Αφαίρεση ιού GandCrab 5.2 (Bonus: Βήματα Αποκρυπτογράφησης ) - ενημερώθηκε Μάιος 2019

Τι είναι το Ιός GandCrab 5.2 ransomware?

Ο ιός GandCrab 5.2 είναι ένας ιός ransomware ο οποίος κυκλοφόρησε αμέσως μετά το λανσάρισμα του λογισμικού αποκρυπτογράφησης των προηγούμενων εκδόσεων, Bitdefender decryptor

Ο ιός GandCrab 5.2 είναι ένας επικίνδυνος ιός κρυπτογραφήσεων (βλ. cryptovirus) ο οποίος κυκλοφόρησε αμέσως μετά το λανσάρισμα του λογισμικού αποκρυπτογράφησης για όλες τις προηγούμενες εκδόσεις του, συμπ. της έκδοσης GandCrab 5.1. Να σημειωθεί πως ο συγκεκριμένος είναι ένας από τους πλέον επικίνδυνους ιούς κρυπτογραφήσεων που κυκλοφορούν αυτή τη στιγμή στο διαδίκτυο μολύνοντας συστήματα υπολογιστών μέσω παραπλανητικών phishing emails, exploit kits, ψευδών ενημερώσεων, κι άλλων μεθόδων διαδικτυακής προώθησης.

Ο ιός GandCrab 5.2 τρέχει έναν ασφαλή και ιδιαιτέρως προηγμένο αλγόριθμο κρυπτογραφήσεων που κρυπτογραφεί και μπλοκάρει την πρόσβαση των χρηστών σε σημαντικά αρχεία. Κατόπιν, απαιτεί λύτρα από τον εκάστοτε χρήστη-θύμα ώστε να αποκρυπτογραφήσει τα κρυπτογραφημένα αρχεία και έτσι ο εκάστοτε χρήστης-θύμα να ανακτήσει πρόσβαση στα πολύτιμα αρχεία του.

Τα προσωπικά δεδομένα που κρυπτογραφούνται αποκτούν κακόβουλη .[random] επέκταση αρχείο. Στο χρήστη-θύμα εμφανίζεται σημείωμα λύτρων (ransom note) με [random]-DECRYPT.txt επέκταση αρχείου. Το σημείωμα λύτρων εμφανίζεται σε κάθε φάκελο που εμπεριέχει κρυπτογραφημένα αρχεία. Φαίνεται πως υπάρχουν κάποιες αλλαγές στη συγκεκριμένη έκδοση συγκρητικά με τις προηγούμενες εκδόσεις. Το ύψος των λύτρων είναι διαφορετικό ($550 πληρωτέα σε Dash ή BTC), όπως διαφορετικές είναι και οι οδηγίες πληρωμής μέσω του Tor browser.

Μόλις σε λίγες μέρες από την ανακάλυψή του, οι ειδικοί ερευνητές σε θέματα malware ανέφεραν περισσότερα από 10 παραδείγματα που ανέβηκαν από τους χρήστες-θύματα. Εκτός από τον μη αποκρυπτογραφήσιμο GandCrab 5.2 που εξαπλώνεται ταχύτατα στο διαδίκτυο, οι ερευνητές διαπίστωσαν οτι η έκδοση V5.1 συνεχίζει να εξαπλώνεται διαδικτυακά με τη βοήθεια του Fallout EK.

Εάν ανακάλυψες πρόσφατα οτι ο ιός GandCrab 5.2 έχει διεισδύσει και μολύνει το σύστημα του υπολογιστή σου, θα πρέπει να προβείς άμεσα σε ολοκληρωτική αφαίρεση αυτού του επικίνδυνου ιού ransomware. Να σημειωθεί πως δεν είναι δυνατή (προς το παρόν τουλάχιστον) η αποκρυπτογράφηση των αρχείων που κρυπτογραφεί η συγκεκριμένη πρόσφατη έκδοση του ιού ransomware GandCrab.

