Βαθμός σοβαρότητας:  
  (99/100)

GandCrab ransomware. Τρόποι Αφαίρεσης (Οδηγός Απεγκατάστασης)

από Julie Splinters - - | Τύπος: Ιός τύπου Ransomware

GandCrab ransomware – Ένας crypto-ιός ο οποίος εξαπλώνεται διαδικτυακά με τη βοήθεια του Magnitude Exploit Kit

The image of GandCrab ransomware

Ο GandCrab είναι αυτή τη στιγμή ένας από τους πιο διάσημους ιούς ransomware του 2018 και έχει μολύνει ήδη περισσότερους από 50,000 Η/Υ αποφέροντας περισσότερα από $600,000 κέρδη στους developers του. Πρωτο-ανακαλύφθηκε τον Ιανουάριο και συνεχίζει να λαμβάνει νέες ενημερώσεις, να εξελίσσεται, και να αναπροσαρμόζει τις τεχνικές της διαδικτυακής του εξάπλωσης.

Αρχικά, εξαπλώθηκε διαδικτυακά μέσω διαφόρων social engineering καμπανιών και malspam. Το τελευταίο διάστημα έχει παρατηρηθεί ότι βασίζει τη διαδικτυακή του εξάπλωση κυρίως στο Magnitude Exploit Kit (EK), το οποίο έχει ήδη χρησιμοποιηθεί ευρέως για τη διαδικτυακή εξάπλωση του  Magniber ransomware. Επιπρόσθετα, θα πρέπει να σημειωθεί ότι μετά την .gdcb κακόβουλη επέκταση αρχείου για το μαρκάρισμα των κρυπτογραφημένων αρχείων, πλέον, φαίνεται ότι ο ιός GandCrab χρησιμοποιεί την .crab κακόβουλη επέκταση αρχείου. 

Όνομα GandCrab
Τύπος malware Ransomware
Ανακαλύφθηκε January 30, 2018
Συστήματα που επηρεάζει Windows
Επέκταση που προστίθεται στα μολυσμένα αρχεία .gdcb, .crab
Σημείωμα Λύτρων (Ransom note) GDCB-DECRYPT.txt
Ύψος λύτρων 1.54 DASH ($ 1126)
Αποκρυπτογραφείται Yes
Εκδόσεις GandCrab v2

Μέτα από δυο μήνες δράσης, φάνηκε ότι ο ιός ransomware 'ηττήθηκε', όταν οι εξιδεικευμένες τεχνικές ομάδες της Ρουμανικής Αστυνομίας, του Bitdefender και της Europol, κατάφεραν να εντοπίσουν 'τρωτό' σημείο στον κώδικα του ιού ransomware που τους επέτρεψε να χακάρουν τους κυβερνο-εγκληματίες. Έτσι, το Bitdefender δημιούργησε και κυκλοφόρησε το δωρεάν λογισμικό αποκρυπτογράφησης GandCrab decryptor, το οποίο και είναι διαθέσιμο στο NoMoreRansom.

GandCrab decryptor

Ωστόσο, δεν κατάφερε να σταματήσει για πολύ καιρό τους hackers που ανέπτυξαν τον συγκεκριμένο ιό. Η δεύτερη έκδοση του ιού GandCrab virus συνεχίζει να προωθείται διαδικτυακά μέσω spam καμπανιών. Σε αυτή την περίπτωση, οι hackers απαιτούν από τους χρήστες-θύματα, ως λύτρα απελευθέρωσης, να πληρώσουν 1.54 DASH ώστε να λάβουν το 'πολυπόθητο' κλειδί αποκρυπτογράφησης (decryption key). Παρόλο που οι χρήστες-θύματα μπορούν να αποκρυπτογραφήσουν τα αρχεία που κρυπτογράφησε η αρχική έκδοση του ιού, οι κυβερνο-εγκληματίες ανέπτυξαν και κυκλοφόρησαν μια βελτιωμένη νέα έκδοση με το όνομα GandCrab v2.

Μάλιστα, κατάφεραν να καλύψουν το 'τρωτό σημείο' που είχε εντοπιστεί στον κώδικα του ιού ransomware, πράγμα που σημαίνει ότι ο διαθέσιμος δωρεάν αποκρυπτογράφος είναι άχρηστος σε περιστατικά κρυπτογραφημένων αρχείων που αφορούν τη συγκεκριμένη νέα έκδοση. Έχει διαπιστωθεί ότι η νέα έκδοση του ιού προσθέτει στα κρυπτογραφημένα αρχεία την .CRAB κακόβουλη επέκταση αρχείου. Αυτός είναι ο λόγος που πολλοί ονομάζουν την νέα έκδοση του ιού, .CRAB file extension virus (ιός κακόβουλης επέκτασης αρχείων .CRAB).  

Ο συγκεκριμένος ιός ransomware εξαπλώνεται διαδικτυακά και ως Ransomware-as-aService (Raas) στο Ρωσικό σκοτεινό web. Σύμφωνα με το Check Point, οι χάκερς έχουν καταφέρει να κερδίσουν ήδη πάνω από 600,000 USD από λύτρα που πλήρωσαν οι χρήστες-θύματα. Σε αυτή την μεγάλη επιτυχία σημαντικό ρόλο έπαιξε και το GandCrab Affiliate Program. Διαπιστώθηκε ότι οι ransomware developers για να δελεάσουν τους απανταχού κυβερνο-εγκληματίες, προσφέρουν ποσοστά που αγγίζουν ακόμα και το 60% με 70% από τα κέρδη του ιού ransomware, καθώς και 24/7 τεχνική υποστήριξη.

