Αφαίρεση ιού GandCrab - 2018 ενημέρωση
Οδηγός Απεγκατάστασης του ιού GandCrab
Τι είναι το GandCrab ransomware?
GandCrab ransomware – Ένας crypto-ιός ο οποίος εξαπλώνεται διαδικτυακά με τη βοήθεια του Magnitude Exploit Kit
Ο GandCrab είναι αυτή τη στιγμή ένας από τους πιο διάσημους ιούς ransomware του 2018 και έχει μολύνει ήδη περισσότερους από 50,000 Η/Υ αποφέροντας περισσότερα από $600,000 κέρδη στους developers του. Πρωτο-ανακαλύφθηκε τον Ιανουάριο και συνεχίζει να λαμβάνει νέες ενημερώσεις, να εξελίσσεται, και να αναπροσαρμόζει τις τεχνικές της διαδικτυακής του εξάπλωσης.
Αρχικά, εξαπλώθηκε διαδικτυακά μέσω διαφόρων social engineering καμπανιών και malspam. Το τελευταίο διάστημα έχει παρατηρηθεί ότι βασίζει τη διαδικτυακή του εξάπλωση κυρίως στο Magnitude Exploit Kit (EK), το οποίο έχει ήδη χρησιμοποιηθεί ευρέως για τη διαδικτυακή εξάπλωση του Magniber ransomware. Επιπρόσθετα, θα πρέπει να σημειωθεί ότι μετά την .gdcb κακόβουλη επέκταση αρχείου για το μαρκάρισμα των κρυπτογραφημένων αρχείων, πλέον, φαίνεται ότι ο ιός GandCrab χρησιμοποιεί την .crab κακόβουλη επέκταση αρχείου.
Όνομα | GandCrab |
---|---|
Τύπος malware | Ransomware |
Ανακαλύφθηκε | January 30, 2018 |
Συστήματα που επηρεάζει | Windows |
Επέκταση που προστίθεται στα μολυσμένα αρχεία | .gdcb, .crab |
Σημείωμα Λύτρων (Ransom note) | GDCB-DECRYPT.txt |
Ύψος λύτρων | 1.54 DASH ($ 1126) |
Αποκρυπτογραφείται | Yes |
Εκδόσεις | GandCrab v2 |
Μέτα από δυο μήνες δράσης, φάνηκε ότι ο ιός ransomware ‘ηττήθηκε’, όταν οι εξιδεικευμένες τεχνικές ομάδες της Ρουμανικής Αστυνομίας, του Bitdefender και της Europol, κατάφεραν να εντοπίσουν ‘τρωτό’ σημείο στον κώδικα του ιού ransomware που τους επέτρεψε να χακάρουν τους κυβερνο-εγκληματίες. Έτσι, το Bitdefender δημιούργησε και κυκλοφόρησε το δωρεάν λογισμικό αποκρυπτογράφησης GandCrab decryptor, το οποίο και είναι διαθέσιμο στο NoMoreRansom.
Ωστόσο, δεν κατάφερε να σταματήσει για πολύ καιρό τους hackers που ανέπτυξαν τον συγκεκριμένο ιό. Η δεύτερη έκδοση του ιού GandCrab virus συνεχίζει να προωθείται διαδικτυακά μέσω spam καμπανιών. Σε αυτή την περίπτωση, οι hackers απαιτούν από τους χρήστες-θύματα, ως λύτρα απελευθέρωσης, να πληρώσουν 1.54 DASH ώστε να λάβουν το ‘πολυπόθητο’ κλειδί αποκρυπτογράφησης (decryption key). Παρόλο που οι χρήστες-θύματα μπορούν να αποκρυπτογραφήσουν τα αρχεία που κρυπτογράφησε η αρχική έκδοση του ιού, οι κυβερνο-εγκληματίες ανέπτυξαν και κυκλοφόρησαν μια βελτιωμένη νέα έκδοση με το όνομα GandCrab v2.
Μάλιστα, κατάφεραν να καλύψουν το ‘τρωτό σημείο’ που είχε εντοπιστεί στον κώδικα του ιού ransomware, πράγμα που σημαίνει ότι ο διαθέσιμος δωρεάν αποκρυπτογράφος είναι άχρηστος σε περιστατικά κρυπτογραφημένων αρχείων που αφορούν τη συγκεκριμένη νέα έκδοση. Έχει διαπιστωθεί ότι η νέα έκδοση του ιού προσθέτει στα κρυπτογραφημένα αρχεία την .CRAB κακόβουλη επέκταση αρχείου. Αυτός είναι ο λόγος που πολλοί ονομάζουν την νέα έκδοση του ιού, .CRAB file extension virus (ιός κακόβουλης επέκτασης αρχείων .CRAB).
Ο συγκεκριμένος ιός ransomware εξαπλώνεται διαδικτυακά και ως Ransomware-as-aService (Raas) στο Ρωσικό σκοτεινό web. Σύμφωνα με το Check Point, οι χάκερς έχουν καταφέρει να κερδίσουν ήδη πάνω από 600,000 USD από λύτρα που πλήρωσαν οι χρήστες-θύματα. Σε αυτή την μεγάλη επιτυχία σημαντικό ρόλο έπαιξε και το GandCrab Affiliate Program. Διαπιστώθηκε ότι οι ransomware developers για να δελεάσουν τους απανταχού κυβερνο-εγκληματίες, προσφέρουν ποσοστά που αγγίζουν ακόμα και το 60% με 70% από τα κέρδη του ιού ransomware, καθώς και 24/7 τεχνική υποστήριξη.
