Ta bort GANDCRAB

Denna analys och borttagning artikel har gjorts för att informera dig och ge instruktioner om att ta bort GANDCRAB 5.2 ransomware infektion från din dator och även lägga till metoder genom vilka du kan prova och återställa filer, krypterade med detta cryptovirus på din dator.

Efter den framgångsrika dekryptering av GANDCRAB 5.1, ransomware, en uppdaterad och omätbara version av den ökända ransomware, som kallas GANDCRAB 5.2 har släppts. Viruset var aktiv i över ett år och det har nu släppts ständigt nyare och nyare varianter, de flesta har som mål att kryptera filer infekterade datorer och be sina ägare att besöka en TOR webbsida, där offren är pressade att betala lösen i BitCoin eller STRECK cryptocurrencies. I olyckliga händelser att din dator har smittats av GANDCRAB 5.2 ransomware, föreslår vi att du läser denna borttagning artikel.

virus-15

GANDCRAB 5.2 har inte avvikit mycket från resten av GANDCRAB ransomware familjen i form av infektion sätt. Den senaste infektion filer av GANDCRAB 5.2 ransomware rapporterades av säkerhet forskare att sprida via två huvudsakliga metoder:

  • Via filer uppladdade på äventyras webbplatser.
  • Via filer som skickas till offer via e-post.

Om GANDCRAB 5.2 ransomware sprids via e-post, då viruset kan infektera datorer som ett resultat av en fil, inbäddad i ett arkiv, som innehåller en skadlig .JS (JavaScript) typ av filer. Den e-post som du kan skicka arkivet kan låtsas att en e-post skicka en bild, som den senaste malspam e-post vi fångade att sprida GANDCRAB:

När offret ser att någon skickat en bild med texten ”;)” skrivet i e-post kropp, det kanske väcker intresse. Om offret hämtar .ZIP-arkivet, och packar upp bild, infektion med GANDCRAB 5.2 kan bli oundvikligt.

Ett annat scenario via som offer kan bli smittad av e-post med GANDCRAB 5.2 ransomware är att öppna Microsoft Word eller .PDF-filer som även skickas som bifogad fil, men den här gången utger sig för att vara fakturor, kvitton och andra till synes viktiga dokument, som också ingår i ett .ZIP-arkiv. När offret nedladdningar och extrakt Microsoft Word-filen och öppnar den, filen kan begära att aktivera Makron, som bilden nedan visar.

Detta görs med ursäkten att du inte kan se vad som finns i dokumentet, om du klickar på ”Aktivera Redigering” eller ”Aktivera Innehåll” – knappen. När du klickar på den här knappen infektion med GANDCRAB 5.2 kan uppstå. Om filen är en .PDF-fil på samma sätt som kan ske, endast som PDF-programmet Adobe Reader kan filen öppnas automatiskt Microsoft Word-fil när du öppnar den.

En annan metod som också är känd för att orsaka infektioner med GANDCRAB 5.2 ransomware virus har nyligen rapporterat att användas mycket ofta. Infektionen metoden ingår att ladda upp filer på äventyras eller att skadliga WordPress webbplatser, och göra dem verkar vara att de är seriösa program sprickor. Några av de program som är tänkt att bli knäckt, men infektera med GANDCRAB 5.2 redovisas av offren att vara följande:

  • KMSPico(aktivator för Windows).
  • Securitask(security tool).
  • SysTools PST-Dokument(fil fusion).
  • Sammanslagning Bild till PDF-fil(fusion).

Mer info om hur GANDCRAB ransomware infekterar offer via filer uppladdade på webbplatser kan hittas i den relaterade webb-länk har vi lagt till under:

GANDCRAB Ransomware Nu Smittar Via Programvara Sprickor

GANDCRAB 5.2 ransomware som tillhör GANDCRAB ransomware familj av virus, som har spridit sig i följande versioner fram till denna variant:

  • GANDCRAB v1 (.GDCB)
  • GANDCRAB v2 (.KRABBA)
  • GANDCRAB v3
  • GANDCRAB v4
  • GANDCRAB v5

När vi kommer till den aktuella GANDCRAB 5.2 version, det har varit en hel del infektion filer som hittills rapporterats av malware forskare ha följande namn och kännetecken:

När GANDCRAB 5.2 ransomware virus som orsakar en infektion på datorer, äventyras av det, det virus omedelbart spaws slumpmässigt namngivna körbara filen. I sin tur, slumpmässigt namn .exe-fil skapar en child-process i wmic.exe(Windows Management Instrumentation) som VMRay bilden nedan visar:

Bild Källa: VMRay

Från det, GANDCRAB v5.2 ransomware kan börja att den är skadlig aktivitet för att kryptera filer på den infekterade maskinen. Aktiviteten börjar med att släppa gisslan anteckning av GANDCRAB 5.2 ransomware, som är en .txt-fil som har ett slumpmässigt genererat namn och slutar med ”-DECRYYPT.txt”. Lösen not filen har följande budskap till offer, för att uppmana dem att besöka en TOR-baserad webbsida:

Webblänk i GANDCRAB 5.2 ”DECRYPT.txt” fil leder till en lösen betalning webbplats som vill att du ska betala hundratals dollar DASH eller BTC. Webbplatsen öppnas med TOR browser och ser ut som följande:

Den sista aktiviteten av GANDCRAB 5.2 ransomware är att ändra din bakgrundsbild. Tapeten som ändrats visas som följande på datorer som var smittade med viruset:

GANDCRAB 5.2 ransomware kan också köra följande kommando som administratör för att ta bort säkerhetskopierade filer på den infekterade datorn:

Förmodligen den största förändringen i GANDCRAB så här långt är att den ransomware virus inte lägga till en slumpmässig file extension, men döper om hela krypterad fil till A-Z, A-z, 0-9 slumpmässigt genererat namn. Och vad som är ännu värre är att varje filen på olika sätt med olika filnamn längd. Filerna krypteras med GANDCRAB ransomware omvandlas till följande efter kryptering:

Kryptering av GANDCRAB 5.2 ransomware är gjort via Salsa20 krypteringsalgoritm. Detta chiffer syftar till att ersätta data från filer på den infekterade datorn med block av krypterad data. Viruset inte kryptera hela filen utan bara delar av det, nog för att det verkar korrupt och instabil. Och vad värre är, GANDCRAB 5.2 ransomware använder CBC-läge för kryptering förfaranden. I detta läge ser ut som på bilden vi skrivit under och att det i princip bryter dina filer om du försöker ändra sin förlängning eller manipulera med dem:

Men innan du börjar borttagning, vi vill starkt rekommendera att du gör en bild av din dator så att du kan ha möjlighet att återställa infektion en gång en decryptor av virus har släppts och dina filer återställs. Du kan också prova att säkerhetskopiera dina filer på en flash-enhet eller någon annanstans. Vad du än gör, GÖR INTE mixtra med filerna, eftersom detta kommer att bryta dem.

Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i GANDCRAB.

Anti-virusprogramVersionUpptäckt
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
VIPRE Antivirus22224MalSign.Generic
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
VIPRE Antivirus22702Wajam (fs)
Dr.WebAdware.Searcher.2467
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
ESET-NOD328894Win32/Wajam.A
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)

GANDCRAB beteende

  • Installerar sig själv utan behörighet
  • Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
  • Omdirigera webbläsaren till infekterade sidor.
  • GANDCRAB inaktiveras installerade säkerhetsprogram.
  • GANDCRAB visar kommersiella annonser
Hämta Removal Toolta bort GANDCRAB

GANDCRAB verkställde Windows OS-versioner

  • Windows 1030% 
  • Windows 838% 
  • Windows 726% 
  • Windows Vista7% 
  • Windows XP-1% 

GANDCRAB geografi

Eliminera [postnamn] från Windows

Ta bort [postnamn] från Windows XP:

  1. Klicka på börja öppna menyn.
  2. Välj Kontrollpanelen och gå till Lägg till eller ta bort program.win-xp-control-panel GANDCRAB
  3. Välja och ta bort det oönskade programmet.

Ta bort [postnamn] från din Windows 7 och Vista:

  1. Öppna Start -menyn och välj Control Panel.win7-control-panel GANDCRAB
  2. Flytta till Avinstallera ett program
  3. Högerklicka på den oönskade app och välj Avinstallera.

Radera [postnamn] från Windows 8 och 8.1:

  1. Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.win8-control-panel-search GANDCRAB
  2. Välj Avinstallera ett program och högerklicka på den oönskade app.
  3. Klicka på Avinstallera .

Ta bort [postnamn] från din webbläsare

[postnamn] Avlägsnas från Internet Explorer

  • Klicka på växel ikonen och välj Internet-alternativ.
  • Gå till fliken Avancerat och klicka på Återställ.reset-ie GANDCRAB
  • Ta bort personliga inställningar och klicka återställa igen.
  • Klicka på Stäng och välj OK.
  • Gå tillbaka till växel ikonen, Välj Hantera tilläggverktygsfält och tillägg, och ta bort oönskade extensions.ie-addons GANDCRAB
  • Gå till Sökleverantörer och välj en ny standard sökmotor

Radera [postnamn] från Mozilla Firefox

  • Ange "about:addons" i URL -fältet.firefox-extensions GANDCRAB
  • Gå till anknytningar och ta bort misstänkta webbläsartillägg
  • Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.firefox_reset GANDCRAB

Avsluta [postnamn] från Chrome

  • Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.extensions-chrome GANDCRAB
  • Avsluta opålitliga webbläsare extensions
  • Starta om Google Chrome.chrome-advanced GANDCRAB
  • Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).
Hämta Removal Toolta bort GANDCRAB