Σύμφωνα με τα στοιχεία πρόσφατων ερευνών, το συγκεκριμένο crypto-malware έχει ήδη πάνω από 100 ενεργούς affiliates (συνεργαζόμενους τρίτους στο πλαίσιο του κοινοπρακτικού μάρκετινγκ, βλ. affiliate marketing). 80 απ' αυτούς τους affiliates έχουν εξαπλώσει διαδικτυακά πάνω από 700 δείγματα του malware. Θα πρέπει να σημειωθεί ότι περισσότερο από το 70% των μολυσμένων υπολογιστών βρίσκονται σε Ηνωμένο Βασίλειο και ΗΠΑ και είναι ξεκάθαρο ότι στοχοποιεί ως επί το πλείστον Αγγλόφωνους χρήστες. 

Στα μέσα του Απριλίου 2018, οι ransomware ερευνητές ανέφεραν ότι το Magnitude EK άλλαξε σε διαδικτυακή εξάπλωση του GandCrab ransomware. Έως πρότινος, χρησιμοποιούνταν για τη διαδικτυακή εξάπλωση του Magniber ransomware στοχοποιώντας τους netizens της Νότιας Κορέας. Πλέον, φαίνεται ότι στοχοποιεί ακόμα και χρήστες σε Σκανδιναβικές χώρες. Στην περίπτωση που έχεις ακόμα και την παραμικρή υποψία ότι ο ιός GandCrab ransomware έχει διεισδύσει και μολύνει το σύστημα του υπολογιστή σου, σε συμβουλεύουμε να προβείς άμεσα σε ολοκληρωτική αφαίρεσή του χρησιμοποιώντας το εξαίρετο και πολυδοκιμασμένο λογισμικό ασφαλείας Reimage.

GandCrab virus appening .crab file extension

Το exploit kit εκμεταλλεύεται μια fileless τεχνική που χρησιμοποιείται για την εκτέλεση του ransomware φορτίου το οποίο έχει κωδικοποιηθεί μέσω VBScript.Encode/JScript.Encode scrip και διεισδύει στη μνήμη. Όταν το ransomware φορτίο εκτελείται, ο ιός ransomware 'ριζώνει' στο explorer.exe αρχείο και ωθεί τον υπολογιστή σε επανεκκίνηση. Κατόπιν, ενεργοποιείται ο κρυπτογράφος (encryptor), ο οποίος ξεκινάει να κρυπτογραφεί τα αποθηκευμένα αρχεία. Κάθε κρυπτογραφημένο αρχείο αποκτάει .CRAB κακόβουλη επέκταση αρχείου. Φαίνεται ότι το Magnitude EK χρησιμοποιείται κυρίως για τη διαδικτυακή εξάπλωση της έκδοσης GandCrab 2, ο κώδικας της οποίας δεν έχει αποκρυπτογραφηθεί ακόμα. 

Ο ιός GandCrab μπορεί να εξαπλωθεί διαδικτυακά και μέσω της malvertising καμπάνιας Seamless. Μέσω αυτής, οι χρήστες-θύματα κατευθύνονται στο RIG exploit kit. Αυτό το λογισμικό έχει σχεδιαστεί να εντοπίζει τα 'τρωτά' σημεία του συστήματος και να τα εκμεταλλεύεται ώστε να μολύνει το σύστημα-στόχο με ιό κρυπτογράφησης ή άλλου είδους επικίνδυνο ιό.

Σύμφωνα με τους ειδικούς σε θέματα διαδικτυακής ασφάλειας, ο ιός GandCrab έχει τη τάση το τελευταίο διάστημα να εξαπλώνεται διαδικτυακά μέσω spam email μηνυμάτων με τίτλο Receipt Feb-21310 [random numbers]. Το όνομα του αποστολέα μπορεί να ποικίλει, ωστόσο το δεύτερο μέρος της email διεύθυνσης είναι πάντα @cdkconstruction.org. Το spam μήνυμα που χρησιμοποιείται από τον ιό ransomware εμπεριέχει PDF επισύναψη και «DOC attached» ως κύριο σώμα μηνύματος.

GandCrab spreads via fake Hoefler text font updates

Ο ιός GandCrab βασίζεται σε .doc αρχείο το οποίο κατεβαίνει στο σύστημα μόλις ο χρήστης-θύμα κλικάρει στην κακόβουλη επισύναψη. Φαίνεται πως το .doc αρχείο τρέχει ένα PowerShell script και δημιουργεί exploit αρχείο (sct5.txt), το οποίο προς το παρόν επηρεάζει 64-bit σύστημα. Όπως τονίστηκε από πολλούς crypto-malware ερευνητές, το sct5.txt αρχείο δεν τρέχει όλο το φορτίο του ιού GandCrab virus, αλλά εκτελεί ένα exploit και τρέχει ως το μέσον (medium) που θα βοηθήσει το malware να διεισδύσει στο σύστημα.

