Αφαίρεση ιού GandCrab - 2018 ενημέρωση

Τι είναι το GandCrab ransomware?

GandCrab ransomware – Ένας crypto-ιός ο οποίος εξαπλώνεται διαδικτυακά με τη βοήθεια του Magnitude Exploit Kit

Ο GandCrab είναι αυτή τη στιγμή ένας από τους πιο διάσημους ιούς ransomware του 2018 και έχει μολύνει ήδη περισσότερους από 50,000 Η/Υ αποφέροντας περισσότερα από $600,000 κέρδη στους developers του. Πρωτο-ανακαλύφθηκε τον Ιανουάριο και συνεχίζει να λαμβάνει νέες ενημερώσεις, να εξελίσσεται, και να αναπροσαρμόζει τις τεχνικές της διαδικτυακής του εξάπλωσης.

Αρχικά, εξαπλώθηκε διαδικτυακά μέσω διαφόρων social engineering καμπανιών και malspam. Το τελευταίο διάστημα έχει παρατηρηθεί ότι βασίζει τη διαδικτυακή του εξάπλωση κυρίως στο Magnitude Exploit Kit (EK), το οποίο έχει ήδη χρησιμοποιηθεί ευρέως για τη διαδικτυακή εξάπλωση του Magniber ransomware. Επιπρόσθετα, θα πρέπει να σημειωθεί ότι μετά την .gdcb κακόβουλη επέκταση αρχείου για το μαρκάρισμα των κρυπτογραφημένων αρχείων, πλέον, φαίνεται ότι ο ιός GandCrab χρησιμοποιεί την .crab κακόβουλη επέκταση αρχείου.

Μέτα από δυο μήνες δράσης, φάνηκε ότι ο ιός ransomware ‘ηττήθηκε’, όταν οι εξιδεικευμένες τεχνικές ομάδες της Ρουμανικής Αστυνομίας, του Bitdefender και της Europol, κατάφεραν να εντοπίσουν ‘τρωτό’ σημείο στον κώδικα του ιού ransomware που τους επέτρεψε να χακάρουν τους κυβερνο-εγκληματίες. Έτσι, το Bitdefender δημιούργησε και κυκλοφόρησε το δωρεάν λογισμικό αποκρυπτογράφησης GandCrab decryptor, το οποίο και είναι διαθέσιμο στο NoMoreRansom.

Ωστόσο, δεν κατάφερε να σταματήσει για πολύ καιρό τους hackers που ανέπτυξαν τον συγκεκριμένο ιό. Η δεύτερη έκδοση του ιού GandCrab virus συνεχίζει να προωθείται διαδικτυακά μέσω spam καμπανιών. Σε αυτή την περίπτωση, οι hackers απαιτούν από τους χρήστες-θύματα, ως λύτρα απελευθέρωσης, να πληρώσουν 1.54 DASH ώστε να λάβουν το ‘πολυπόθητο’ κλειδί αποκρυπτογράφησης (decryption key). Παρόλο που οι χρήστες-θύματα μπορούν να αποκρυπτογραφήσουν τα αρχεία που κρυπτογράφησε η αρχική έκδοση του ιού, οι κυβερνο-εγκληματίες ανέπτυξαν και κυκλοφόρησαν μια βελτιωμένη νέα έκδοση με το όνομα GandCrab v2.

Μάλιστα, κατάφεραν να καλύψουν το ‘τρωτό σημείο’ που είχε εντοπιστεί στον κώδικα του ιού ransomware, πράγμα που σημαίνει ότι ο διαθέσιμος δωρεάν αποκρυπτογράφος είναι άχρηστος σε περιστατικά κρυπτογραφημένων αρχείων που αφορούν τη συγκεκριμένη νέα έκδοση. Έχει διαπιστωθεί ότι η νέα έκδοση του ιού προσθέτει στα κρυπτογραφημένα αρχεία την .CRAB κακόβουλη επέκταση αρχείου. Αυτός είναι ο λόγος που πολλοί ονομάζουν την νέα έκδοση του ιού, .CRAB file extension virus (ιός κακόβουλης επέκτασης αρχείων .CRAB).