Είναι ολοφάνερο πως οι developers του ιού GandCrab 5.2 είχαν δώσει ιδιαίτερη έμφαση στο γρήγορο λανσάρισμα της νέας έκδοσης του ιού. Σχεδόν όλες οι λειτουργίες των προηγούμενων εκδόσεων έχουν αναβαθμιστεί στην έκδοση V5.2:

• η επέκταση αρχείου που μπαίνει σε κάθε κρυπτογραφημένο αρχείο αποτελείται από 5-10 τυχαίους χαρακτήρες
• το σημείωμα λύτρων εμφανίζεται στον χρήστη-θύμα μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης, συγκεκριμένα εμφανίζεται στην επιφάνεια εργασίας του υπολογιστή
• στο σημείωμα λύτρων εμπεριέχονται πληροφορίες σχετικά με τη μέθοδο πληρωμής και παίρνει όνομα βάσει του προσαρτήματος αρχείου (file appendix)
• Το [random]-DECRYPT.txt σημείωμα λύτρων προσπαθεί να πείσει τον εκάστοτε χρήστη-θύμα να πληρώσει τα απαιτούμενα λύτρα μέσω σχετικών TOR browser συνδέσμων, αυτό σημαίνει οτι δεν υπάρχουν emails επικοινωνίας.

Το [random]-DECRYPT.txt είναι ένα μοτίβο σημειώματος λύτρων που εμφανίζεται μόλις ο ιός GandCrab 5.2 ransomware ολοκληρώσει με επιτυχία την κρυπτογράφηση των αρχείων στο σύστημα-στόχο. Σε γενικές γραμμές το περιεχόμενό του είναι το εξής:

—= GANDCRAB V5.2 =—

UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED
FAILING TO DO SO WIL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension:

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only and only we can recover your files.

The server with your key is in a closed network TOR. You can get there by the following ways:

—————————————————————————————–

| 0. Download Tor browser – https://www.torproject.org/

| 1. Install Tor Browser
| 2. Open Tor Browser
| 3. Open link in TOR browser http://gandcrabmfe6mnef.onion/ b6314679c4ba3647/
| 4. Follow the instructions on this page

—————————————————————————————–

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DΑTA BELOW

—BEGIN GANDCRAB KEY—
–
—END GANDCRAB KEY—

—BEGIN PC DATA—
–
—END PC DATA—

Ο ιός GandCrab 5.2 ransomware αποτελεί την πιο πρόσφατη έκδοση της κακόφημης οικογένειας ιών διατηρώντας πολλά από τα χαρακτηριστικά των προηγούμενων εκδόσεων

Οι developers του GandCrab V5.2 φημίζονται για την ικανότητά τους να δημιουργούν εξαιρετικά επικίνδυνους και καταστροφικούς ιούς κρυπτογράφησης (βλ. cryptovirus). Αυτή είναι η πλέον πρόσφατη έκδοση, την οποία ανακάλυψε ο Tamas Boczan – ένας ταλαντούχος malware ερευνητής, ο οποίος έκανε σχετική αναφορά στο Twitter όπου συμπεριέλαβε δέκα malware παραδείγματα και την ανάλυσή του.

Οι ειδικοί σε θέματα διαδικτυακής ασφάλειας συνιστούν τη χρήση εργαλείων ασφαλείας για την αυτόματη αφαίρεση του ιού GandCrab 5.2, όπως πχ. το εξαιρετικό FortectIntego ή το SpyHunter 5Combo Cleaner. Αυτή η έκδοση του ιού malware κυκλοφορεί με διάφορα ονόματα, όπως πχ. TR/AD.GandCrab.tvnwv, Win32:Malware-gen, RDN/Generic.grp, Trojan:Win32/Dynamer!rfn, Ransom.GandCrab, κτλ.