Σύμφωνα με τα στοιχεία πρόσφατων ερευνών, το συγκεκριμένο crypto-malware έχει ήδη πάνω από 100 ενεργούς affiliates (συνεργαζόμενους τρίτους στο πλαίσιο του κοινοπρακτικού μάρκετινγκ, βλ. affiliate marketing). 80 απ’ αυτούς τους affiliates έχουν εξαπλώσει διαδικτυακά πάνω από 700 δείγματα του malware. Θα πρέπει να σημειωθεί ότι περισσότερο από το 70% των μολυσμένων υπολογιστών βρίσκονται σε Ηνωμένο Βασίλειο και ΗΠΑ και είναι ξεκάθαρο ότι στοχοποιεί ως επί το πλείστον Αγγλόφωνους χρήστες.
Στα μέσα του Απριλίου 2018, οι ransomware ερευνητές ανέφεραν ότι το Magnitude EK άλλαξε σε διαδικτυακή εξάπλωση του GandCrab ransomware. Έως πρότινος, χρησιμοποιούνταν για τη διαδικτυακή εξάπλωση του Magniber ransomware στοχοποιώντας τους netizens της Νότιας Κορέας. Πλέον, φαίνεται ότι στοχοποιεί ακόμα και χρήστες σε Σκανδιναβικές χώρες. Στην περίπτωση που έχεις ακόμα και την παραμικρή υποψία ότι ο ιός GandCrab ransomware έχει διεισδύσει και μολύνει το σύστημα του υπολογιστή σου, σε συμβουλεύουμε να προβείς άμεσα σε ολοκληρωτική αφαίρεσή του χρησιμοποιώντας το εξαίρετο και πολυδοκιμασμένο λογισμικό ασφαλείας FortectIntego.
Το exploit kit εκμεταλλεύεται μια fileless τεχνική που χρησιμοποιείται για την εκτέλεση του ransomware φορτίου το οποίο έχει κωδικοποιηθεί μέσω VBScript.Encode/JScript.Encode scrip και διεισδύει στη μνήμη. Όταν το ransomware φορτίο εκτελείται, ο ιός ransomware ‘ριζώνει’ στο explorer.exe αρχείο και ωθεί τον υπολογιστή σε επανεκκίνηση. Κατόπιν, ενεργοποιείται ο κρυπτογράφος (encryptor), ο οποίος ξεκινάει να κρυπτογραφεί τα αποθηκευμένα αρχεία. Κάθε κρυπτογραφημένο αρχείο αποκτάει .CRAB κακόβουλη επέκταση αρχείου. Φαίνεται ότι το Magnitude EK χρησιμοποιείται κυρίως για τη διαδικτυακή εξάπλωση της έκδοσης GandCrab 2, ο κώδικας της οποίας δεν έχει αποκρυπτογραφηθεί ακόμα.
Ο ιός GandCrab μπορεί να εξαπλωθεί διαδικτυακά και μέσω της malvertising καμπάνιας Seamless. Μέσω αυτής, οι χρήστες-θύματα κατευθύνονται στο RIG exploit kit. Αυτό το λογισμικό έχει σχεδιαστεί να εντοπίζει τα ‘τρωτά’ σημεία του συστήματος και να τα εκμεταλλεύεται ώστε να μολύνει το σύστημα-στόχο με ιό κρυπτογράφησης ή άλλου είδους επικίνδυνο ιό.
Σύμφωνα με τους ειδικούς σε θέματα διαδικτυακής ασφάλειας, ο ιός GandCrab έχει τη τάση το τελευταίο διάστημα να εξαπλώνεται διαδικτυακά μέσω spam email μηνυμάτων με τίτλο Receipt Feb-21310 [random numbers]. Το όνομα του αποστολέα μπορεί να ποικίλει, ωστόσο το δεύτερο μέρος της email διεύθυνσης είναι πάντα @cdkconstruction.org. Το spam μήνυμα που χρησιμοποιείται από τον ιό ransomware εμπεριέχει PDF επισύναψη και “DOC attached” ως κύριο σώμα μηνύματος.
Ο ιός GandCrab βασίζεται σε .doc αρχείο το οποίο κατεβαίνει στο σύστημα μόλις ο χρήστης-θύμα κλικάρει στην κακόβουλη επισύναψη. Φαίνεται πως το .doc αρχείο τρέχει ένα PowerShell script και δημιουργεί exploit αρχείο (sct5.txt), το οποίο προς το παρόν επηρεάζει 64-bit σύστημα. Όπως τονίστηκε από πολλούς crypto-malware ερευνητές, το sct5.txt αρχείο δεν τρέχει όλο το φορτίο του ιού GandCrab virus, αλλά εκτελεί ένα exploit και τρέχει ως το μέσον (medium) που θα βοηθήσει το malware να διεισδύσει στο σύστημα.
Μόλις καταφέρει να διεισδύσει στο σύστημα-στόχο, ο ιός GandCrab ξεκινάει να κρυπτογραφεί τα πολυτιμότερα αποθηκευμένα δεδομένα. Μόλις ολοκληρωθεί η κρυπτογράφηση, ο χρήστης-θύμα δε μπορεί πλέον να αποκτήσει πρόσβαση στα κρυπτογραφημένα αρχεία. Με την ολοκλήρωση της διαδικασίας κρυπτογράφησης, ο ιός εμφανίζει σημείωμα λύτρων με GDCB-DECRYPT.txt όνομα αρχείου:
—= GANDCRAB =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this pageOn our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!
Μόλις ο χρήστης-θύμα ακολουθήσει τις οδηγίες του σημειώματος λύτρων, θα ανακατευθυνθεί στο GandCrab decryptor site. Εκεί, θα ενημερωθεί ότι το ύψος των λύτρων είναι περίπου $1200) πληρωτέο σε DASH, ενώ ακόμα υπάρχει chat υποστήριξης, η DASH διεύθυνση, καθώς και ευκαιρία να ανεβάσει ένα αρχείο για δωρεάν αποκρυπτογράφηση ώστε να πειστεί ότι ο αποκρυπτογράφος δουλεύει.