Ο συγκεκριμένος ιός ransomware εξαπλώνεται διαδικτυακά και ως Ransomware-as-aService (Raas) στο Ρωσικό σκοτεινό web. Σύμφωνα με το Check Point, οι χάκερς έχουν καταφέρει να κερδίσουν ήδη πάνω από 600,000 USD από λύτρα που πλήρωσαν οι χρήστες-θύματα. Σε αυτή την μεγάλη επιτυχία σημαντικό ρόλο έπαιξε και το GandCrab Affiliate Program. Διαπιστώθηκε ότι οι ransomware developers για να δελεάσουν τους απανταχού κυβερνο-εγκληματίες, προσφέρουν ποσοστά που αγγίζουν ακόμα και το 60% με 70% από τα κέρδη του ιού ransomware, καθώς και 24/7 τεχνική υποστήριξη.

Σύμφωνα με τα στοιχεία πρόσφατων ερευνών, το συγκεκριμένο crypto-malware έχει ήδη πάνω από 100 ενεργούς affiliates (συνεργαζόμενους τρίτους στο πλαίσιο του κοινοπρακτικού μάρκετινγκ, βλ. affiliate marketing). 80 απ’ αυτούς τους affiliates έχουν εξαπλώσει διαδικτυακά πάνω από 700 δείγματα του malware. Θα πρέπει να σημειωθεί ότι περισσότερο από το 70% των μολυσμένων υπολογιστών βρίσκονται σε Ηνωμένο Βασίλειο και ΗΠΑ και είναι ξεκάθαρο ότι στοχοποιεί ως επί το πλείστον Αγγλόφωνους χρήστες.

Στα μέσα του Απριλίου 2018, οι ransomware ερευνητές ανέφεραν ότι το Magnitude EK άλλαξε σε διαδικτυακή εξάπλωση του GandCrab ransomware. Έως πρότινος, χρησιμοποιούνταν για τη διαδικτυακή εξάπλωση του Magniber ransomware στοχοποιώντας τους netizens της Νότιας Κορέας. Πλέον, φαίνεται ότι στοχοποιεί ακόμα και χρήστες σε Σκανδιναβικές χώρες. Στην περίπτωση που έχεις ακόμα και την παραμικρή υποψία ότι ο ιός GandCrab ransomware έχει διεισδύσει και μολύνει το σύστημα του υπολογιστή σου, σε συμβουλεύουμε να προβείς άμεσα σε ολοκληρωτική αφαίρεσή του χρησιμοποιώντας το εξαίρετο και πολυδοκιμασμένο λογισμικό ασφαλείας FortectIntego.

Το exploit kit εκμεταλλεύεται μια fileless τεχνική που χρησιμοποιείται για την εκτέλεση του ransomware φορτίου το οποίο έχει κωδικοποιηθεί μέσω VBScript.Encode/JScript.Encode scrip και διεισδύει στη μνήμη. Όταν το ransomware φορτίο εκτελείται, ο ιός ransomware ‘ριζώνει’ στο explorer.exe αρχείο και ωθεί τον υπολογιστή σε επανεκκίνηση. Κατόπιν, ενεργοποιείται ο κρυπτογράφος (encryptor), ο οποίος ξεκινάει να κρυπτογραφεί τα αποθηκευμένα αρχεία. Κάθε κρυπτογραφημένο αρχείο αποκτάει .CRAB κακόβουλη επέκταση αρχείου. Φαίνεται ότι το Magnitude EK χρησιμοποιείται κυρίως για τη διαδικτυακή εξάπλωση της έκδοσης GandCrab 2, ο κώδικας της οποίας δεν έχει αποκρυπτογραφηθεί ακόμα.

Ο ιός GandCrab μπορεί να εξαπλωθεί διαδικτυακά και μέσω της malvertising καμπάνιας Seamless. Μέσω αυτής, οι χρήστες-θύματα κατευθύνονται στο RIG exploit kit. Αυτό το λογισμικό έχει σχεδιαστεί να εντοπίζει τα ‘τρωτά’ σημεία του συστήματος και να τα εκμεταλλεύεται ώστε να μολύνει το σύστημα-στόχο με ιό κρυπτογράφησης ή άλλου είδους επικίνδυνο ιό.