Σύμφωνα με το σημείωμα λύτρων, ο χρήστης-θύμα καλείται να μπει στον TOR browser και μέσω αυτού να εισέλθει στον ιστότοπο πληρωμών. Μόλις το κάνει αυτό, θα δει παράθυρο με το ύψος των λύτρων και αναλυτικές οδηγίες για τη διεκπεραίωση της πληρωμής των λύτρων. Όπως οι προηγούμενες εκδόσεις, έτσι και ο ιός GandCrab 5.2 ransomware απαιτεί η πληρωμή των λύτρων να γίνει σε DASH ή Bitcoin κρυπτονόμισμα. Ωστόσο, το ύψος των λύτρων ενδέχεται να ποικίλλει αναλόγως του αριθμού των κρυπτογραφημένων αρχείων, την εθνικότητα του χρήστη-θύματος, κι άλλων παραγόντων. Μάλιστα, το ύψος των λύτρων έχει φτάσει ακόμα και τα $2.400, ωστόσο συνήθως οι χρήστες αναφέρουν οτι τα λύτρα κυμαίνονται κοντά στα $550.

Παρόλο που οι developers του ιού GandCrab 5.2 υπόσχονται δωρεάν αποκρυπτογράφηση ενός αρχείου και εγγυώνται πλήρη αποκρυπτογράφηση για όλα τα κρυπτογραφημένα αρχεία μόλις πληρωθούν τα λύτρα, οι χρήστες-θύματα δε θα πρέπει να ξεχνούν οτι πρόκειται για ύπουλους κυβερνο-εγκληματίες που σε καμιά περίπτωση δε μπορούν να χαρακτηριστούν ως έμπιστοι και αξιόπιστοι σε αυτά που υπόσχονται. Άλλωστε, ο απώτερος στόχος των κυβερνο-εγκληματιών είναι η μεγιστοποίηση των κερδών τους από το μέγιστο δυνατό αριθμό χρηστών-θυμάτων.

Στην περίπτωση που βρεθείς στη δυσάρεστη θέση να διαπιστώσεις πως το σύστημα του υπολογιστή σου έχει μολυνθεί απ' αυτό τον επικίνδυνο και άκρως καταστροφικό ιό κρυπτογραφήσεων, σε συμβουλεύουμε να προβείς άμεσα στην ολοκληρωτική αφαίρεση του GandCrab 5.2 και να μην πληρώσεις τα λύτρα που απαιτούν οι κυβερνο-εγκληματίες. Σίγουρα, αντιλαμβανόμαστε οτι κάποια ή όλα από τα κρυπτογραφημένα αρχεία ενδέχεται να είναι πολύ σημαντικά για σένα, ωστόσο η νο1 προτεραιότητά σου θα πρέπει να είναι ο εντοπισμός και η ολοκληρωτική αφαίρεση του επικίνδυνου αυτού malware. Τότε, και μόνο τότε, μπορείς να προχωρήσεις σε ανάκτηση των κρυπτογραφημένων αρχείων σου μέσω backups ή χρησιμοποιώντας λογισμικό ανάκτησης κρυπτογραφημένων αρχείων.

Οι spam email επισυνάψεις κρύβουν μολυσμένα αρχεία που εκτελούν το κακόβουλο φορτίο του ιού ransomware

Όσο πλοηγείσαι στο διαδίκτυο, λογικά θα σου εμφανίζονται ειδοποιήσεις όταν επισκέπτεσαι sites που έχουν μολυνθεί και/ή προωθούν phishing ή malware κακόβουλα λογισμικά. Βεβαιώς, για να σου εμφανίζονται ειδοποιήσεις ασφαλείας θα πρέπει να έχεις εγκαταστημένο στον υπολογιστή σου, και πλήρως λειτουργικό, ένας ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας anti-malware. Ωστόσο, όσον αφορά τα spam emails δε μπορείς να γνωρίζεις με απόλυτη σιγουριά εάν το κάθε email που λαμβάνεις είναι ασφαλές κι αξιόπιστο ή όχι. Οφείλεις κάθε φορά να το εξακριβώνεις χειροκίνητα. Μπορείς να σκανάρεις το επισυναπτόμενο αρχείο, εάν έχει, πριν το ανοίξεις ώστε να ελαχιστοποιείς τις πιθανότητες ανοίγματος / αποθήκευσης κακόβουλου αρχείου στο σύστημα του υπολογιστή σου.

