga kasutada ka mõnda muud pahavaratõrjet. Artikli allosast leiad detailse juhendi selle kohta, kuidas viiruse eemaldamisega algust teha. 

Lisaks mainime: ÄRA ürita GandCrab viirust käsitsi eemaldada. Niivõrd keerukad lunavara tüüpi nakkused on loodud nii, et need peidaksid end sügavale arvutisse ja maskeeruksid legitiimseteks arvutiprotsessideks. Vajalike süsteemifailide peatamine võib arvutit jäädavalt kahjustada ning krüptoviirus võib tagasi ilmuda. Seetõttu soovitame kasutada allpool olevat juhendit. 

GandCrab lunavara versioonide nimekiri

.GDCB faililaiendusviirusSee GandCrab viirus avastati paar nädalat pärast originaalversiooni. Just nagu selle eelkäijagi levib see nakatunud rämpskirjamanuste kaudu ja käivitab oma laadungi siis, kui manus avatakse. 

Viirus võtab sihikule kõige populaarsemad faililaiendused, muuhulgas .doc, .txt, .jpg, .png, .audio, .video jne ning see lisab igale sellisele failile .GDCB faililaienduse. See loob ohvri töölauale GDCB-DECRYPT.txt faili, mis utsitab laadima Tor veebilehitseja ja edastama neile 1.54 DASH suuruse lunaraha. Lunaraha suurust tõstetakse siis, kui ohver ei maksa seda märgitud aja jooksul. 

GandCrab2. Lunavara teine versioon ei ole hetkel krüpteeritav. Enne selle versiooni väljaandmist parandasid kurikaelad krüpteerimisvea, mis avastati küberturbeekspertide poolt märtsi alguses. 

GandCrab2 versiooni levitatakse Seamless pahavarakampaaniaga, mis juhatab ohvrid RIG ründekomplektini. Erinevalt oma eelkäijast võib see jõuda ohvriteni ka Hoefler tekstifondi uuenduse pettuse kaudu. 

Viirus lukustab andmed .CRAB faililaiendusega ja loob CRAB-DECRYPT.txt lunarahateate. Petturid nõuavad Dash müntides 500 Ameerika dollarit Tor brauseri vahendusel tasumiseks, lubades vastutasuks anda privaatse dekrüpteerimisvõtme. Kuigi esialgu pidasid eksperdid seda versiooni eelkäija klooniks, tundub, et seda on täiendatud selleks, et vältida dekrüpteerimist tasuta dekrüpteerijaga. 

GandCrab2 variant. An example of a ransom note

Eksperdid pakuvad tasuta GandCrab dekrüpteerijat

Kuulsa NoMoreRansom.org projekti taga olevad IT-professionaalid on loonud lõpuks GandCrab dekrüpteerija. Selle saab alla laadida igaüks, kes soovib taastada .GDCB faililaiendusega failid. Sa leiad selle artikli lõpust.

Eksperdid viitavad tähelepanu sellele, et dekrüpteerimistööriista kasutamiseks tuleb esmalt vabaneda GandCrabist. Vastasel korral jätkab lunavara ohvriks langenud arvuti andmete krüpteerimist aina uuesti ja uuesti. 

Eksperdid soovitavad kasutada lunavara mahalaadimiseks professionaalset turvaprogrammi. Me soovitame kasutada artikli lõpus viidatud programme. Kui sa ei saa rikutud failidele ligipääsu ametliku GandCrab dekrüpteerijaga, on ka alternatiivseid meetodeid, mis võivad sind aidata. 

Näiteks, kuigi viirus on loodud nii, et see kustutaks varikoopiaid, ei pruugi see seda täielikult teha. Sellisel juhul saad sa kasutada ShadowExplorerit või mõnda sarnast kolmanda poole programmi, mis saab taastada vähemalt osad failid. 

Lisaks, sa saad oma failid täielikult taastada ilma lunaraha tasumata, kui kasutad koopiaid. Kui sul pole koopiaid, vaata alternatiivseid andmete taastamise meetodeid selle artikli lõpust ning proovi ka dekrüpteerijat.