Θα πρέπει να σημειωθεί ότι ο ιός GandCrab ransomware αναγνωρίζει συγκεκριμένη χρονική περίοδο που επιτρέπεται στον χρήστη να προβεί στην οικονομική συναλλαγή, διαφορετικά το ύψος των λύτρων μπορεί να διπλασιαστεί. Αυτή είναι άλλη μια μέθοδος πίεσης ώστε να ωθήσουν το μέγιστο αριθμό χρηστών να πληρώσουν τα λύτρα χωρίς να προλάβουν οι χρήστες να ζυγίσουν τα υπερ και τα κατά ή να σκεφτούν εναλλακτικές μιας τέτοιας απόφασης.
Με άλλα λόγια, στην περίπτωση που βρεθείς σε αυτή τη δυσάρεστη κατάσταση, σε συμβουλεύουμε να ΜΗΝ ακολουθήσεις τις οδηγίες των κυβερνο-εγκληματιών μιας και υπάρχουν εναλλακτικοί τρόπο επαναφοράς της πρόσβασης στα κρυπτογραφημένα αρχεία, όπως πχ. η χρήση του λογισμικού αποκρυπτογράφησης που έχει αναπτυχθεί από ειδικούς. Πριν σκεφτείς και δοκιμάσεις τις όποιες εναλλακτικές, άμεση προτεραιότητά σου είναι ο εντοπισμός και η ολοκληρωτική αφαίρεση του ιού GandCrab.
Οι ειδικοί της NoVirus.uk έχουν ήδη προειδοποιήσει τους χρήστες-θύματα ότι ο συγκεκριμένος ιός είναι ένας εξαιρετικά επικίνδυνος ιός και η αφαίρεσή του θα πρέπει να γίνει αποκλειστικά από εξιδεικευμένο τεχνικό προγραμματιστή υπολογιστών ή με τη χρήση ενός πλήρως ενημερωμένου, αξιόπιστου, και ικανού λογισμικού ασφαλείας antivirus.
Ο ιός GandCrab ransomware είναι ένας ιός κρυπτογράφησης αρχείων (file-encrypting virus) που χρησιμοποίησε πρώτος το κρυπτονόμισμα DASH για την πληρωμή λύτρων.
Για την αποτελεσματική, γρήγορη, εύκολη, και ασφαλή ολοκληρωτική αφαίρεση του ιού GandCrab προτείνουμε τη χρήση κάποιου εξ αυτών των πλέον αξιόπιστων λογισμικών ασφαλείας: FortectIntego ή Malwarebytes. Φυσικά, μπορεί να επιλεχθεί και κάποιο άλλο λογισμικό ασφαλείας anti-malware για τον εντοπισμό και την ολοκληρωτική αφαίρεση αυτού του επικίνδυνου ιού κρυπτογράφησης αρχείων, αρκεί βεβαίως να είναι παρομοίων δυνατοτήτων και αξιοπιστίας. Στο τέλος του άρθρου μπορείς να βρεις αναλυτικές οδηγίες σχετικά με τη διαδικασία εξουδετέρωσης του ιού.
Και κάτι πολύ σημαντικό! ΜΗΝ προσπαθήσεις να αφαιρέσεις χειροκίνητα τον ιό GandCrab. Τέτοιου είδους περίπλοκες και εξελιγμένες ransomware κυβερνο-μολύνσεις έχουν σχεδιαστεί πολύ προσεκτικά ώστε να περνούν όσο πιο απαρατήρητες γίνεται και μάλιστα έχουν τη τάση να ‘μεταμφιέζονται’ με πολύ μεγάλη επιτυχία σε γνωστές, νόμιμες συστημικές διεργασίες. Η αφαίρεση σημαντικών συστημικών αρχείων μπορεί να οδηγήσει σε πολύ σημαντικά συστημικά προβλήματα, καθώς και επανεμφάνιση του crypto-malware. Είναι πολύ σημαντικό να ακολουθήσεις προσεκτικά και βήμα προς βήμα τις παρακάτω οδηγίες που ετοίμασαν οι ειδικοί μας.
Λίστα με GandCrab ransomware εκδόσεις
.GDCB file extension virus. Αυτή η έκδοση του ιού GandCrab virus εντοπίστηκε περίπου δυο εβδομάδες μετά την κυκλοφορία της αρχικής έκδοσης. Όπως ο προκάτοχός του, έτσι και αυτός ο ιός εξαπλώνεται διαδικτυακά μέσω μολυσμένων spam email επισυνάψεων και ενεργοποιείται μόλις ανοιχθεί από τον χρήστη η μολυσμένη επισύναψη.
Στοχοποιεί τους δημοφιλέστερους τύπους αρχείων, όπως πχ. .doc, .txt, .jpg, .png, .audio, .video, κλπ. Κάθε κρυπτογραφημένο αρχείο αποκτάει .GDCB κακόβουλη επέκταση αρχείου. Μόλις ολοκληρωθεί η διαδικασία της κρυπτογράφησης, ο ιός εμφανίζει στο desktop σημείωμα λύτρων με όνομα GDCB-DECRYPT.txt . Μέσω αυτού του σημειώματος γίνεται προσπάθεια από τους hackers να πειστεί ο εκάστοτε χρήστης-θύμα να κατεβάσει το Tor browser και μέσω αυτού να προβεί σε πληρωμή των λύτρων ύψους 1.54 DASH. Μάλιστα, το ύψος των λύτρων αυξάνεται εάν ο χρήστης-θύμα αργήσει να πληρώσει.
GandCrab2. Η δεύτερη έκδοση αυτού του ιού ransomware είναι αδύνατον, προς το παρόν, να αποκρυπτογραφηθεί. Πριν κυκλοφορήσουν τη δεύτερη έκδοση, οι developers του ιού σιγουρεύτηκαν ότι κάλυψαν επιτυχώς όλα τα ‘τρωτά σημεία’ του κώδικά που είχαν εντοπιστεί στην αρχική έκδοση και αποκρυπτογραφηθεί από τους cybersecurity ειδικούς στις αρχές Μαρτίου.