Σύμφωνα με τους ειδικούς σε θέματα διαδικτυακής ασφάλειας, ο ιός GandCrab έχει τη τάση το τελευταίο διάστημα να εξαπλώνεται διαδικτυακά μέσω spam email μηνυμάτων με τίτλο Receipt Feb-21310 [random numbers]. Το όνομα του αποστολέα μπορεί να ποικίλει, ωστόσο το δεύτερο μέρος της email διεύθυνσης είναι πάντα @cdkconstruction.org. Το spam μήνυμα που χρησιμοποιείται από τον ιό ransomware εμπεριέχει PDF επισύναψη και “DOC attached” ως κύριο σώμα μηνύματος.

Ο ιός GandCrab βασίζεται σε .doc αρχείο το οποίο κατεβαίνει στο σύστημα μόλις ο χρήστης-θύμα κλικάρει στην κακόβουλη επισύναψη. Φαίνεται πως το .doc αρχείο τρέχει ένα PowerShell script και δημιουργεί exploit αρχείο (sct5.txt), το οποίο προς το παρόν επηρεάζει 64-bit σύστημα. Όπως τονίστηκε από πολλούς crypto-malware ερευνητές, το sct5.txt αρχείο δεν τρέχει όλο το φορτίο του ιού GandCrab virus, αλλά εκτελεί ένα exploit και τρέχει ως το μέσον (medium) που θα βοηθήσει το malware να διεισδύσει στο σύστημα.

Μόλις καταφέρει να διεισδύσει στο σύστημα-στόχο, ο ιός GandCrab ξεκινάει να κρυπτογραφεί τα πολυτιμότερα αποθηκευμένα δεδομένα. Μόλις ολοκληρωθεί η κρυπτογράφηση, ο χρήστης-θύμα δε μπορεί πλέον να αποκτήσει πρόσβαση στα κρυπτογραφημένα αρχεία. Με την ολοκλήρωση της διαδικασίας κρυπτογράφησης, ο ιός εμφανίζει σημείωμα λύτρων με GDCB-DECRYPT.txt όνομα αρχείου:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

Μόλις ο χρήστης-θύμα ακολουθήσει τις οδηγίες του σημειώματος λύτρων, θα ανακατευθυνθεί στο GandCrab decryptor site. Εκεί, θα ενημερωθεί ότι το ύψος των λύτρων είναι περίπου $1200) πληρωτέο σε DASH, ενώ ακόμα υπάρχει chat υποστήριξης, η DASH διεύθυνση, καθώς και ευκαιρία να ανεβάσει ένα αρχείο για δωρεάν αποκρυπτογράφηση ώστε να πειστεί ότι ο αποκρυπτογράφος δουλεύει.

Θα πρέπει να σημειωθεί ότι ο ιός GandCrab ransomware αναγνωρίζει συγκεκριμένη χρονική περίοδο που επιτρέπεται στον χρήστη να προβεί στην οικονομική συναλλαγή, διαφορετικά το ύψος των λύτρων μπορεί να διπλασιαστεί. Αυτή είναι άλλη μια μέθοδος πίεσης ώστε να ωθήσουν το μέγιστο αριθμό χρηστών να πληρώσουν τα λύτρα χωρίς να προλάβουν οι χρήστες να ζυγίσουν τα υπερ και τα κατά ή να σκεφτούν εναλλακτικές μιας τέτοιας απόφασης.

Με άλλα λόγια, στην περίπτωση που βρεθείς σε αυτή τη δυσάρεστη κατάσταση, σε συμβουλεύουμε να ΜΗΝ ακολουθήσεις τις οδηγίες των κυβερνο-εγκληματιών μιας και υπάρχουν εναλλακτικοί τρόπο επαναφοράς της πρόσβασης στα κρυπτογραφημένα αρχεία, όπως πχ. η χρήση του λογισμικού αποκρυπτογράφησης που έχει αναπτυχθεί από ειδικούς. Πριν σκεφτείς και δοκιμάσεις τις όποιες εναλλακτικές, άμεση προτεραιότητά σου είναι ο εντοπισμός και η ολοκληρωτική αφαίρεση του ιού GandCrab.

Οι ειδικοί της NoVirus.uk έχουν ήδη προειδοποιήσει τους χρήστες-θύματα ότι ο συγκεκριμένος ιός είναι ένας εξαιρετικά επικίνδυνος ιός και η αφαίρεσή του θα πρέπει να γίνει αποκλειστικά από εξιδεικευμένο τεχνικό προγραμματιστή υπολογιστών ή με τη χρήση ενός πλήρως ενημερωμένου, αξιόπιστου, και ικανού λογισμικού ασφαλείας antivirus.

