Situatie
Când acest troian este executat, acesta se copiază în următorul fișier:
- %AppData%Microsoft[RANDOM NAME]
Troianul creează următoarea intrare din registry, astfel încât să ruleze de fiecare dată când Windows pornește:
- HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion RunOnce “[RANDOM STRING]” = “[CALEA PENTRU FIȘIERUL ENCRYPTED]”
În continuare, troianul încheie următoarele procese:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exe
- oracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- mydesktopqos.exe
- agntsvc.exeisqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exeagntsvc.exe
- agntsvc.exeencsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
Troianul se conectează apoi la următoarele locații:
- bleepingcomputer.bit
- nomoreransom.bit
- esetnod32.bit
- emsisoft.bit
- gandcrab.bit
În continuare, troianul criptează toate fișierele de pe computerul compromis, cu excepția cazului în care numele conține următoarele:
- ProgramData
- Program Files
- Tor Browser
- Ransomware
- All Users
- Local Settings
- desktop.ini
- autorun.inf
- ntuser.dat
- iconcache.db
- bootsect.bak
- ntuser.dat.log
- thumbs.db
- .sql
Troianul va lăsa următorul fișier în fiecare director care criptează fișierele:
- [PATH TO ENCRYPTED FILES]GDCB-DECRYPT.txt
În continuare, troianul afișează o notă de răscumpărare prin care informează utilizatorul că fișierele sale au fost criptate și furnizând instrucțiuni cu privire la modul în care aceștia ar putea plăti pentru a decripta fișierele.
Simptome
Versiunea 1: | extensia fișierului este .GDCB. | Nota de răscumpărare începe cu – = GANDCRAB = -, |
Versiunea 2: | extensia fișierului este .GDCB. | Nota de răscumpărare începe cu – = GANDCRAB = -, |
Versiunea 3: | extensia fișierului este .CRAB. | Nota de răscumpărare începe cu – = GANDCRAB V3 = – ……… |
Versiunea 4: | extensia fișierului este .KRAB. | Nota de răscumpărare începe cu – = GANDCRAB V4 = – ……… |
Versiunea 5: | extensia fișierului este ([AZ] +). | Nota de răscumpărare începe cu – = GANDCRAB V5.0 = – ………. extensia: .UKCZA |
Versiunea 5.0.1: | extensia fișierului este ([AZ] +). | Nota de răscumpărare începe cu – = GANDCRAB V5.0.2 = – …. extensia: .YIAQDG |
Versiunea 5.0.2: | extensia fișierului este ([AZ] +). | Nota de răscumpărare începe cu- = GANDCRAB V5.0.2 = – …. extensia: .CQXGPMKNR |
Versiunea 5.0.3: | extensia fișierului este ([AZ] +). | Nota de răscumpărare începe cu- = GANDCRAB V5.0.2 = – …. extensia: .HHFEHIOL |
Solutie
Vestea bună este că acum puteți să vă aduceți datele înapoi fără să plătiți un cent criminalilor cibernetici, deoarece Bitdefender a lansat un utilitar gratuit care automatizează procesul de decriptare a datelor.
Acest instrument recuperează fișiere criptate de GandCrab ransomware versiunile 1, 4 și 5. Puteți recunoaște acest ransomware și versiunea sa, prin extensia pe care o adaugă fișierelor criptate și / sau notei de răscumpărare:
Descărcați utilitarul de decriptare furnizat de Bitdefender și salvați-l undeva pe computer.
Rețineți că acest instrument necesită o conexiune activă la internet..
Fără această condiție, procesul de decriptare nu va continua.
Descărcați instrumentul de decriptare GandCrab
Acest instrument CREEAZĂ o conexiune la internet activă, deoarece serverele noastre vor încerca să răspundă ID-ul trimis cu o cheie privată RSA-2048 posibilă.
Dacă acest pas reușește să decripteze procesul va continua.
Rulați utilitarul – ar trebui salvat pe computer ca BDGandCrabDecryptor.exe.
Acceptați termenii și condițiile.
Selectați “Scanare întreg sistem” dacă doriți să căutați toate fișierele criptate sau doar adăugați calea către fișierele criptate.
Vă recomandăm să selectați, de asemenea, “Fișiere de rezervă” înainte de a începe procesul de decriptare Apoi apăsați pe “Scan”.
Indiferent dacă verificați opțiunea “Backup files” sau nu, instrumentul de decriptare încearcă să decripteze 5 fișiere în calea furnizată și NU va continua dacă decriptarea nu reușește .
Acest mecanism de siguranță suplimentar asigură că instrumentul de decriptare a dat fișiere valide.
Această abordare s-ar putea să nu potrivească testarea decodificării pe 1 sau 2 fișiere sau încercarea de a decripta fișierele cu extensii diferite.
În acest moment, fișierele dvs. ar trebui să fie decriptate. Dacă ați bifat opțiunea de backup, veți vedea atât fișierele criptate, cât și fișierele decriptate.
Pentru a elimina fișierele criptate, căutați numai fișiere care corespund extensiei și le eliminați în bloc. Nu vă încurajăm să faceți acest lucru, dacă nu vă dublați că fișierele dvs. pot fi deschise în siguranță și nu există urme de deteriorare.
Tip solutie
PermanentImpact colateral
Pentru ca această soluție de recuperare să funcționeze, vi se solicită cel puțin 1 răscumpărare disponibilă pe PC.Notă de răscumpărare este necesară pentru a recupera cheia de decriptare.
Asigurați-vă că nu executați un utilitar de curățare care detectează și elimină aceste note de răscumpărare înainte de executarea acestui instrument. Informațiile din rapoartele de răscumpărare sunt esențiale în procesul de decriptare, deoarece ne permit să calculați cheia unică de decriptare pentru fișierele dvs.
Leave A Comment?