Μόλις καταφέρει να διεισδύσει στο σύστημα-στόχο, ο ιός GandCrab ξεκινάει να κρυπτογραφεί τα πολυτιμότερα αποθηκευμένα δεδομένα. Μόλις ολοκληρωθεί η κρυπτογράφηση, ο χρήστης-θύμα δε μπορεί πλέον να αποκτήσει πρόσβαση στα κρυπτογραφημένα αρχεία. Με την ολοκλήρωση της διαδικασίας κρυπτογράφησης, ο ιός εμφανίζει σημείωμα λύτρων με GDCB-DECRYPT.txt όνομα αρχείου:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

Μόλις ο χρήστης-θύμα ακολουθήσει τις οδηγίες του σημειώματος λύτρων, θα ανακατευθυνθεί στο GandCrab decryptor site. Εκεί, θα ενημερωθεί ότι το ύψος των λύτρων είναι περίπου $1200) πληρωτέο σε DASH, ενώ ακόμα υπάρχει chat υποστήριξης, η DASH διεύθυνση, καθώς και ευκαιρία να ανεβάσει ένα αρχείο για δωρεάν αποκρυπτογράφηση ώστε να πειστεί ότι ο αποκρυπτογράφος δουλεύει. 

Θα πρέπει να σημειωθεί ότι ο ιός GandCrab ransomware αναγνωρίζει συγκεκριμένη χρονική περίοδο που επιτρέπεται στον χρήστη να προβεί στην οικονομική συναλλαγή, διαφορετικά το ύψος των λύτρων μπορεί να διπλασιαστεί. Αυτή είναι άλλη μια μέθοδος πίεσης ώστε να ωθήσουν το μέγιστο αριθμό χρηστών να πληρώσουν τα λύτρα χωρίς να προλάβουν οι χρήστες να ζυγίσουν τα υπερ και τα κατά ή να σκεφτούν εναλλακτικές μιας τέτοιας απόφασης. 

Με άλλα λόγια, στην περίπτωση που βρεθείς σε αυτή τη δυσάρεστη κατάσταση, σε συμβουλεύουμε να ΜΗΝ ακολουθήσεις τις οδηγίες των κυβερνο-εγκληματιών μιας και υπάρχουν εναλλακτικοί τρόπο επαναφοράς της πρόσβασης στα κρυπτογραφημένα αρχεία, όπως πχ. η χρήση του λογισμικού αποκρυπτογράφησης που έχει αναπτυχθεί από ειδικούς. Πριν σκεφτείς και δοκιμάσεις τις όποιες εναλλακτικές, άμεση προτεραιότητά σου είναι ο εντοπισμός και η ολοκληρωτική αφαίρεση του ιού GandCrab.

Οι ειδικοί της NoVirus.uk έχουν ήδη προειδοποιήσει τους χρήστες-θύματα ότι ο συγκεκριμένος ιός είναι ένας εξαιρετικά επικίνδυνος ιός και η αφαίρεσή του θα πρέπει να γίνει αποκλειστικά από εξιδεικευμένο τεχνικό προγραμματιστή υπολογιστών ή με τη χρήση ενός πλήρως ενημερωμένου, αξιόπιστου, και ικανού λογισμικού ασφαλείας antivirus.

Για την αποτελεσματική, γρήγορη, εύκολη, και ασφαλή ολοκληρωτική αφαίρεση του ιού GandCrab προτείνουμε τη χρήση κάποιου εξ αυτών των πλέον αξιόπιστων λογισμικών ασφαλείας: Reimage ή Malwarebytes Anti Malware. Φυσικά, μπορεί να επιλεχθεί και κάποιο άλλο λογισμικό ασφαλείας anti-malware για τον εντοπισμό και την ολοκληρωτική αφαίρεση αυτού του επικίνδυνου ιού κρυπτογράφησης αρχείων, αρκεί βεβαίως να είναι παρομοίων δυνατοτήτων και αξιοπιστίας. Στο τέλος του άρθρου μπορείς να βρεις αναλυτικές οδηγίες σχετικά με τη διαδικασία εξουδετέρωσης του ιού.

Και κάτι πολύ σημαντικό! ΜΗΝ προσπαθήσεις να αφαιρέσεις χειροκίνητα τον ιό GandCrab. Τέτοιου είδους περίπλοκες και εξελιγμένες ransomware κυβερνο-μολύνσεις έχουν σχεδιαστεί πολύ προσεκτικά ώστε να περνούν όσο πιο απαρατήρητες γίνεται και μάλιστα έχουν τη τάση να 'μεταμφιέζονται' με πολύ μεγάλη επιτυχία σε γνωστές, νόμιμες συστημικές διεργασίες. Η αφαίρεση σημαντικών συστημικών αρχείων μπορεί να οδηγήσει σε πολύ σημαντικά συστημικά προβλήματα, καθώς και επανεμφάνιση του crypto-malware. Είναι πολύ σημαντικό να ακολουθήσεις προσεκτικά και βήμα προς βήμα τις παρακάτω οδηγίες που ετοίμασαν οι ειδικοί μας.