Küberoht kasutab süsteemi sisenemiseks ründekomplekte

Ründekomplektid on loodud tuvastama süsteemi haavatavusi ning need aitavad pahavaradel neid haavatavusi ära kasutada arvutisse sisenemiseks. Seda konkreetset lunavara levitatakse Rig ründekomplekti, GrandSoft ründekomplekti ja Magnitude ründekomplektiga. Need keerukad programmid ei vaja kasutaja luba selleks, et pahavara süsteemi laadida. 

GandCrab installed via Magnitude EK

Lisaks tasub teada, et lunavara ei levitata üksnes ründekomplektidega. Kurjategijad kasutavad ära heausklikke inimesi ja kasutavad petturlikke rämpskirju, mis sisaldavad nakatunud manuseid. Tavaliselt jäljendavad kirjad teadatuntud brändide ja ettevõtete ostukviitungeid, arveid või muid taoliseid dokumente. Naiivsed arvutikasutajad võivad nakatunud manuse avada ja lastagi sedasi küberohu arvutisse. 

Nagu me eelmises lõigus viitasime on selle lunavara looja levitanud oma viirust aktiivselt rämpskirjade abil. Kirja teemarida on alati samasugune: Receipt Feb-21310 [juhuslikud numbrid], saatja nimi võib olla pisut erinev igal korral. Saatja e-posti aadressi lõpus on aga alati @cdkconstruction.org. Rämpskirjas pole palju infot, kuid selles on viide manusele “DOC attached.”

Seepärast soovitame olla äärmiselt hoolikas internetis lehitsemisel ja oma kirjade vaatamisel. On väga oluline kirjade avamisel olla väga ettevaatlik – sa saad tuvastada pahavaralise kirja näiteks väikeste trükivigade abil või selle järgi, et kiri utsitab avama manust “lisainfo jaoks”. Palun ära ava kahtlaste e-kirjade manuseid, eriti kui näed faililaiendusena midagi kahtlast nagu JS, .EXE, .COM, .PIF, .SCR, .HTA, .vbs, .wsf, .jse, .jar vms. Väldi ka kahtlaste veebilehtede külastamist, kuna neid võivad hallata küberkurjategijad ning neid võidakse kasutada ohtlike arvutiviiruste levitamiseks. 

Õpi, kuidas GandCrab viirus ohutult maha laadida ja saada oma andmed tagasi

Kui sa tahad GandCrab lunavara eemaldada ja oma andmed taastada, on ainus viis selle tegemiseks turvaprogrammi kasutamine. Pea meeles, et seda tuleks teha kiirelt, vältimaks arvuti kahjustumist. Pärast viiruse eemaldamist saad kasutada uut dekrüpteerijat, et saada lunavara poolt krüpteeritud failid tagasi. 

Süsteemi parandamiseks laadi alla professionaalne turvaprogramm kohe, kui märkad oma arvutis krüpteeritud faile. Soovitame GandCrab eemaldamiseks programme Reimage, Malwarebytes Malwarebytes või Plumbytes Anti-MalwareNorton Internet Security, mida on kasutatud viiruse testimise ajal. Pärast turvaprogrammi installeerimist käivita täielik süsteemiskänneering ja lase programmil see failiviirus eemaldada. Kahjuks ei suuda need programmid dekrüpteerida krüpteeritud faile. 

Pane tähele, et esialgu ei pruugi pahavaratõrje laadimine olla võimalik. Sel juhul pead sa taaskäivitama arvuti režiimis Safe Mode with Networking või pead lootma System Restore peale. Artikli lõpust leiad samm-sammulise juhise selle kohta, kuidas seda kõike teha ja GandCrabist vabaneda. Lisaks on meie eksperdid välja toonud alternatiivsed meetodid, mis võivad aidata krüpteeritud failide taastamisega. 