Ο ιός GandCrab ransomware είναι ένας ιός κρυπτογράφησης αρχείων (file-encrypting virus) που χρησιμοποίησε πρώτος το κρυπτονόμισμα DASH για την πληρωμή λύτρων.

Για την αποτελεσματική, γρήγορη, εύκολη, και ασφαλή ολοκληρωτική αφαίρεση του ιού GandCrab προτείνουμε τη χρήση κάποιου εξ αυτών των πλέον αξιόπιστων λογισμικών ασφαλείας: FortectIntego ή Malwarebytes. Φυσικά, μπορεί να επιλεχθεί και κάποιο άλλο λογισμικό ασφαλείας anti-malware για τον εντοπισμό και την ολοκληρωτική αφαίρεση αυτού του επικίνδυνου ιού κρυπτογράφησης αρχείων, αρκεί βεβαίως να είναι παρομοίων δυνατοτήτων και αξιοπιστίας. Στο τέλος του άρθρου μπορείς να βρεις αναλυτικές οδηγίες σχετικά με τη διαδικασία εξουδετέρωσης του ιού.

Και κάτι πολύ σημαντικό! ΜΗΝ προσπαθήσεις να αφαιρέσεις χειροκίνητα τον ιό GandCrab. Τέτοιου είδους περίπλοκες και εξελιγμένες ransomware κυβερνο-μολύνσεις έχουν σχεδιαστεί πολύ προσεκτικά ώστε να περνούν όσο πιο απαρατήρητες γίνεται και μάλιστα έχουν τη τάση να ‘μεταμφιέζονται’ με πολύ μεγάλη επιτυχία σε γνωστές, νόμιμες συστημικές διεργασίες. Η αφαίρεση σημαντικών συστημικών αρχείων μπορεί να οδηγήσει σε πολύ σημαντικά συστημικά προβλήματα, καθώς και επανεμφάνιση του crypto-malware. Είναι πολύ σημαντικό να ακολουθήσεις προσεκτικά και βήμα προς βήμα τις παρακάτω οδηγίες που ετοίμασαν οι ειδικοί μας.

Λίστα με GandCrab ransomware εκδόσεις

.GDCB file extension virus. Αυτή η έκδοση του ιού GandCrab virus εντοπίστηκε περίπου δυο εβδομάδες μετά την κυκλοφορία της αρχικής έκδοσης. Όπως ο προκάτοχός του, έτσι και αυτός ο ιός εξαπλώνεται διαδικτυακά μέσω μολυσμένων spam email επισυνάψεων και ενεργοποιείται μόλις ανοιχθεί από τον χρήστη η μολυσμένη επισύναψη.

Στοχοποιεί τους δημοφιλέστερους τύπους αρχείων, όπως πχ. .doc, .txt, .jpg, .png, .audio, .video, κλπ. Κάθε κρυπτογραφημένο αρχείο αποκτάει .GDCB κακόβουλη επέκταση αρχείου. Μόλις ολοκληρωθεί η διαδικασία της κρυπτογράφησης, ο ιός εμφανίζει στο desktop σημείωμα λύτρων με όνομα GDCB-DECRYPT.txt . Μέσω αυτού του σημειώματος γίνεται προσπάθεια από τους hackers να πειστεί ο εκάστοτε χρήστης-θύμα να κατεβάσει το Tor browser και μέσω αυτού να προβεί σε πληρωμή των λύτρων ύψους 1.54 DASH. Μάλιστα, το ύψος των λύτρων αυξάνεται εάν ο χρήστης-θύμα αργήσει να πληρώσει.

GandCrab2. Η δεύτερη έκδοση αυτού του ιού ransomware είναι αδύνατον, προς το παρόν, να αποκρυπτογραφηθεί. Πριν κυκλοφορήσουν τη δεύτερη έκδοση, οι developers του ιού σιγουρεύτηκαν ότι κάλυψαν επιτυχώς όλα τα ‘τρωτά σημεία’ του κώδικά που είχαν εντοπιστεί στην αρχική έκδοση και αποκρυπτογραφηθεί από τους cybersecurity ειδικούς στις αρχές Μαρτίου.