Λίστα με GandCrab ransomware εκδόσεις

.GDCB file extension virus. Αυτή η έκδοση του ιού GandCrab virus εντοπίστηκε περίπου δυο εβδομάδες μετά την κυκλοφορία της αρχικής έκδοσης. Όπως ο προκάτοχός του, έτσι και αυτός ο ιός εξαπλώνεται διαδικτυακά μέσω μολυσμένων spam email επισυνάψεων και ενεργοποιείται μόλις ανοιχθεί από τον χρήστη η μολυσμένη επισύναψη. 

Στοχοποιεί τους δημοφιλέστερους τύπους αρχείων, όπως πχ. .doc, .txt, .jpg, .png, .audio, .video, κλπ. Κάθε κρυπτογραφημένο αρχείο αποκτάει .GDCB κακόβουλη επέκταση αρχείου. Μόλις ολοκληρωθεί η διαδικασία της κρυπτογράφησης, ο ιός εμφανίζει στο desktop σημείωμα λύτρων με όνομα GDCB-DECRYPT.txt . Μέσω αυτού του σημειώματος γίνεται προσπάθεια από τους hackers να πειστεί ο εκάστοτε χρήστης-θύμα να κατεβάσει το Tor browser και μέσω αυτού να προβεί σε πληρωμή των λύτρων ύψους 1.54 DASH. Μάλιστα, το ύψος των λύτρων αυξάνεται εάν ο χρήστης-θύμα αργήσει να πληρώσει. 

GandCrab2. Η δεύτερη έκδοση αυτού του ιού ransomware είναι αδύνατον, προς το παρόν, να αποκρυπτογραφηθεί. Πριν κυκλοφορήσουν τη δεύτερη έκδοση, οι developers του ιού σιγουρεύτηκαν ότι κάλυψαν επιτυχώς όλα τα 'τρωτά σημεία' του κώδικά που είχαν εντοπιστεί στην αρχική έκδοση και αποκρυπτογραφηθεί από τους cybersecurity ειδικούς στις αρχές Μαρτίου. 

Ο ιός GandCrab2 εξαπλώνεται διαδικτυακά μέσω Seamless malvertising καμπάνιας που ωθεί τους χρήστες στο RIG exploit kit. Ωστόσο, αντίθετα με τον προκάτοχό του, ο συγκεκριμένος ιός μπορεί να μολύνει συστήματα χρηστών και μέσω του HoeflerText Font Update scam. 

Κάθε κρυπτογραφημένο αρχείο αποκτάει .CRAB κακόβουλη επέκταση αρχείου. Μόλις ολοκληρωθεί η διαδικασία της κρυπτογράφησης, εμφανίζει στον υπολογιστή σημείωμα λύτρων με όνομα CRAB-DECRYPT.txt. Οι hackers απαιτούν να πληρωθούν 500 USD σε κρυπτονόμισμα Dash μέσω Tor browser ώστε να δώσουν στον χρήστη-θύμα το 'πολυπόθητο' ιδιωτικό κλειδί αποκρυπτογράφησης (private decryption key). Παρόλο που αρχικά οι ειδικοί θεώρησαν ότι η συγκεκριμένη έκδοση αποτελεί κλώνο του προκατόχου του, φαίνεται εκ των υστέρων ότι πρόκειται για μια νέα αναβαθμισμένη έκδοση που προς το παρόν είναι αδύνατον να αποκρυπτογραφηθεί ο κώδικάς της, οπότε και δεν είναι δυνατόν ακόμα να αναπτυχθεί και να κυκλοφορήσει κάποιο δωρεάν λογισμικό αποκρυπτογράφησης (free decryptor). 

GandCrab2 variant. An example of a ransom note

Οι ειδικοί προσφέρουν δωρεάν GandCrab αποκρυπτογράφο (decryptor)

Οι ΙΤ ειδικοί του διάσημου NoMoreRansom.org project κυκλοφόρησαν επιτέλους GandCrab decryptor (αποκρυπτογράφο). Είναι διαθέσιμος προς λήψη για όποιον επιθυμεί να επαναφέρει την πρόσβαση στα κρυπτογραφημένα αρχεία με .GDCB κακόβουλη επέκταση αρχείου. Μπορείς να τον βρεις στο τέλος του άρθρου.

Οι ειδικοί σημειώνουν ότι για να χρησιμοποιηθεί αυτό το εργαλείο αποκρυπτογράφησης (decryption tool), θα πρέπει πρώτα να αφαιρεθεί ο ιός GandCrab από το σύστημα του υπολογιστή. Διαφορετικά, ο ιός ransomware θα συνεχίσει να κρυπτογραφεί τα αποθηκευμένα δεδομένα. 

Προτείνουν την εγκατάσταση και χρήση επαγγελματικών λογισμικών ασφαλείας, καθώς μόνο αυτά είναι ικανά να εντοπίσουν και να αφαιρέσουν ολοκληρωτικά τον ιό ransomware από το σύστημα. Στο τέλος του άρθρου, προτείνουμε τα λογισμικά ασφαλείας που πιστεύουμε ότι είναι τα καλύτερα για δύσκολες περιπτώσεις όπως αυτή. Τώρα, εάν δεν καταφέρεις να ξαναποκτήσεις πρόσβαση στα αρχεία, που κρυπτογράφησε ο ιός, με τη χρήση του επίσημου GandCrab decryptor, υπάρχουν κάποιες άλλες εναλλακτικές που μπορεί να σε βοηθήσουν να τα καταφέρεις.