Ο ιός GandCrab2 εξαπλώνεται διαδικτυακά μέσω Seamless malvertising καμπάνιας που ωθεί τους χρήστες στο RIG exploit kit. Ωστόσο, αντίθετα με τον προκάτοχό του, ο συγκεκριμένος ιός μπορεί να μολύνει συστήματα χρηστών και μέσω του HoeflerText Font Update scam.
Κάθε κρυπτογραφημένο αρχείο αποκτάει .CRAB κακόβουλη επέκταση αρχείου. Μόλις ολοκληρωθεί η διαδικασία της κρυπτογράφησης, εμφανίζει στον υπολογιστή σημείωμα λύτρων με όνομα CRAB-DECRYPT.txt. Οι hackers απαιτούν να πληρωθούν 500 USD σε κρυπτονόμισμα Dash μέσω Tor browser ώστε να δώσουν στον χρήστη-θύμα το ‘πολυπόθητο’ ιδιωτικό κλειδί αποκρυπτογράφησης (private decryption key). Παρόλο που αρχικά οι ειδικοί θεώρησαν ότι η συγκεκριμένη έκδοση αποτελεί κλώνο του προκατόχου του, φαίνεται εκ των υστέρων ότι πρόκειται για μια νέα αναβαθμισμένη έκδοση που προς το παρόν είναι αδύνατον να αποκρυπτογραφηθεί ο κώδικάς της, οπότε και δεν είναι δυνατόν ακόμα να αναπτυχθεί και να κυκλοφορήσει κάποιο δωρεάν λογισμικό αποκρυπτογράφησης (free decryptor).
Οι ειδικοί προσφέρουν δωρεάν GandCrab αποκρυπτογράφο (decryptor)
Οι ΙΤ ειδικοί του διάσημου NoMoreRansom.org project κυκλοφόρησαν επιτέλους GandCrab decryptor (αποκρυπτογράφο). Είναι διαθέσιμος προς λήψη για όποιον επιθυμεί να επαναφέρει την πρόσβαση στα κρυπτογραφημένα αρχεία με .GDCB κακόβουλη επέκταση αρχείου. Μπορείς να τον βρεις στο τέλος του άρθρου.
Οι ειδικοί σημειώνουν ότι για να χρησιμοποιηθεί αυτό το εργαλείο αποκρυπτογράφησης (decryption tool), θα πρέπει πρώτα να αφαιρεθεί ο ιός GandCrab από το σύστημα του υπολογιστή. Διαφορετικά, ο ιός ransomware θα συνεχίσει να κρυπτογραφεί τα αποθηκευμένα δεδομένα.
Προτείνουν την εγκατάσταση και χρήση επαγγελματικών λογισμικών ασφαλείας, καθώς μόνο αυτά είναι ικανά να εντοπίσουν και να αφαιρέσουν ολοκληρωτικά τον ιό ransomware από το σύστημα. Στο τέλος του άρθρου, προτείνουμε τα λογισμικά ασφαλείας που πιστεύουμε ότι είναι τα καλύτερα για δύσκολες περιπτώσεις όπως αυτή. Τώρα, εάν δεν καταφέρεις να ξαναποκτήσεις πρόσβαση στα αρχεία, που κρυπτογράφησε ο ιός, με τη χρήση του επίσημου GandCrab decryptor, υπάρχουν κάποιες άλλες εναλλακτικές που μπορεί να σε βοηθήσουν να τα καταφέρεις.
Για παράδειγμα, παρόλο που ο ιός είναι σχεδιασμένος να διαγράφει τα Shadow Volume Copies, μπορεί να αποτύχει. Σε αυτή την περίπτωση, μπορείς να εκμεταλλευτείς τον ShadowExplorer ή άλλα παρόμοια εργαλεία τρίτων τα οποία ίσως μπορέσουν να σε βοηθήσουν να ανακτήσεις πρόσβαση στα κρυπτογραφημένα αρχεία σου, σε κάποια απ’ αυτά τουλάχιστον.
Επιπρόσθετα, ο καλύτερος τρόπος για να μην πέσεις θέμα τέτοιου είδους εκβιασμών όπου θα σε ωθούν να πληρώσεις λύτρα, εάν επιθυμείς να αποκτήσεις και πάλι πρόσβαση στα κρυπτογραφημένα αρχεία σου, είναι φυσικά να κάνεις τακτικά backup τα αρχεία σου, κυρίως δε αυτά που είναι σημαντικότερα και πολυτιμότερα για σένα. Εάν δεν έκανες backup πριν την επίθεση του ιού, τότε μπορείς να τσεκάρεις τις διάφορες εναλλακτικές ανάκτησης δεδομένων (βλ. alternative data recovery methods) που θα βρεις στο τέλους του άρθρου. Φυσικά, καλό θα ήταν να δοκιμάσεις πρώτα τον επίσημο αποκρυπτογράφο για να τσεκάρεις εάν έχει αποτέλεσμα στην περίπτωσή σου ή όχι.
Η συγκεκριμένη κυβερνο-απειλή χρησιμοποιεί exploit kits για να διεισδύει σε συστήματα υπολογιστών
Τα exploits kits είναι σχεδιασμένα να εντοπίζουν ‘τρωτά σημεία’ και αδυναμίες στο σύστημα ενός υπολογιστή και βοηθούν το κακόβουλο πρόγραμμα να εκμεταλλευτεί την κατάσταση (exploit) ώστε να διεισδύσει με ευκολία στο σύστημα. Ο συγκεκριμένος ιός ransomware εξαπλώνεται διαδικτυακά τόσο χάρις στη βοήθεια του Rig exploit kit όσο και του GrandSoft exploit kit,, αλλά και του Magnitude exploit kit. Πρόκειται για προηγμένα και πολύ περίπλοκα λογισμικά που παρακάμπτουν την έγκριση του χρήστη και προχωρούν σε αυθαίρετη και κρυφή λήψη κι εγκατάσταση του malware στο σύστημα.