Ο ιός GandCrab2 εξαπλώνεται διαδικτυακά μέσω Seamless malvertising καμπάνιας που ωθεί τους χρήστες στο RIG exploit kit. Ωστόσο, αντίθετα με τον προκάτοχό του, ο συγκεκριμένος ιός μπορεί να μολύνει συστήματα χρηστών και μέσω του HoeflerText Font Update scam.

Κάθε κρυπτογραφημένο αρχείο αποκτάει .CRAB κακόβουλη επέκταση αρχείου. Μόλις ολοκληρωθεί η διαδικασία της κρυπτογράφησης, εμφανίζει στον υπολογιστή σημείωμα λύτρων με όνομα CRAB-DECRYPT.txt. Οι hackers απαιτούν να πληρωθούν 500 USD σε κρυπτονόμισμα Dash μέσω Tor browser ώστε να δώσουν στον χρήστη-θύμα το ‘πολυπόθητο’ ιδιωτικό κλειδί αποκρυπτογράφησης (private decryption key). Παρόλο που αρχικά οι ειδικοί θεώρησαν ότι η συγκεκριμένη έκδοση αποτελεί κλώνο του προκατόχου του, φαίνεται εκ των υστέρων ότι πρόκειται για μια νέα αναβαθμισμένη έκδοση που προς το παρόν είναι αδύνατον να αποκρυπτογραφηθεί ο κώδικάς της, οπότε και δεν είναι δυνατόν ακόμα να αναπτυχθεί και να κυκλοφορήσει κάποιο δωρεάν λογισμικό αποκρυπτογράφησης (free decryptor).

Οι ειδικοί προσφέρουν δωρεάν GandCrab αποκρυπτογράφο (decryptor)

Οι ΙΤ ειδικοί του διάσημου NoMoreRansom.org project κυκλοφόρησαν επιτέλους GandCrab decryptor (αποκρυπτογράφο). Είναι διαθέσιμος προς λήψη για όποιον επιθυμεί να επαναφέρει την πρόσβαση στα κρυπτογραφημένα αρχεία με .GDCB κακόβουλη επέκταση αρχείου. Μπορείς να τον βρεις στο τέλος του άρθρου.

Οι ειδικοί σημειώνουν ότι για να χρησιμοποιηθεί αυτό το εργαλείο αποκρυπτογράφησης (decryption tool), θα πρέπει πρώτα να αφαιρεθεί ο ιός GandCrab από το σύστημα του υπολογιστή. Διαφορετικά, ο ιός ransomware θα συνεχίσει να κρυπτογραφεί τα αποθηκευμένα δεδομένα.

Προτείνουν την εγκατάσταση και χρήση επαγγελματικών λογισμικών ασφαλείας, καθώς μόνο αυτά είναι ικανά να εντοπίσουν και να αφαιρέσουν ολοκληρωτικά τον ιό ransomware από το σύστημα. Στο τέλος του άρθρου, προτείνουμε τα λογισμικά ασφαλείας που πιστεύουμε ότι είναι τα καλύτερα για δύσκολες περιπτώσεις όπως αυτή. Τώρα, εάν δεν καταφέρεις να ξαναποκτήσεις πρόσβαση στα αρχεία, που κρυπτογράφησε ο ιός, με τη χρήση του επίσημου GandCrab decryptor, υπάρχουν κάποιες άλλες εναλλακτικές που μπορεί να σε βοηθήσουν να τα καταφέρεις.

Για παράδειγμα, παρόλο που ο ιός είναι σχεδιασμένος να διαγράφει τα Shadow Volume Copies, μπορεί να αποτύχει. Σε αυτή την περίπτωση, μπορείς να εκμεταλλευτείς τον ShadowExplorer ή άλλα παρόμοια εργαλεία τρίτων τα οποία ίσως μπορέσουν να σε βοηθήσουν να ανακτήσεις πρόσβαση στα κρυπτογραφημένα αρχεία σου, σε κάποια απ’ αυτά τουλάχιστον.