Για παράδειγμα, παρόλο που ο ιός είναι σχεδιασμένος να διαγράφει τα Shadow Volume Copies, μπορεί να αποτύχει. Σε αυτή την περίπτωση, μπορείς να εκμεταλλευτείς τον ShadowExplorer ή άλλα παρόμοια εργαλεία τρίτων τα οποία ίσως μπορέσουν να σε βοηθήσουν να ανακτήσεις πρόσβαση στα κρυπτογραφημένα αρχεία σου, σε κάποια απ' αυτά τουλάχιστον.

Επιπρόσθετα, ο καλύτερος τρόπος για να μην πέσεις θέμα τέτοιου είδους εκβιασμών όπου θα σε ωθούν να πληρώσεις λύτρα, εάν επιθυμείς να αποκτήσεις και πάλι πρόσβαση στα κρυπτογραφημένα αρχεία σου, είναι φυσικά να κάνεις τακτικά backup τα αρχεία σου, κυρίως δε αυτά που είναι σημαντικότερα και πολυτιμότερα για σένα. Εάν δεν έκανες backup πριν την επίθεση του ιού, τότε μπορείς να τσεκάρεις τις διάφορες εναλλακτικές ανάκτησης δεδομένων (βλ. alternative data recovery methods) που θα βρεις στο τέλους του άρθρου. Φυσικά, καλό θα ήταν να δοκιμάσεις πρώτα τον επίσημο αποκρυπτογράφο για να τσεκάρεις εάν έχει αποτέλεσμα στην περίπτωσή σου ή όχι.

Η συγκεκριμένη κυβερνο-απειλή χρησιμοποιεί exploit kits για να διεισδύει σε συστήματα υπολογιστών

Τα exploits kits είναι σχεδιασμένα να εντοπίζουν 'τρωτά σημεία' και αδυναμίες στο σύστημα ενός υπολογιστή και βοηθούν το κακόβουλο πρόγραμμα να εκμεταλλευτεί την κατάσταση (exploit) ώστε να διεισδύσει με ευκολία στο σύστημα. Ο συγκεκριμένος ιός ransomware εξαπλώνεται διαδικτυακά τόσο χάρις στη βοήθεια του Rig exploit kit όσο και του GrandSoft exploit kit,, αλλά και του Magnitude exploit kit. Πρόκειται για προηγμένα και πολύ περίπλοκα λογισμικά που παρακάμπτουν την έγκριση του χρήστη και προχωρούν σε αυθαίρετη και κρυφή λήψη κι εγκατάσταση του malware στο σύστημα. 

GandCrab installed via Magnitude EK

Καλό είναι να γνωρίζεις πως τα exploit kits δεν αποτελούν το μοναδικό βοηθητικό μέσον για τη διαδικτυακή εξάπλωση αυτού του ιού ransomware. Γνωρίζοντας ότι η πλειοψηφία των netizens είναι ιδιαιτέρως απρόσεκτη, οι κυβερνο-εγκληματίες εκμεταλλεύονται αυτή την κατάσταση και αποστέλουν σε μαζική κλίμακα παραπλανητικά spam emails που εμπεριέχουν κακόβουλες επισυνάψεις. Συνήθως, αυτά τα emails εμφανίζονται ως δήθεν τιμολόγια, ειδοποιητήρια, ή άλλα σημαντικά έγγραφα από γνωστά brands και εταιρείες. Δυστυχώς, μεγάλος αριθμός χρηστών από περιέργεια και επιπόλαιη απροσεξία, ανοίγει αυτά τα emails και κατεβάζει τις μολυσμένες επισυνάψεις. Με αυτό τον τρόπο, ανοίγει η 'Κερκόπορτα' για τη διείσδυση κακόβουλων προγραμμάτων, όπως ο συγκεκριμένος πολύ επικίνδυνος ιός ransomware.

Όπως τονίσαμε πιο πάνω, οι developers του ιού ransomware έχουν τη τάση το τελευταίο διάστημα να εξαπλώνουν διαδικτυακά τον ιό μέσω spam emails. Ο τίτλος του email μηνύματος είναι Receipt Feb-21310 [ random numbered], με τη μόνη διαφορά ότι μπορεί να διαφέρει ο αποστολέας. Παρόλα αυτά, το δεύτερο μέρος της email διεύθυνσης παραμένει ίδιο, δλδ. @cdkconstruction.org. Το συγκεκριμένο spam email δεν εμπεριέχει μεγάλο κείμενο. Τονίζεται μόνο ότι υπάρχει DOC επισύναψη («DOC attached»).