Me võime olla seotud ükskõik millise tootega, mida me siin leheküljel soovitame. Täielik sellekohane avaldus on kirjas meie kasutuslepingus Laadides alla ükskõik millise nuhkvara-vastase tarkvara GandCrab lunavara eemaldamiseks, nõustute meie privaatsuspoliitika ja &3$.
tee seda kohe!
Lae alla
Reimage (eemaldaja) Rahulolu
garantii
Lae alla
Reimage (eemaldaja) Rahulolu
garantii
On sobilik Microsoft Windows jaoks On sobilik OS X jaoks
Mida teha, kui eemaldamine ebaõnnestus?
Kui probleemi eemaldamine ebaõnnestus Reimage programmi kasutades, saada teade meie tehnilisele toele ning anna nii detailselt infot probleemi kohta kui võimalik.
Reimage on soovituslik tarkvara GandCrab lunavara maha installeerimiseks. Tasuta skanner võimaldab uurida seda, kas Teie arvuti on nakatunud või mitte. Kui tekib vajadus eemaldada pahavara, siis peate Te ostma Reimage litsentseeritud pahavara eemaldamise tööriista.
Rohkem informatsiooni selle programmi kohta on võimalik leida Reimage review.
Reimage mainimised ajakirjanduses
Alternatiivne tarkvara
Plumbytes Anti-Malware
Me oleme testinud Plumbytes Anti-Malware efektiivsust GandCrab lunavara eemaldamisel (2018-07-25)
Malwarebytes
Me oleme testinud Malwarebytes efektiivsust GandCrab lunavara eemaldamisel (2018-07-25)
Hitman Pro
Me oleme testinud Hitman Pro efektiivsust GandCrab lunavara eemaldamisel (2018-07-25)
Malwarebytes
Me oleme testinud Malwarebytes efektiivsust GandCrab lunavara eemaldamisel (2018-07-25)
GandCrab lunavara hetktõmmis
GandCrab lunavara hetktõmmis

GandCrab viiruse manuaalse eemaldamise juhend:

Eemalda GandCrab kasutades Safe Mode with Networking

Lunavara eemaldamise esimene samm on arvuti taaskäivitamine režiimis Safe Mode with Networking.

  • Samm 1: Taaskäivita oma arvuti kuni hetkeni Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klikka Start Shutdown Restart OK.
    2. Kui Teie arvuti muutub aktiivseks, siis vajutage mitu korda F8, kuni ekraanile ilmub Advanced Boot Options.
    3. Valige nimekirjast Safe Mode with Networking Valige 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Vajutage nuppu Power Windows sisselogimisekraanil. Nüüd vajutage ja hoidke all klaviatuuril olevat nuppu Shift ja klikkake Restart..
    2. Nüüd valige Troubleshoot Advanced options Startup Settings ja lõpuks vajutage Restart.
    3. Kui Teie arvuti muutub aktiivseks, siis valige Enable Safe Mode with Networking aknas Startup Settings. Valige 'Enable Safe Mode with Networking'
  • Samm 2: Eemaldage GandCrab

    Logige sisse oma nakatunud kontosse ja käivitage brauser. Laadige alla Reimage või muu legitiimne nuhkvara-vastane programm. Uuendage seda enne täielikku süsteemi skanneerimist ja eemaldage pahatahtlikud failid, mis kuuluvad Teie väljapressimiseks kasutatava tarkvara juurde ja viige GandCrab eemaldamine lõpule

Kui Teie väljapressimiseks kasutatav tarkvara blokeerib Safe Mode with Networking, siis proovige edasist meetodit.

Eemalda GandCrab kasutades System Restore

Selleks, et vabaneda sellest lunavarast System Restore abil, järgi neid samme:

  • Samm 1: Taaskäivita oma arvuti kuni hetkeni Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klikka Start Shutdown Restart OK.
    2. Kui Teie arvuti muutub aktiivseks, siis vajutage mitu korda F8, kuni ekraanile ilmub Advanced Boot Options.
    3. Valige nimekirjast Command Prompt Valige 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Vajutage nuppu Power Windows sisselogimisekraanil. Nüüd vajutage ja hoidke all klaviatuuril olevat nuppu Shift ja klikkake Restart..
    2. Nüüd valige Troubleshoot Advanced options Startup Settings ja lõpuks vajutage Restart.
    3. Kui Teie arvuti muutub aktiivseks, siis valige Enable Safe Mode with Command Prompt aknas Startup Settings. Valige 'Enable Safe Mode with Command Prompt'
  • Samm 2: Taastage oma süsteemi failid ja seaded
    1. Kui ilmub Command Prompt aken, siis sisestage cd restore ja klikkakeEnter. Sisestage 'cd restore' ilma jutumärkidega ja vajutage 'Enter'
    2. Nüüd tippige rstrui.exe ja vajutage uuesti Enter.. Sisestage 'rstrui.exe' ilma jutumärkidega ja vajutage 'Enter'
    3. Kui ilmub uus aken, siis klikkake Next ja valige taastamishetk enne seda, kui süsteemi infiltreerus GandCrab. Selle tegemise järel klikkake Next. Kui ilmub 'System Restore' aken, siis valige 'Next' Valige oma süsteemi taastamise hetk ja klikkake 'Next'
    4. Nüüd klikkake Yes oma süsteemi taastamiseks. Klikkake 'Yes' ja alustage süsteemi taastamisega
    Olles taastanud oma süsteemi seaded varasema kuupäevani, laadige alla ja skanneerige oma arvutit programmiga Reimage ja veenduge, et GandCrab eemaldamine on olnud edukas.

Boonus: Taastage oma andmed

Ülalnähtav juhend on mõeldud selleks, et aidata Teil oma arvutist eemaldada programm GandCrab. Taastamaks oma krüpteeritud faile, soovitame me kasutada detailset juhendit, mille on koostanud viirused.ee turvaeksperdid.

Kui Teie failid on krüpteeritud GandCrab poolt, siis võite Te nende taastamiseks kasutada mitmeid meetodeid.

Data Recovery Pro võib aidata rikutud andmete taastamisega

See on andmete taastamiseks suurepärane tööriist, kuna selle jaoks pole vaja, et süsteemis oleks lubatud mingeid lisafunktsioone. See programm on kasulik ka siis, kui oled kaotanud oma failid süsteemitõrke tõttu.

  • Laadige alla Data Recovery Pro (http://viirused.ee/download/data-recovery-pro-setup.exe);
  • Järgige neid Data Recovery paigaldamise samme ja installeerige programm oma arvutisse;
  • Käivitage see ja skanneerige oma arvutit, et tuvastada GandCrab lunavara poolt krüpteeritud failid;
  • Taastage need.

Windows Previous Versions funktsioon aitab taastada krüpteeritud failid

Kui sul oli enne lunavararünnakut arvutis võimaldatud System Restore funktsioon, saad sa Windows Previous Versions abil minna ajas tagasi.

  • Tuvastage taastamist vajav krüpteeritud fail ja klikake sellel parema hiireklahviga;
  • Valige “Properties” ja minge “Previous versions” aknasse;
  • Siin, “Folder versions”, tutvuge iga faili saadaoleva koopiaga. Te peaksite valima versiooni, mida taastada soovite ja klikkama nupul “Restore”.

GandCrab dekrüpteerija on saadaval

Eksperdid on loonud unikaalse dekrüpteerija GandCrab lunavara jaoks. Sa saad selle hankida siit. Kui see ei dekrüpteeri teatud pahavara versiooni, proovi ülalpool mainitud taastamisviise.

Lõpetuseks, peaksite alati mõtlema Teie väljapressimiseks kasutatava krüpteeritud tarkvara vastasele kaitsele. Selleks, et kaitsta oma arvutit GandCrab ja teiste väljapressimiseks kasutatavate tarkvaralahenduste eest, kasutage tuntud nuhkvara-vastast programmi, nagu Reimage, Malwarebytes Malwarebytes või Plumbytes Anti-MalwareNorton Internet Security

Autori kohta

Julie Splinters
Julie Splinters - Pahavara eemaldamise spetsialist

Kui see tasuta eemaldamisjuhend aitas Teid ja Te olete rahul meie teenindusega, siis palun kaaluge annetuse tegemist selleks, et meie teenust elus hoida. Isegi väike summa on kõrgelt hinnatud

Võta ühendust autoriga Julie Splinters
Ettevõtte Esolutions kohta lähemalt

Source: https://www.2-spyware.com/remove-gandcrab-ransomware.html

Eemaldamisjuhised teistes keeltes