GandCrab勒索软件解密方法.docx
- 文档编号:11345725
- 上传时间:2023-02-28
- 格式:DOCX
- 页数:13
- 大小:735.71KB
GandCrab勒索软件解密方法.docx
《GandCrab勒索软件解密方法.docx》由会员分享,可在线阅读,更多相关《GandCrab勒索软件解密方法.docx(13页珍藏版)》请在冰豆网上搜索。
GandCrab勒索软件解密方法
方法一GandCrab勒索软件解密
GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直针对来自世界各地的用户。
自发布以来不到一年的时间内,恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab2,GandCrab3,GandCrab4,GandCrabv4.1,GanCrabv4.1.2和GanCrabv5。
最近,第5个病毒版本被分为几个变种:
GandCrab5.0.1,GandCrab5.0.2,GandCrab5.0.3,GandCrab5.0.4,GandCrab5.0.5。
所有这些版本都使用Salsa20和RSA-2048对数据进行编码,并附加.gdcb,.crab,.KRAB,.lock和[随机5-10]文件扩展名,这是最新版本使用的。
恶意软件是在受感染的可执行文件的帮助下传播的,例如破解(“将图像合并为PDF的通用破解”)和虚假更新。
此外,GandCrab在漏洞利用工具包的帮助下积极传播
名称GandCrab
恶意软件的类型勒索
发现2018年1月30日
系统受影响视窗
版本
GandCrabv2
GandCrabv3
GandCrabv4
GandCrabv4.1
GanCrabv4.1.2 GandCrabv4.1.2
GandCrabv5
GandCrabv.5.0.1
GandCrabv.5.0.2
GandCrabv.5.0.3
GandCrabv.5.0.4
GandCrabv.5.0.5
扩展名已添加到受感染文件中.gdcb,.crab,.krab,.KRAB,.lock,[随机5-10字母]
赎金票据GDCB-DECRYPT.txt; KRAB-DECRYPT.txt; krab-decrypt.txt,[随机5-10字母]-DECRYPT.html
赎金金额可能因版本而异
最初,经过两个月的积极分发,勒索软件似乎被专家和欧洲刑警组织击败。
揭露勒索软件代码中的漏洞后,最终攻击了网络犯罪分子。
但是,病毒似乎不会停止。
第二个版本,发现几个月,要求1.54DASH以换取解密密钥。
改进版本尚未被解密,因为黑客修补了关键加密漏洞。
GandCrab一直使用不同的扩展来标记加密数据,包括.CRAB,.KRAB,.gdcb,.lock文件扩展名
黑客正在使用不同的策略来分发GandCrab
勒索软件研究人员报告了黑客用于传播勒索软件的几种方法。
起初,病毒被发现通过垃圾邮件蔓延。
根据PC安全专家的说法,GandCrab正在使用主题“ReceiptFeb-21310[随机数]。
”发件人的姓名可能会有所不同,但电子邮件地址的第二部分总是@cdkconstruction.org。
垃圾邮件还包含PDF附件和“DOC附加”作为邮件正文。
GandCrab依赖于.doc文件,一旦受害者点击恶意附件,该文件就会下载到系统中。
随后,.doc文件运行PowerShell脚本并创建一个漏洞利用文件(sct5.txt),该文件当前会影响64位系统。
正如各种加密恶意软件研究人员所指出的那样,sct5.txt文件并没有运行病毒的最终负载,而是执行漏洞并作为恶意软件进入的媒介运行。
Exploit工具包呈现了一种用于执行GandCrab的无文件技术,该技术使用VBScript.Encode/JScript.Encode脚本编码并注入内存。
当执行有效负载时,勒索软件会进入explorer.exe文件 并强制PC重新启动。
之后,它启用加密器并锁定.CRAB文件扩展名的文件。
似乎MagnitudeEK主要用于传播GandCrab勒索软件。
GandCrab也通过名为Seamless的恶意广告活动进行分发。
在它的帮助下,受害者将获得另一个名为RIGEK的漏洞利用工具包。
在检测到系统漏洞后,它利用它们通过文件加密病毒或其他危险的计算机病毒感染目标系统。
最后,该病毒还作为Ransomware-as-a-Service(Raas)在黑网上发布。
据CheckPoint称,由于创新的GandCrab联盟计划,黑客已经收集了超过60万美元的赎金。
勒索软件开发商一直在向参与者支付60%至70%的勒索软件收入,以换取全天候技术支持。