Επιπρόσθετα, ο καλύτερος τρόπος για να μην πέσεις θέμα τέτοιου είδους εκβιασμών όπου θα σε ωθούν να πληρώσεις λύτρα, εάν επιθυμείς να αποκτήσεις και πάλι πρόσβαση στα κρυπτογραφημένα αρχεία σου, είναι φυσικά να κάνεις τακτικά backup τα αρχεία σου, κυρίως δε αυτά που είναι σημαντικότερα και πολυτιμότερα για σένα. Εάν δεν έκανες backup πριν την επίθεση του ιού, τότε μπορείς να τσεκάρεις τις διάφορες εναλλακτικές ανάκτησης δεδομένων (βλ. alternative data recovery methods) που θα βρεις στο τέλους του άρθρου. Φυσικά, καλό θα ήταν να δοκιμάσεις πρώτα τον επίσημο αποκρυπτογράφο για να τσεκάρεις εάν έχει αποτέλεσμα στην περίπτωσή σου ή όχι.

Η συγκεκριμένη κυβερνο-απειλή χρησιμοποιεί exploit kits για να διεισδύει σε συστήματα υπολογιστών

Τα exploits kits είναι σχεδιασμένα να εντοπίζουν ‘τρωτά σημεία’ και αδυναμίες στο σύστημα ενός υπολογιστή και βοηθούν το κακόβουλο πρόγραμμα να εκμεταλλευτεί την κατάσταση (exploit) ώστε να διεισδύσει με ευκολία στο σύστημα. Ο συγκεκριμένος ιός ransomware εξαπλώνεται διαδικτυακά τόσο χάρις στη βοήθεια του Rig exploit kit όσο και του GrandSoft exploit kit,, αλλά και του Magnitude exploit kit. Πρόκειται για προηγμένα και πολύ περίπλοκα λογισμικά που παρακάμπτουν την έγκριση του χρήστη και προχωρούν σε αυθαίρετη και κρυφή λήψη κι εγκατάσταση του malware στο σύστημα.

Καλό είναι να γνωρίζεις πως τα exploit kits δεν αποτελούν το μοναδικό βοηθητικό μέσον για τη διαδικτυακή εξάπλωση αυτού του ιού ransomware. Γνωρίζοντας ότι η πλειοψηφία των netizens είναι ιδιαιτέρως απρόσεκτη, οι κυβερνο-εγκληματίες εκμεταλλεύονται αυτή την κατάσταση και αποστέλουν σε μαζική κλίμακα παραπλανητικά spam emails που εμπεριέχουν κακόβουλες επισυνάψεις. Συνήθως, αυτά τα emails εμφανίζονται ως δήθεν τιμολόγια, ειδοποιητήρια, ή άλλα σημαντικά έγγραφα από γνωστά brands και εταιρείες. Δυστυχώς, μεγάλος αριθμός χρηστών από περιέργεια και επιπόλαιη απροσεξία, ανοίγει αυτά τα emails και κατεβάζει τις μολυσμένες επισυνάψεις. Με αυτό τον τρόπο, ανοίγει η ‘Κερκόπορτα’ για τη διείσδυση κακόβουλων προγραμμάτων, όπως ο συγκεκριμένος πολύ επικίνδυνος ιός ransomware.

Όπως τονίσαμε πιο πάνω, οι developers του ιού ransomware έχουν τη τάση το τελευταίο διάστημα να εξαπλώνουν διαδικτυακά τον ιό μέσω spam emails. Ο τίτλος του email μηνύματος είναι Receipt Feb-21310 [ random numbered], με τη μόνη διαφορά ότι μπορεί να διαφέρει ο αποστολέας. Παρόλα αυτά, το δεύτερο μέρος της email διεύθυνσης παραμένει ίδιο, δλδ. @cdkconstruction.org. Το συγκεκριμένο spam email δεν εμπεριέχει μεγάλο κείμενο. Τονίζεται μόνο ότι υπάρχει DOC επισύναψη (“DOC attached”).