Επομένως, σε συμβουλεύουμε να δείχνεις ιδιαίτερη προσοχή και καχυποψία όταν περιηγείσαι στο διαδίκτυο ή ελέγχεις τα emails σου. Είναι καίριας σημασίας να δείχνεις πάντα τη δέουσα προσοχή όταν ανοίγεις emails — μπορείς να καταλάβεις αν ένα email είναι ύποπτο / spam από ορθογραφικά και συντακτικά λάθη ή όταν προσπαθεί να σε πείσει να ανοίξεις επισύναψη χωρίς να σου παρέχει πρώτα αναλυτικές πληροφορίες στο κύριο σώμα κειμένου. Κλασική ατάκα είναι όταν προσπαθεί να σε πείσει να ανοίξει την επισύναψη για περαιτέρω πληροφορίες («for further details»). ΜΗΝ ανοίγεις επισυνάψεις από ύποπτους / άγνωστους αποστολείς, κυρίως όταν αυτές οι επισυνάψεις έχουν JS, .EXE, .COM, .PIF, .SCR, .HTA, .vbs, .wsf, .jse, .jar, επεκτάσεις αρχείου. Τέλος, σε συμβουλεύουμε να αποφεύγεις να επισκέπτεσαι ύποπτους ιστότοπους ή ιστότοπους με παράνομο/πειρατικό περιεχόμενο, καθώς είναι πολύ πιθανό η πλειοψηφία αυτών να ανήκει σε κυβερνο-εγκληματίες που τα χρησιμοποιούν για τη διαδικτυακή εξάπλωση επικίνδυνων κακόβουλων προγραμμάτων κι αρχείων.

Μάθε πώς γίνεται η ασφαλής απεγκατάσταση του ιού GandCrab και πώς μπορείς να ανακτήσεις τα κρυπτογραφημένα δεδομένα

Όταν ανακαλύψεις την παρουσία του ιού GandCrab ransomware στο σύστημα του υπολογιστή σου, η άμεση και ολοκληρωτική αφαίρεσή του είναι μονόδρομος. Για να τα καταφέρεις, συνιστούμε την αυτόματη αφαίρεση, δλδ. χρησιμοποιώντας ένα πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας. Όσο περισσότερο μένει ο ιός στον υπολογιστή σου τόσο μεγαλύτερη ζημιά μπορεί να κάνει στην εύρρυθμη λειτουργία του συστήματος και την ασφάλεια των προσωπικών σου δεδομένων. Μόλις αφαιρέσεις ολοκληρωτικά τον ιό από τον υπολογιστή, μπορείς κατόπιν να προσπαθήσεις να αποκρυπτογραφήσεις τα κρυπτογραφημένα αρχεία.

Έτσι, μόλις διαπιστώσεις την ύπαρξη κρυπτογραφημένων αρχείων στον υπολογιστή σου, επιβάλλεται η λήψη κι εγκατάσταση (εάν δεν το έχεις κάνει ήδη) ενός επαγγελματικού λογισμικού ασφαλείας. Για δύσκολες και περίπλοκες καταστάσεις, όπως η συγκεκριμένη, προτείνουμε κάποιο απ' αυτά τα εξαίρετα και πολυδοκιμασμένα λογισμικά ασφαλείας: Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus, Malwarebytes Anti Malware. Το λογισμικό ασφαλείας θα προβεί σε σάρωση συστήματος, θα εντοπίσει, και θα αφαιρέσει ολοκληρωτικά τον ιό GandCrab. Δυστυχώς, αυτά τα προγράμματα, αν και ιδιαιτέρως αποτελεσματικά στον εντοπισμό και την αφαίρεση του ιού, δε μπορούν να σε βοηθήσουν στην αποκρυπτογράφηση των κρυπτογραφημένων αρχείων. 

Σημείωση: Στην περίπτωση που ο ιός δε σε αφήσει να εγκαταστήσεις και να τρέξεις το anti-malware, θα χρειαστεί να κάνεις reboot (επανεκκίνηση) υπολογιστή σε Ασφαλής Λειτουργία με Δικτύωση (Safe Mode with Networking) ή να βασιστείς στην Επαναφορά Συστήματος (System Restore). Στο τέλος του άρθρου μπορείς να βρεις αναλυτικό βήμα-προς-βήμα οδηγό αφαίρεσης του ιού GandCrab. Επιπρόσθετα, η ομάδα των ειδικών μας ετοίμασε εναλλακτικές μεθόδους επαναφοράς που θα σε βοηθήσουν να επαναφέρεις τα κρυπτογραφημένα αρχεία σου, ή έστω μέρος αυτών. 

Μπορεί να συνεργαζόμαστε με κάθε προϊόν το οποίο προτείνουμε στην ιστοσελίδα. Πλήρης γνωστοποίηση στους Όρους Χρήσης μας. Κάνοντας λήψη του προτεινόμενου Anti-spyware λογισμικού για την αφαίρεση του GandCrab ransomware, συμφωνείτε στη πολιτική απορρήτου μας και στους συμφωνία χρήσης.
Κάντε το τώρα
Λήψη
Reimage (λογισμικό αφαίρεσης) Εγγύηση
Ικανοποίησης
Λήψη
Reimage (λογισμικό αφαίρεσης) Εγγύηση
Ικανοποίησης
Συμβατό με Microsoft Windows Συμβατό με OS X
Τι γίνεται σε περίπτωση αποτυχίας?
Στην περίπτωση που η προσπάθεια αφαίρεσης της μόλυνσης είναι ανεπιτυχής με τη χρήση Reimage, υποβολή ερώτησης, μπορείς να επικοινωνήσεις με το Τμήμα Υποστήριξης δίνοντας όσες περισσότερες πληροφορίες μπορείς.
Προτείνεται το Reimage για απεγκατάσταση του GandCrab ransomware. Η δωρεάν σάρωση σας παρέχει τη δυνατότητα να ελέγξετε για το εάν ο υπολογιστής σας έχει μολυνθεί ή όχι. Εάν χρειασθεί να αφαιρέσετε κακόβουλο λογισμικό (βλ. malware), τότε θα πρέπει πρώτα να αγοράσετε την πλήρη έκδοση του προγράμματος ασφάλειας Reimage.
Περισσότερες πληροφορίες μπορείτε να βρείτε σε αυτό το άρθρο αξιολόγησης του Reimage.
Πατήστε αναφορές Reimage