Καλό είναι να γνωρίζεις πως τα exploit kits δεν αποτελούν το μοναδικό βοηθητικό μέσον για τη διαδικτυακή εξάπλωση αυτού του ιού ransomware. Γνωρίζοντας ότι η πλειοψηφία των netizens είναι ιδιαιτέρως απρόσεκτη, οι κυβερνο-εγκληματίες εκμεταλλεύονται αυτή την κατάσταση και αποστέλουν σε μαζική κλίμακα παραπλανητικά spam emails που εμπεριέχουν κακόβουλες επισυνάψεις. Συνήθως, αυτά τα emails εμφανίζονται ως δήθεν τιμολόγια, ειδοποιητήρια, ή άλλα σημαντικά έγγραφα από γνωστά brands και εταιρείες. Δυστυχώς, μεγάλος αριθμός χρηστών από περιέργεια και επιπόλαιη απροσεξία, ανοίγει αυτά τα emails και κατεβάζει τις μολυσμένες επισυνάψεις. Με αυτό τον τρόπο, ανοίγει η ‘Κερκόπορτα’ για τη διείσδυση κακόβουλων προγραμμάτων, όπως ο συγκεκριμένος πολύ επικίνδυνος ιός ransomware.
Όπως τονίσαμε πιο πάνω, οι developers του ιού ransomware έχουν τη τάση το τελευταίο διάστημα να εξαπλώνουν διαδικτυακά τον ιό μέσω spam emails. Ο τίτλος του email μηνύματος είναι Receipt Feb-21310 [ random numbered], με τη μόνη διαφορά ότι μπορεί να διαφέρει ο αποστολέας. Παρόλα αυτά, το δεύτερο μέρος της email διεύθυνσης παραμένει ίδιο, δλδ. @cdkconstruction.org. Το συγκεκριμένο spam email δεν εμπεριέχει μεγάλο κείμενο. Τονίζεται μόνο ότι υπάρχει DOC επισύναψη (“DOC attached”).
Επομένως, σε συμβουλεύουμε να δείχνεις ιδιαίτερη προσοχή και καχυποψία όταν περιηγείσαι στο διαδίκτυο ή ελέγχεις τα emails σου. Είναι καίριας σημασίας να δείχνεις πάντα τη δέουσα προσοχή όταν ανοίγεις emails — μπορείς να καταλάβεις αν ένα email είναι ύποπτο / spam από ορθογραφικά και συντακτικά λάθη ή όταν προσπαθεί να σε πείσει να ανοίξεις επισύναψη χωρίς να σου παρέχει πρώτα αναλυτικές πληροφορίες στο κύριο σώμα κειμένου. Κλασική ατάκα είναι όταν προσπαθεί να σε πείσει να ανοίξει την επισύναψη για περαιτέρω πληροφορίες (“for further details”). ΜΗΝ ανοίγεις επισυνάψεις από ύποπτους / άγνωστους αποστολείς, κυρίως όταν αυτές οι επισυνάψεις έχουν JS, .EXE, .COM, .PIF, .SCR, .HTA, .vbs, .wsf, .jse, .jar, επεκτάσεις αρχείου. Τέλος, σε συμβουλεύουμε να αποφεύγεις να επισκέπτεσαι ύποπτους ιστότοπους ή ιστότοπους με παράνομο/πειρατικό περιεχόμενο, καθώς είναι πολύ πιθανό η πλειοψηφία αυτών να ανήκει σε κυβερνο-εγκληματίες που τα χρησιμοποιούν για τη διαδικτυακή εξάπλωση επικίνδυνων κακόβουλων προγραμμάτων κι αρχείων.
Μάθε πώς γίνεται η ασφαλής απεγκατάσταση του ιού GandCrab και πώς μπορείς να ανακτήσεις τα κρυπτογραφημένα δεδομένα
Όταν ανακαλύψεις την παρουσία του ιού GandCrab ransomware στο σύστημα του υπολογιστή σου, η άμεση και ολοκληρωτική αφαίρεσή του είναι μονόδρομος. Για να τα καταφέρεις, συνιστούμε την αυτόματη αφαίρεση, δλδ. χρησιμοποιώντας ένα πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας. Όσο περισσότερο μένει ο ιός στον υπολογιστή σου τόσο μεγαλύτερη ζημιά μπορεί να κάνει στην εύρρυθμη λειτουργία του συστήματος και την ασφάλεια των προσωπικών σου δεδομένων. Μόλις αφαιρέσεις ολοκληρωτικά τον ιό από τον υπολογιστή, μπορείς κατόπιν να προσπαθήσεις να αποκρυπτογραφήσεις τα κρυπτογραφημένα αρχεία.
Έτσι, μόλις διαπιστώσεις την ύπαρξη κρυπτογραφημένων αρχείων στον υπολογιστή σου, επιβάλλεται η λήψη κι εγκατάσταση (εάν δεν το έχεις κάνει ήδη) ενός επαγγελματικού λογισμικού ασφαλείας. Για δύσκολες και περίπλοκες καταστάσεις, όπως η συγκεκριμένη, προτείνουμε κάποιο απ’ αυτά τα εξαίρετα και πολυδοκιμασμένα λογισμικά ασφαλείας: FortectIntego, SpyHunter 5Combo Cleaner, Malwarebytes. Το λογισμικό ασφαλείας θα προβεί σε σάρωση συστήματος, θα εντοπίσει, και θα αφαιρέσει ολοκληρωτικά τον ιό GandCrab. Δυστυχώς, αυτά τα προγράμματα, αν και ιδιαιτέρως αποτελεσματικά στον εντοπισμό και την αφαίρεση του ιού, δε μπορούν να σε βοηθήσουν στην αποκρυπτογράφηση των κρυπτογραφημένων αρχείων.