据研究人员称,这种加密恶意软件有近100个活跃的附属机构,其中80个成功分散了700个不同的恶意软件样本。
超过70%的受感染PC位于欧美国家,因此专用于讲英语的PC用户。
但是,最近的版本提供了多种语言可供选择
勒索软件继续采取其他行动
在渗透之后,GandCrab勒索软件开始加密存储在系统上的最有价值的数据。
一旦受害者遵循赎金票据中提供的步骤,他/她将被引导到名为交付赎金的网站。
GandCrab的新变种
.GDCB文件后缀病毒。
在原始版本发布后的几周内检测到此版本的GandCrab病毒。
就像它的前身一样,它通过受感染的垃圾邮件附件进行传播,并在打开附件后运行有效负载。
它针对最流行的文件,包括但不限于.doc,.txt,.jpg,.png,.audio,.video等,并将.GDCB文件扩展名附加到每个文件。
它在受害者的桌面上创建了一个GDCB-DECRYPT.txt文件,如果受害者迟到支付,赎金金额就会增加。
GandCrab2勒索病毒。
第二个勒索软件的版本目前无法解密。
在发布这个新版本之前,骗子修补了网络安全专家在3月初发现的严重加密漏洞。
GandCrab2通过无缝恶意广告活动分发,将受害者引入RIG漏洞利用工具包。
然而,与其前身不同,它也可以通过HoeflerText字体更新骗局与受害者联系。
GandCrab3勒索病毒是这个家族的第三个网络威胁。
这些文件在AES-256(CBC模式)+RSA-2048算法的帮助下加密,无法再访问。
此外,文件名标有.crab扩展名,CRAB-DECRYPT.txt赎金票据被删除。
文件由GandCrab3加密的受害者的主要区别在于DASH加密货币不再可接受。
人们现在被要求支付比特币的赎金。
但是,请不要支付交易并检查下面的替代解密方法。
GandCrabV4勒索病毒 版本于2018年7月初被注意到。
此勒索软件还使用AES-256(CBC模式)和RSA-2048加密算法。
这是使用.KRAB文件扩展名的第一个版本,赎金笔记可能位于两个不同命名的文件中。
CRAB-DECRYPT.txt或KRAB-DECRYPT.txt文本文件包含有关攻击的更多信息以及有关如何创建加密货币钱包的说明。
在V4版本之后不久,GandCrabV4.1就出现了。
该版本略有不同,使用的是.krab文件扩展名。
使用网络通信功能代替C&C服务器。
此版本可以在没有Internet连接的情况下传播。
由于其分发中可能使用SMB漏洞利用功能,因此有许多关于此版本的报告。
但是,它被拒绝,但需要MS17-010补丁来防止恶意软件的渗透。
GandCrabv4.1.2勒索病毒(GandCrabv4.1.X)是在7月17日创建疫苗应用程序并在线共享时发现的。
该疫苗仅适用于此版本,方法是在计算机上创建一个特殊文件,勒索软件在加密前检查并诱使病毒认为数据已加密。
该文件还显示计算机是否已被感染。
GandCrabv5勒索病毒在2018年9月与GandCrabv5.0.1,GandCrabv5.0.2,GandCrabv5.0.3,GandCrabv5.0.4版本一起出现。
它们是恶意软件的最新变种。
与之前的版本不同,它们不使用预定的文件扩展名,而是从包含5-10个字母的随机字符生成一个。
新的赎金票据也不同,如下所示:
[5-10个字母的随机字符]-DECRYPT.html。
GandCrabv5.0.5最近也已经出现
研究人员认为,最新版本没有使用任何漏洞利用工具包进行分发,而是依赖于位于恶意网站上的受感染安装程序。
黑客可以重定向受害者并欺骗他们下载和安装恶意负载,以及使用驱动安装技术。
不幸的是,GandCrabv5尚未解密。
漏洞利用工具包仍然被认为是最常见的攻击媒介
黑客采用了许多策略来使用勒索软件渗透计算机。
但是,漏洞利用工具包被认为是最复杂的工具包。
这些程序可以成功检测和识别系统漏洞,然后滥用它们进行攻击。
专家指出,GandCrab勒索软件是通过以下漏洞利用工具包分发的:
钻机攻击套件;
GrandSoft漏洞利用工具包;
Magnitude漏洞攻击包。
此外,值得了解漏洞利用工具包并不是勒索软件分发的唯一方式。
犯罪分子可能会利用轻信的人并使用带有恶意附件的欺骗性垃圾邮件。
通常,信件伪装成来自知名品牌和公司的购物收据,发票或类似文件。
同样,天真的用户打开受感染的附件并让网络威胁进入。
正如我们在前一段中所指出的,此勒索软件的开发者正在积极传播垃圾邮件。
因此,建议您在浏览互联网或监控电子邮件时要格外小心。
GandCrab勒索病毒删除并进行数据恢复
如果要恢复受感染的文件,则必须先删除GandCrab。
不幸的是,如何做到这一点的选择并不多。
1.选择高级防恶意杀毒软件进行自动删除
2.手动从PC中删除病毒