Οδηγός Χειροκίνητης Αφαίρεσης του ιού GandCrab:

Αφαίρεση GandCrab χρησιμοποιώντας Safe Mode with Networking

H επανεκκίνηση (rebooting) του υπολογιστή σου σε Ασφαλής Λειτουργία με Δικτύωση (Safe Mode with Networking) είναι το πρώτο βήμα στη διαδικασία εξουδετέρωσης αυτού του επικίνδυνου ιού ransomware.

  • Βήμα 1: Reboot υπολογιστή σε Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Click Start Shutdown Restart OK.
    2. Όταν ο υπολογιστής σας γίνει και πάλι λειτουργικό, αρχίστε να πατάτε το F8 πολλές φορές έως ότου εμφανιστεί το παράθυρο Advanced Boot Options
    3. Επιλέξτε Safe Mode with Networking από την λίστα Επιλέξτε 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Πατήστε το κουμπί Power στο login screen Windows. Κατόπιν, πατήστε και κρατήστε πατημένο το Shift, και click Restart .
    2. Τώρα, επιλέξτε Troubleshoot Advanced options Startup Settings και τέλος πατήστε Restart.
    3. Με το που ο υπολογιστής σας γίνει και πάλι λειτουργικός, επιλέξτε το Enable Safe Mode with Networking στο παράθυρο Startup Settings. Επιλέξτε 'Enable Safe Mode with Networking'
  • Βήμα 2: Απομάκρυνση GandCrab

    Συνδεθείτε στον μολυσμένο λογαριασμό κι εκκινήστε τον browser. Κατεβάστε το Reimage ή οποιοδήποτε άλλο πλήρως ενημερωμένο κι αξιόπιστο anti-spyware (λογισμικό προστασίας από προγράμματα κατασκοπίας). Κατόπιν, προβείτε σε γενική σάρωση συστήματος κι αφαιρέστε κακόβουλα αρχεία που ανήκουν στο ransomware και ολοκληρώστε την αφαίρεση του GandCrab.

Εάν το ransomware μπλοκάρει το Safe Mode with Networking, τότε δοκιμάστε κάποια άλλη μέθοδο.

Αφαίρεση GandCrab χρησιμοποιώντας System Restore

Για να απαλλαγείς από τον ιό ransomware με τη βοήθεια Επαναφοράς Συστήματος (System Restore) ακολούθησε τα εξής βήματα:

  • Βήμα 1: Reboot υπολογιστή σε Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Click Start Shutdown Restart OK.
    2. Όταν ο υπολογιστής σας γίνει και πάλι λειτουργικό, αρχίστε να πατάτε το F8 πολλές φορές έως ότου εμφανιστεί το παράθυρο Advanced Boot Options
    3. Επιλέξτε Command Prompt από την λίστα Επιλέξτε 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Πατήστε το κουμπί Power στο login screen Windows. Κατόπιν, πατήστε και κρατήστε πατημένο το Shift, και click Restart .
    2. Τώρα, επιλέξτε Troubleshoot Advanced options Startup Settings και τέλος πατήστε Restart.
    3. Με το που ο υπολογιστής σας γίνει και πάλι λειτουργικός, επιλέξτε το Enable Safe Mode with Command Prompt στο παράθυρο Startup Settings. Επιλέξτε 'Enable Safe Mode with Command Prompt'
  • Βήμα 2: Επαναφέρετε τα αρχεία και ρυθμίσεις του συστήματος
    1. Μόλις εμφανιστεί το παράθυρο Command Prompt, εισάγετε cd restore και click Enter. Εισάγετε 'cd restore' χωρίς εισαγωγικά και πατήστε 'Enter'
    2. Πληκτρολογήστε rstrui.exe και πατήστε ξανά Enter . Εισάγετε 'rstrui.exe' χωρίς εισαγωγικά και πατήστε 'Enter'
    3. Όταν εμφανιστεί νέο παράθυρο, click Next κι επιλέξτε το σημείο επαναφοράς πριν τη διείσδυση του GandCrab. Κατόπιν, click Next. Όταν εμφανιστεί το παράθυρο 'System Restore', επιλέξτε   'Next' Επιλέξτε το σημείο επαναφοράς και click 'Next'
    4. Μετά, click Yes για να ξεκινήσει η επαναφορά του συστήματος. Click 'Yes' και ξεκινήστε την επαναφορά συστήματος
    Μόλις επαναφέρεις το σύστημα σε παλαιότερη ημερομηνία, θα πρέπει να κατεβάσεις και να σκανάρεις το σύστημα του υπολογιστή με Reimage έτσι ώστε να βεβαιωθείς ότι η αφαίρεση GandCrab έχει ολοκληρωθεί με επιτυχία.