Επομένως, σε συμβουλεύουμε να δείχνεις ιδιαίτερη προσοχή και καχυποψία όταν περιηγείσαι στο διαδίκτυο ή ελέγχεις τα emails σου. Είναι καίριας σημασίας να δείχνεις πάντα τη δέουσα προσοχή όταν ανοίγεις emails — μπορείς να καταλάβεις αν ένα email είναι ύποπτο / spam από ορθογραφικά και συντακτικά λάθη ή όταν προσπαθεί να σε πείσει να ανοίξεις επισύναψη χωρίς να σου παρέχει πρώτα αναλυτικές πληροφορίες στο κύριο σώμα κειμένου. Κλασική ατάκα είναι όταν προσπαθεί να σε πείσει να ανοίξει την επισύναψη για περαιτέρω πληροφορίες (“for further details”). ΜΗΝ ανοίγεις επισυνάψεις από ύποπτους / άγνωστους αποστολείς, κυρίως όταν αυτές οι επισυνάψεις έχουν JS, .EXE, .COM, .PIF, .SCR, .HTA, .vbs, .wsf, .jse, .jar, επεκτάσεις αρχείου. Τέλος, σε συμβουλεύουμε να αποφεύγεις να επισκέπτεσαι ύποπτους ιστότοπους ή ιστότοπους με παράνομο/πειρατικό περιεχόμενο, καθώς είναι πολύ πιθανό η πλειοψηφία αυτών να ανήκει σε κυβερνο-εγκληματίες που τα χρησιμοποιούν για τη διαδικτυακή εξάπλωση επικίνδυνων κακόβουλων προγραμμάτων κι αρχείων.

Μάθε πώς γίνεται η ασφαλής απεγκατάσταση του ιού GandCrab και πώς μπορείς να ανακτήσεις τα κρυπτογραφημένα δεδομένα

Όταν ανακαλύψεις την παρουσία του ιού GandCrab ransomware στο σύστημα του υπολογιστή σου, η άμεση και ολοκληρωτική αφαίρεσή του είναι μονόδρομος. Για να τα καταφέρεις, συνιστούμε την αυτόματη αφαίρεση, δλδ. χρησιμοποιώντας ένα πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας. Όσο περισσότερο μένει ο ιός στον υπολογιστή σου τόσο μεγαλύτερη ζημιά μπορεί να κάνει στην εύρρυθμη λειτουργία του συστήματος και την ασφάλεια των προσωπικών σου δεδομένων. Μόλις αφαιρέσεις ολοκληρωτικά τον ιό από τον υπολογιστή, μπορείς κατόπιν να προσπαθήσεις να αποκρυπτογραφήσεις τα κρυπτογραφημένα αρχεία.

Έτσι, μόλις διαπιστώσεις την ύπαρξη κρυπτογραφημένων αρχείων στον υπολογιστή σου, επιβάλλεται η λήψη κι εγκατάσταση (εάν δεν το έχεις κάνει ήδη) ενός επαγγελματικού λογισμικού ασφαλείας. Για δύσκολες και περίπλοκες καταστάσεις, όπως η συγκεκριμένη, προτείνουμε κάποιο απ’ αυτά τα εξαίρετα και πολυδοκιμασμένα λογισμικά ασφαλείας: FortectIntego, SpyHunter 5Combo Cleaner, Malwarebytes. Το λογισμικό ασφαλείας θα προβεί σε σάρωση συστήματος, θα εντοπίσει, και θα αφαιρέσει ολοκληρωτικά τον ιό GandCrab. Δυστυχώς, αυτά τα προγράμματα, αν και ιδιαιτέρως αποτελεσματικά στον εντοπισμό και την αφαίρεση του ιού, δε μπορούν να σε βοηθήσουν στην αποκρυπτογράφηση των κρυπτογραφημένων αρχείων.

Σημείωση: Στην περίπτωση που ο ιός δε σε αφήσει να εγκαταστήσεις και να τρέξεις το anti-malware, θα χρειαστεί να κάνεις reboot (επανεκκίνηση) υπολογιστή σε Ασφαλής Λειτουργία με Δικτύωση (Safe Mode with Networking) ή να βασιστείς στην Επαναφορά Συστήματος (System Restore). Στο τέλος του άρθρου μπορείς να βρεις αναλυτικό βήμα-προς-βήμα οδηγό αφαίρεσης του ιού GandCrab. Επιπρόσθετα, η ομάδα των ειδικών μας ετοίμασε εναλλακτικές μεθόδους επαναφοράς που θα σε βοηθήσουν να επαναφέρεις τα κρυπτογραφημένα αρχεία σου, ή έστω μέρος αυτών.