要修复系统,请在计算机上发现加密文件后立即下载专业安全杀毒软件。
运行完整的系统扫描并让它终止此文件加密病毒。
不幸的是,这些程序与加密文件的解密无关。
请注意,您可能无法首先安装恶意软件删除工具。
为此,您必须将计算机重新启动到带网络连接的安全模式或依赖系统还原。
使用带网络连接的安全模式删除GANDCRAB
将计算机重新启动到带网络连接的安全模式是勒索软件清除过程的第一步。
Windows7/Vista/XP
单击开始 → 关机 → 重新启动 → 确定。
当您的计算机变为活动状态时,请多次按F8键直到看到“ 高级启动选项”窗口。
从列表中选择带网络连接的安全模式
第2步:
删除GandCrab
登录受感染的帐户并启动浏览器。
下载其他合法的高级反间谍杀毒软件程序。
在完整系统扫描之前更新它并删除属于勒索软件的恶意文件并完成GandCrab删除。
如果您的勒索软件阻止了网络安全模式,请尝试进一步的方法
要在系统还原的帮助下摆脱此勒索软件,请按照下列步骤操作:
步骤1:
使用命令提示符将计算机重新启动到安全模式
Windows7/Vista/XP
单击开始 → 关机 → 重新启动 → 确定。
当您的计算机变为活动状态时,请多次按F8键直到看到“ 高级启动选项”窗口。
从列表中 选择“ 命令提示符 ”
第2步:
恢复系统文件和设置
一旦命令提示符窗口中显示出来,进入CD恢复并单击回车。
现在键入rstrui.exe并再次按Enter键。
当出现新窗口时,单击“ 下一步”并选择GandCrab渗透之前的还原点。
完成后,单击“ 下一步”。
现在单击是以启动系统还原。
一旦你将系统恢复到以前的日期,下载和扫描您的计算机进行重新映像,并确保GandCrab去除成功执行。
恢复您的数据
1.数据恢复软件可以帮助您恢复受损数据
2.Windows早期版本功能有助于恢复加密文件
如果在勒索软件攻击之前启用了系统还原功能,则可以使用Windows早期版本回溯。
找到您需要还原的加密文件,然后右键单击它;
选择“属性”并转到“以前的版本”选项卡;
在此处,在“文件夹版本”中检查文件的每个可用副本。
您应该选择要恢复的版本,然后单击“恢复”。
方法二如何刪除GandcrabV5.0.4勒索和解密的所有文件
十月16,2018 拉米Douafi 勒索, 卸載教程 0
與GandcrabV5.0.4勒索感染?
需要解密文件?
什麼是GandcrabV5.0.4勒索
GandcrabV5.0.4是的更新版本 GANDCRABV5.0 加密的病毒,加密用戶數據,並要求贖金.像以前的版本,它最加密用戶文件,如office文檔,檔案,相片,視頻,音頻和其他文件.該病毒的加密文件的擴展名更改為一組8封信,並增加該擴展 DECRYPT.txt 要么 DECRYPT.html 這同時是筆記.從而,加密文件看起來像這樣:
XTLKNFPQ-DECRYPT.html 要么 XTLKNFPQ-DECRYPT.txt.當它變得清晰,這些文件變得不適合繼續使用.此外,GandcrabV5.0.4刪除文件的卷影副本和系統恢復點,以消除手動解密文件的可能性.每一次你試圖打開一個文件,該加密病毒打開一個包含關於購買信息的說明文件:
—=GANDCRABV5.0.4=—
Attention!
Allyourfiles,documents,photos,databasesandotherimportantfilesareencryptedandhavetheextension:
.YKWKCUGI
Theonlymethodofrecoveringfilesistopurchaseanuniqueprivatekey.Onlywecangiveyouthiskeyandonlyandonlywecanrecoveryourfiles.
TheserverwithyourkeyisinaclosednetworkTOR.Youcangettherebythefollowingways:
—————————————————————————————–
|0.DownloadTorbrowser–https:
//www.torproject.org/
|1.InstallTorBrowser
|2.OpenTorBrowser
|3.OpenlinkinTORbrowserhttp:
//gandcrabmfe6mnef.onion/371525fbc2a9ddd2
|4.Followtheinstructionsonthispage
—————————————————————————————–
Onourpageyouwillseeinstructionsonpaymentandgettheopportunitytodecrypt1fileforfree.