Μπόνους: Ανάκτηση δεδομένων

Ο συγκεκριμένος οδηγός έχει δημιουργηθεί για να σε βοηθήσει να αφαιρέσεις ολοκληρωτικά GandCrab από τον υπολογιστή σου. Για να ανακτήσεις τα κρυπτογραφημένα αρχεία σου, συνιστούμε να ακολουθήσεις προσεκτικά τις οδηγίες που ετοίμασαν οι ioys.gr ειδικοί σε θέματα διαδικτυακής ασφάλειας και συστημάτων.

Εάν τα αρχεία σου έχουν κρυπτογραφηθεί από GandCrab, τότε μπορεί να χρησιμοποιήσεις αρκετές μεθόδους για την επαναφορά τους:

Το Data Recovery Pro μπορεί να σε βοηθήσει να ανακτήσεις το σύνολο ή σημαντικό μέρος των κρυπτογραφημένων αρχείων

Αποτελεί ένα εξαιρετικό εργαλείο ανάκτησης δεδομένων (tool for data recovery), μιας και δεν απαιτεί άλλες ενεργοποιημένες λειτουργίες στο σύστημα. Σημείωση: Είναι επίσης χρήσιμο σε περίπτωση που έχεις χάσει δεδομένα λόγω κρασαρίσματος του συστήματος.

  • Λήψη Data Recovery Pro (http://ioys.gr/download/data-recovery-pro-setup.exe)
  • Ακολούθησε τα βήματα του Data Recovery Setup και εγκατάστησε το πρόγραμμα στον υπολογιστή σου
  • Κατόπιν, άνοιξέ το και προχώρα σε σάρωση συστήματος για τον εντοπισμό κρυπτογραφημένων αρχείων από τον ιό GandCrab ransomware
  • Προχώρα σε επαναφορά τους.

Η λειτουργία Windows Previous Versions Feature μπορεί να βοηθήσει στην ανάκτηση κρυπτογραφημένων αρχείων

Με την λειτουργία Windows Previous Versions μπορείς ουσιαστικά να 'ταξιδέψεις' πίσω στο παρελθόν του συστήματος του υπολογιστή σου, στην χρονική περίοδο πριν την επίθεση του ιού ransomware. Βεβαίως, για να μπορέσεις να το κάνεις, θα πρέπει να είχες προνοήσει να ενεργοποιήσεις την λειτουργία Επαναφοράς Συστήματος (System Restore) πριν την επίθεση του ιού ransomware.

  • Επέλεξε ένα κρυπτογραφημένο αρχείο που θες να επαναφέρεις και κάνε δεξί click πάνω του
  • Επέλεξε “Properties” και πήγαινε στην καρτέλα “Previous versions”
  • Εδώ, τσέκαρε όλες τις διαθέσιμες copies του αρχείου σε “Folder versions”. Θα πρέπει να επιλέξεις την έκδοση που επιθυμείς να ανακτήσεις και click “Restore”.

Το GandCrab decryptor είναι διαθέσιμο

Οι ειδικοί κατάφεραν να αναπτύξουν και να κυκλοφορήσουν ένα εξαιρετικό λογισμικό αποκρυπτογράφησης για την περίπτωση του ιού GandCrab ransomware. Μπορείς να το λάβεις εδώ. Δυστυχώς, δε μπορεί να αποκρυπτογραφήσει αρχεία που έχουν κρυπτογραφηθεί από τις πιο καινούριες εκδόσεις του συγκεκριμένου malware. Αν αντιμετωπίσεις αυτό το πρόβλημα, προσπάθησε να δοκιμάσεις κάποια από τις άλλες εναλλακτικές μεθόδους ανάκτησης δεδομένων που αναφέραμε πιο πάνω.

Τέλος, καλό είναι να φροντίζετε για την προστασία του υπολογιστή σας από κυβερνο-εισβολές κακόβουλων λογισμικών, όπως τα crypto-ransomwares. Για να 'θωρακίσετε' λοιπόν τον υπολογιστή σας από GandCrab κι άλλα ransomwares, τότε σας συνιστούμε να χρησιμοποιήσετε ένα πλήρως ενημερωμένο κι αξιόπιστο anti-spyware, όπως πχ. Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus ή Malwarebytes Anti Malware

Σχετικά με συντάκτη

Julie Splinters
Julie Splinters - Ειδικός στην αφαίρεση malware

Εάν ο δωρεάν οδηγός αφαίρεσης σας φάνηκε χρήσιμος και μείνατε ευχαριστημένοι από τις υπηρεσίες μας, τότε θα εκτιμούσαμε αν μας βοηθούσατε οικονομικά μέσω δωρεάς σας για να συνεχίσουμε το έργο μας. Ακόμα και το μικρότερο ποσόν θα εκτιμηθεί!

Επικοινώνησε με Julie Splinters
Σχετικά με την εταιρεία Esolutions

Οδηγίες αφαίρεσης σε άλλες γλώσσες