Δυστυχώς, εάν δε το κάνεις αυτό κάθε φορά που ανοίγεις ένα email με επισύναψη τότε αυξάνεις κατακόρυφα τις πιθανότητες να μολυνθεί το σύστημα του υπολογιστή σου με με κακόβουλα malware. Αρκεί να ανοίξεις μια μολυσμένη επισύναψη ενός πχ. μολυσμένου PDF ή Word εγγράφου. Αυτά τα emails περιλαμβάνουν πολλές φορές ονόματα γνωστών υπηρεσιών / εταιρειών ώστε να ξεγελούν ευκολότερα τους χρήστες. Μόλις το κακόβουλο script ενεργοποιηθεί, ενεργοποιείται αυτόματα το κακόβουλο φορτίο του ιού ransomware ή δίνεται πρόσβαση στην κρυφή κι αυθαίρετη διείσδυση διαφόρων ειδών κακόβουλα προγράμματα.

Προχώρησε σε άμεση εκκαθάριση συστήματος από τον ιό GandCrab 5.2 επειδή διαφορετικά κινδυνεύεις με περαιτέρω απώλειες

Στην περίπτωση που διαπιστώσεις οτι το σύστημα του υπολογιστή σου έχει μολυνθεί, σε συμβουλεύουμε να προβείς άμεσα σε ολοκληρωτική αφαίρεση του ιού GandCrab 5.2 ransomware. Μπορείς να τα καταφέρεις εύκολα με τη χρήση ενός πλήρως ενημερωμένου κι αξιόπιστου λογισμικού ασφαλείας anti-malware. Αυτά τα αυτοματοποιημένα εργαλεία ασφαλείας έχουν τη δυνατότητα αποτελεσματικής σάρωσης στο σύνολο του συστήματος, καθώς και τον εντοπισμό τυχόν κακόβουλων προγραμμάτων / αρχείων που κατάφεραν να διεισδύσουν κρυφά στο σύστημα του υπολογιστή.

Με την ολοκλήρωση της αναλυτικής σάρωσης συστήματος με τη χρήση αξιόπιστου λογισμικού ασφαλείας, όπως πχ. FortectIntego, SpyHunter 5Combo Cleaner ή Malwarebytes, θα εμφανιστούν προτάσεις αφαίρεσης του GandCrab 5.2 και εκκαθάρισης του υπολογιστή. Θα πρέπει να ακολουθήσεις τα βήματα ώστε να αφαιρέσεις ολοκληρωτικά τον ιό και να επιδιορθώσεις τυχόν ζημιές μπορεί να προκάλεσε ο ιός στο σύστημα. Συνιστούμε να προβείς σε επαναληπτική σάρωση με άλλο παρόμοιο πρόγραμμα και να διπλοτσεκάρεις οτι το σύστημα έχει καθαρίσει πλήρως πριν συνδέσεις το σύστημα του υπολογιστή με backup συσκευή ώστε να ανακτήσεις τα αρχεία που κρυπτογράφησε ο ιός ransomware.

Ο ιός GandCrab 5.2 ransomware αποτελεί την πιο πρόσφατη έκδοση της γενικότερης οικογένειας ιών GandCrab. Δυστυχώς, δεν υπάρχουν διαθέσιμα αξιόπιστα εργαλεία αποκρυπτογράφησης για τη συγκεκριμένη έκδοση του ιού. Ωστόσο, μπορείς να μάθεις περισσότερες πληροφορίες σε άρθρα που σχετίζοντια με παλαιότερες εκδόσεις του ιού.