ATTENTION!
INORDERTOPREVENTDATADAMAGE:
*DONOTMODIFYENCRYPTEDFILES
*DONOTCHANGEDATABELOW
—BEGINGANDCRABKEY—
IAQAADcGuK20868jorVSSQNHeCNCznLVthNchP1cchrZ+ZK64yengprthG1oan1BmSjZWIVyseGGDBKUiOnX4NfUDgoNhrthhDaVWAetprp+ystBhHoerAGVbtaprwIXUeKItyFQJUkFlmE+J9/91W3ngfXUDpB13408PijhAwijqUnWNZBMXD4TQrv…[REDACTED]—ENDGANDCRABKEY—
—BEGINPCDATA—
wfKD6iudumBkmpL8IRr4U7WxEFa3OW3tyzxyOuL12FYqvNmWPB5KYaxd5ZYqTpNRu3YM7nNWsbfaTHGHjR4qBMvz39M074b6dEHXDG/iHZJy8+LFIv/dmMngioqtOiJtTit2DjRIuBtNYA==
—ENDPCDATA—
這裡大局;付款頁面的樣子:
在以前的版本,這cryptovirus的騙子要求的贖金$2,400,並需要只能通過Tor瀏覽器,只在cryptocurrency提出贖金.這樣做是為了不留下交易痕跡,風險最小化完成.此外,騙子說,如果你不立即支付贖金的數量將增加嚇唬用戶.當然,這是一招.沒有人會永遠給你保證,詐騙者會回報你的文件.我們絕不建議你付出的入侵者.在底部,你可以看到我們的指示,並通過刪除GandcrabV5.0.4自行解密文件.
更新:
使用以下服務,以確定你被攻擊勒索軟件的版本和類型:
ID勒索.如果要解密文件,請按照我們下面的指令或,如果您有任何困難,請聯繫我們:
submit@.我們真的可以幫助解密文件.
如何GandcrabV5.0.4感染你的電腦
像這樣cryptovirus以前的版本,GandcrabV5.0.4來,作為一項規則,無需用戶大局;同意通過無保護的網絡設置.例如,在垃圾郵件列表或作為一個程序或應用錯誤的更新附件.是因為它可能,我們建議您熟悉我們的導遊,試圖馬上擺脫GandcrabV5.0.4和解密文件.
首先,不要驚慌.按照下面這些簡單的步驟.
1.啟動您的計算機 帶網絡連接的安全模式.要做到這一點,您的系統開始按F8前幾次重新啟動計算機.這將停止加載系統會顯示 高級啟動選項 屏幕.選擇 帶網絡安全模式 從選項列表中選擇使用上下鍵盤和命中上箭頭 輸入.
2.登錄到感染GandcrabV5.0.4病毒系統.啟動Internet瀏覽器並下載一個可靠的反惡意軟件程序並啟動全系統掃描.一旦掃描完成,查看掃描結果,並刪除所有檢測到的條目.
推薦的解決方案:
WiperSoft–完全消除GandcrabV5.0.4的所有實例–檔,文件夾,註冊表項.
下載Wipersoft反間諜軟件
恢復使用卷影副本文件
1.下載並運行 數據恢復專業版.
2.選擇您想從並按恢復它們的驅動器和文件夾,您的文件位於和日期 掃描.
3.選擇的文件夾中的所有文件要恢復和選擇 恢復.
4.選擇導出位置,並查看恢復的文件.
下載數據恢復專業
步2:
刪除以下GandcrabV5.0.4的文件和文件夾:
相關連接或其它項目:
Noinformation
相關文件:
Noinformation
如何解密GandcrabV5.0.4感染的文件?
你可以嘗試用人工的方法來恢復和解密文件.
手動解密文件
使用系統還原恢復系統
雖然GandcrabV5.0.4排出系統的最新版本還原文件,這種方法可以幫助你恢復部分文件.給它一個嘗試,並使用標準的系統還原恢復你的數據.
1.發起搜索‘系統還原‘
2.點擊結果
3.選擇感染出現之前的日期
4.按照屏幕上的說明
滾動文件,回到以前的版本
以前的版本可以通過Windows備份創建的文件的副本和文件夾(如果是積極的)或者通過系統創建的文件和文件夾的副本還原.您可以使用此功能來恢復你意外修改或刪除的文件和文件夾,或受損.此功能可在Windows7和更高版本.
1.右鍵單擊該文件,並選擇 屬性
2.打開 以前的版本 標籤
3.選擇最新的版本,然後單擊 複製
4.點擊 恢復
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GandCrab 勒索 软件 解密 方法