Σημείωση: Στην περίπτωση που ο ιός δε σε αφήσει να εγκαταστήσεις και να τρέξεις το anti-malware, θα χρειαστεί να κάνεις reboot (επανεκκίνηση) υπολογιστή σε Ασφαλής Λειτουργία με Δικτύωση (Safe Mode with Networking) ή να βασιστείς στην Επαναφορά Συστήματος (System Restore). Στο τέλος του άρθρου μπορείς να βρεις αναλυτικό βήμα-προς-βήμα οδηγό αφαίρεσης του ιού GandCrab. Επιπρόσθετα, η ομάδα των ειδικών μας ετοίμασε εναλλακτικές μεθόδους επαναφοράς που θα σε βοηθήσουν να επαναφέρεις τα κρυπτογραφημένα αρχεία σου, ή έστω μέρος αυτών.
Οδηγός Χειροκίνητης Αφαίρεσης του ιού GandCrab
Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
H επανεκκίνηση (rebooting) του υπολογιστή σου σε Ασφαλής Λειτουργία με Δικτύωση (Safe Mode with Networking) είναι το πρώτο βήμα στη διαδικασία εξουδετέρωσης αυτού του επικίνδυνου ιού ransomware.
Σημαντικό! →
Ο οδηγός χειροκίνητης αφαίρεσης ενδέχεται να φανεί πολύ περίπλοκος για χρήστες που δεν έχουν προηγμένες γνώσεις πληροφορικής. Απαιτείται προηγμένη γνώση πληροφορικής ώστε να ακολουθηθούν ορθώς όλα τα προβλεπομένα βήματα που αναγράφονται στον οδηγό, ενώ ενδέχεται να απαιτηθούν και αρκετές ώρες για την επιτυχή ολοκλήρωση (εάν σημαντικά αρχεία συστήματος αφαιρεθούν ή καταστραφούν, αυτό μπορεί να προκαλέσει σημαντικές δυσλειτουργίες ή πλήρη κατάρρευση των Windows). Δεδομένων των παραπάνω, συνιστούμε να προτιμηθεί η αυτόματη αφαίρεση.
Βήμα 1. Πρόσβαση σε Ασφαλή Λειτουργία με Δικτύωση (Safe Mode with Networking)
Για καλύτερα αποτελέσματα, συνιστούμε να γίνει η χειροκίνητη αφαίρεση κακόβουλων λογισμικών τύπου malware σε περιβάλλον Ασφαλούς Λειτουργίας.
Windows 7 / Vista / XP
- Κλικ Έναρξη (Start) > Τερματισμός Λειτουργίας (Shutdown) > Επανεκκίνηση (Restart) > OK.
- Όταν ο υπολογιστής γίνει και πάλι ενεργός, άρχισε να πατάς το κουμπί F8 (εάν αυτό δε δουλέψει, τότε δοκίμασε F2, F12, Del, κοκ. – εξαρτάται από το μοντέλο της μητρικής) πολλές φορές έως ότου εμφανιστεί το παράθυρο Προηγμένες Επιλογές Εκκίνησης (Advanced Boot Options).
- Επίλεξε από τη λίστα Ασφαλής Λειτουργία με Δικτύωση (Safe Mode with Networking).
Windows 10 / Windows 8
- Δεξί κλικ στο κουμπί Έναρξης (Start) και επίλεξε Ρυθμίσεις (Settings).
- Σκρόλαρε προς τα κάτω και επίλεξε Ενημέρωση & Ασφάλεια (Update & Security).
- Στην αριστερή πλευρά, επίλεξε Αποκατάσταση (Recovery).
- Τώρα σκρόλαρε κάτω έως ότου βρεις την ενότητα Εκκίνηση για Προχωρημένους (Advanced Startup).
- Κλικ Άμεση Επανεκκίνηση (Restart now).
- Επίλεξε Αντιμετώπιση Προβλημάτων (Troubleshoot).
- Πήγαινε στις επιλογές για Προχωρημένους (Advanced).
- Επίλεξε Ρυθμίσεις Εκκίνησης (Startup Settings).
- Πάτησε Επανεκκίνηση (Restart).
- Τώρα πάτησε 5 ή κλικ 5) Ασφαλής Λειτουργία με Δικτύωση (Enable Safe Mode with Networking).
Βήμα 2. Τερμάτισε ύποπτες διεργασίες
Το Windows Task Manager (Διαχείριση Εργασιών) είναι ένα χρήσιμο εργαλείο που εμφανίζει όλες τις διεργασίες που τρέχουν στο παρασκήνιο. Εάν κάποιο κακόβουλο λογισμικό malware τρέχει μια διεργασία, πρέπει να την εντοπίσεις και να την τερματίσεις:
- Πάτησε Ctrl + Shift + Esc για να ανοίξει το Windows Task Manager (Διαχείριση Εργασιών).
- Κλικ Περισσότερες Λεπτομέρειες (More details).
- Σκρόλαρε κάτω στην ενότητα Διεργασίες Παρασκηνίου (Background processes), ψάξε για ύποπτες διεργασίες.
- Δεξί κλικ Άνοιγμα τοποθεσίας αρχείου (Open file location).
- Πήγαινε πίσω στη διεργασία και δεξί κλικ Τέλος Εργασίας (End Task).
- Διέγραψε τα περιεχόμενα του κακόβουλου φακέλου.
Βήμα 3. Τσέκαρε την Εκκίνηση Προγράμματος
- Πάτησε Ctrl + Shift + Esc για να ανοίξει το Windows Task Manager (Διαχείριση Εργασιών).
- Πήγαινε στην καρτέλα Εκκίνηση (Startup).
- Δεξί κλικ στο ύποπτο πρόγραμμα και επίλεξε Απενεργοποίηση (Disable).
Βήμα 4. Διαγραφή αρχείων ιού
Τα αρχεία που σχετίζονται με κακόβουλα λογισμικά malware μπορεί να βρεθούν σε διάφορες τοποθεσίες εντός του υπολογιστή. Αυτές οι οδηγίες θα σε βοηθήσουν να τα εντοπίσεις:
- Γράψε Disk Cleanup στη μπάρα αναζήτησης των Windows και πάτησε Enter.
- Επίλεξε τον drive που επιθυμείς να καθαρίσεις (C: είναι ο κύριος drive από προεπιλογή και είναι πολύ πιθανό να είναι αυτός όπου κρύβονται τα κακόβουλα αρχεία).
- Σκρόλαρε τη λίστα Αρχεία για Διαγραφή (Files to delete) και επίλεξε τα εξής:
Temporary Internet Files
Downloads
Recycle Bin
Temporary files - Επίλεξε Εκκαθάριση αρχείων συστήματος (Clean up system files).
- Μπορείς επίσης να ψάξεις για άλλα κακόβουλα αρχεία που μπορεί να κρύβονται στους εξής φακέλους (γράψε τα εξής στη μπάρα Αναζήτησης των Windows και πάτησε Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Μόλις τελειώσεις, προχώρησε σε επανεκκίνηση Η/Υ σε κανονική λειτουργία.
Αφαίρεση GandCrab χρησιμοποιώντας System Restore
Για να απαλλαγείς από τον ιό ransomware με τη βοήθεια Επαναφοράς Συστήματος (System Restore) ακολούθησε τα εξής βήματα:
-
Βήμα 1: Reboot υπολογιστή σε Safe Mode with Command Prompt
Windows 7 / Vista / XP- Click Start → Shutdown → Restart → OK.
- Όταν ο υπολογιστής σας γίνει και πάλι λειτουργικό, αρχίστε να πατάτε το F8 πολλές φορές έως ότου εμφανιστεί το παράθυρο Advanced Boot Options
-
Επιλέξτε Command Prompt από την λίστα
Windows 10 / Windows 8- Πατήστε το κουμπί Power στο login screen Windows. Κατόπιν, πατήστε και κρατήστε πατημένο το Shift, και click Restart .
- Τώρα, επιλέξτε Troubleshoot → Advanced options → Startup Settings και τέλος πατήστε Restart.
-
Με το που ο υπολογιστής σας γίνει και πάλι λειτουργικός, επιλέξτε το Enable Safe Mode with Command Prompt στο παράθυρο Startup Settings.
-
Βήμα 2: Επαναφέρετε τα αρχεία και ρυθμίσεις του συστήματος
-
Μόλις εμφανιστεί το παράθυρο Command Prompt, εισάγετε cd restore και click Enter.
-
Πληκτρολογήστε rstrui.exe και πατήστε ξανά Enter .
-
Όταν εμφανιστεί νέο παράθυρο, click Next κι επιλέξτε το σημείο επαναφοράς πριν τη διείσδυση του GandCrab. Κατόπιν, click Next.
-
Μετά, click Yes για να ξεκινήσει η επαναφορά του συστήματος.
-
Μόλις εμφανιστεί το παράθυρο Command Prompt, εισάγετε cd restore και click Enter.
Μπόνους: Ανάκτηση δεδομένων
Ο συγκεκριμένος οδηγός έχει δημιουργηθεί για να σε βοηθήσει να αφαιρέσεις ολοκληρωτικά GandCrab από τον υπολογιστή σου. Για να ανακτήσεις τα κρυπτογραφημένα αρχεία σου, συνιστούμε να ακολουθήσεις προσεκτικά τις οδηγίες που ετοίμασαν οι ioys.gr ειδικοί σε θέματα διαδικτυακής ασφάλειας και συστημάτων.Εάν τα αρχεία σου έχουν κρυπτογραφηθεί από GandCrab, τότε μπορεί να χρησιμοποιήσεις αρκετές μεθόδους για την επαναφορά τους:
Το Data Recovery Pro μπορεί να σε βοηθήσει να ανακτήσεις το σύνολο ή σημαντικό μέρος των κρυπτογραφημένων αρχείων
Αποτελεί ένα εξαιρετικό εργαλείο ανάκτησης δεδομένων (tool for data recovery), μιας και δεν απαιτεί άλλες ενεργοποιημένες λειτουργίες στο σύστημα. Σημείωση: Είναι επίσης χρήσιμο σε περίπτωση που έχεις χάσει δεδομένα λόγω κρασαρίσματος του συστήματος.
- Λήψη Data Recovery Pro;
- Ακολούθησε τα βήματα του Data Recovery Setup και εγκατάστησε το πρόγραμμα στον υπολογιστή σου
- Κατόπιν, άνοιξέ το και προχώρα σε σάρωση συστήματος για τον εντοπισμό κρυπτογραφημένων αρχείων από τον ιό GandCrab ransomware
- Προχώρα σε επαναφορά τους.
Η λειτουργία Windows Previous Versions Feature μπορεί να βοηθήσει στην ανάκτηση κρυπτογραφημένων αρχείων
Με την λειτουργία Windows Previous Versions μπορείς ουσιαστικά να ‘ταξιδέψεις’ πίσω στο παρελθόν του συστήματος του υπολογιστή σου, στην χρονική περίοδο πριν την επίθεση του ιού ransomware. Βεβαίως, για να μπορέσεις να το κάνεις, θα πρέπει να είχες προνοήσει να ενεργοποιήσεις την λειτουργία Επαναφοράς Συστήματος (System Restore) πριν την επίθεση του ιού ransomware.
- Επέλεξε ένα κρυπτογραφημένο αρχείο που θες να επαναφέρεις και κάνε δεξί click πάνω του
- Επέλεξε “Properties” και πήγαινε στην καρτέλα “Previous versions”
- Εδώ, τσέκαρε όλες τις διαθέσιμες copies του αρχείου σε “Folder versions”. Θα πρέπει να επιλέξεις την έκδοση που επιθυμείς να ανακτήσεις και click “Restore”.
Το GandCrab decryptor είναι διαθέσιμο
Οι ειδικοί κατάφεραν να αναπτύξουν και να κυκλοφορήσουν ένα εξαιρετικό λογισμικό αποκρυπτογράφησης για την περίπτωση του ιού GandCrab ransomware. Μπορείς να το λάβεις εδώ. Δυστυχώς, δε μπορεί να αποκρυπτογραφήσει αρχεία που έχουν κρυπτογραφηθεί από τις πιο καινούριες εκδόσεις του συγκεκριμένου malware. Αν αντιμετωπίσεις αυτό το πρόβλημα, προσπάθησε να δοκιμάσεις κάποια από τις άλλες εναλλακτικές μεθόδους ανάκτησης δεδομένων που αναφέραμε πιο πάνω.
Τέλος, καλό είναι να φροντίζετε για την προστασία του υπολογιστή σας από κυβερνο-εισβολές κακόβουλων λογισμικών, όπως τα crypto-ransomwares. Για να 'θωρακίσετε' λοιπόν τον υπολογιστή σας από GandCrab κι άλλα ransomwares, τότε σας συνιστούμε να χρησιμοποιήσετε ένα πλήρως ενημερωμένο κι αξιόπιστο anti-spyware, όπως πχ. FortectIntego, SpyHunter 5Combo Cleaner ή Malwarebytes
Προτεινόμενο/α
Μην αφήσεις την Κυβέρνηση να σε παρακολουθεί
Έχουν αναφερθεί πολλά περιστατικά με τις Κυβερνήσεις ανά τον κόσμο να υποκλέπτουν προσωπικά δεδομένα και να παρακολουθούν τη διαδικτυακή δραστηριότητα και τις διαδικτυακές προτιμήσεις των πολιτών. Καλό θα ήταν λοιπόν να λάβεις πολύ σοβαρά υπόψιν τη συγκεκριμένη κατάσταση και να ενημερωθείς για τις σκοτεινές και αθέμιτες πρακτικές συλλογής πληροφοριών. Σε συμβουλεύουμε να αποφεύγεις ύποπτες, παρασκηνιακές, σκοτεινές, αθέμιτες πρακτικές κατασκοπείας που προέρχονται από την Κυβέρνηση και διάφορους κυβερνητικούς οργανισμούς. Ο καλύτερος τρόπος για να τα καταφέρεις είναι να σερφάρεις τελείως incognito, δλδ. τελείως ανώνυμα στο διαδίκτυο.
Μπορείς να επιλέξεις διαφορετική τοποθεσία κάθε φορά που είναι να συνδεθείς online και να αποκτήσεις διαδικτυακή πρόσβαση σε οποιοδήποτε περιεχόμενο επιθυμείς, χωρίς κανέναν απολύτως περιορισμό πρόσβασης. Πλέον, θα μπορείς να απολαμβάνεις χωρίς κανένα απολύτως πρόβλημα ή έγνοια, καθώς και χωρίς κανένα άγχος μήπως χακαριστείς, χρησιμοποιώντας Private Internet Access VPN υπηρεσίες.
Έτσι, θα μπορείς να ελέγχεις τις πληροφορίες που μπορούν να γίνουν προσβάσιμες από την Κυβέρνηση και τους κρατικούς οργανισμούς, καθώς και από άλλους ανεπιθύμητους τρίτους, σερφάροντας ανενόχλητα στο διαδίκτυο χωρίς τον φόβο ότι μπορεί να σε κατασκοπεύουν. Ακόμα και αν η διαδικτυακή δραστηριότητά σου είναι καθόλα νόμιμη ή ακόμα κι αν εμπιστεύεσαι πλήρως τις διαδικτυακές υπηρεσίες, πλατφόρμες που επιλέγεις, καλό θα ήταν να προστατεύεις το ιδιωτικό σου απόρρητο και να προτιμάς να χρησιμοποιείς VPN υπηρεσίες.
Backup αρχεία για μελλοντική χρήση, στην περίπτωση malware επίθεσης
Οι χρήστες υπολογιστών μπορεί να υποστούν διαφόρων ειδών απώλειες λόγω κυβερνομολύνσεων ή λόγω λαθών στα οποία μπορεί να υποπέσουν. Τα προβλήματα λογισμικού που μπορεί να δημιουργήσει μια επίθεση από malware ή η απευθείας απώλεια δεδομένων λόγω κρυπτογράφησης, μπορεί να δημιουργήσουν προβλήματα στη λειτουργία της συσκευής ή μόνιμη βλάβη. Εάν διατηρείς σωστά και ενημερωμένα backups, μπορείς εύκολα να ανακτήσεις τα δεδομένα σου και να επιστρέψεις γρήγορα και πάλι στην κανονικότητα.
Είναι πολύ σημαντικό να δημιουργείς τακτικά ενημερωμένα backups μετά από οποιαδήποτε αλλαγή στη συσκευή, έτσι ώστε να επιστρέψεις στο σημείο πριν την επίθεση malware, καθώς ένα malware μπορεί να προχωρήσει σε αυθαίρετες αλλαγές ή να δημιουργήσει σημαντικά προβλήματα στη συσκευή, όπως πχ. απώλεια δεδομένων ή δυσλειτουργία και κατακόρυφη πτώση των επιδόσεων.
Έχοντας κάνει backup την πιο πρόσφατη έκδοση κάθε σημαντικού εγγράφου, μπορείς να αποφύγεις εκνευρισμό, άγχος, προβλήματα λειτουργίας, ή ακόμα και να αποφύγεις να πέσεις θύμα εκβιασμού από ιούς και χάκερς. Τα backups αποτελούν αξιόλογη λύση στην περίπτωση που πέσεις θύμα κυβερνοεπίθεσης και μόλυνσης από malware. Προτείνουμε τη χρήση του Data Recovery Pro για την επαναφορά συστήματος.