GandCrab Ransomware

GandCrab Ransomware Descrição

O GandCrab Ransomware é um Trojan ransomware de criptografia. O GandCrab Ransomware é entregue às vítimas normalmente através do uso de anexos de e-mail de spam corrompidos, que podem instalar o GandCrab Ransomware através do uso de scripts embutidos ruins. O GandCrab Ransomware parece ser uma ameaça independente e não faz parte de uma família maior de ransomware. Todos os dias, novas ameaças de ransomware estão surgindo, e o GandCrab Ransomware é apenas um dos inúmeros novos Trojans ransomware que estão sendo lançados pelos criminosos virtuais, que foi observado pela primeira vez em 27 de janeiro de 2018.

Como Reconhecer a Presença do GandCrab Ransomware em um Computador

O GandCrab Ransomware é executado no computador infectado usando o nome de arquivo 'GandCrab.exe'. O GandCrab Ransomware usa a criptografia AES-256 para tornar os arquivos da vítima inacessíveis. Uma vez que o GandCrab Ransomware criptografa os arquivos, eles não poderão mais ser recuperados sem a chave de descriptografia, que essas pessoas mantêm em sua posse. O GandCrab Ransomware toma os arquivos da vítima como reféns até que a vítima concorde em pagar um grande resgate em troca da chave de decodificação. O GandCrab Ransomware representa uma séria ameaça, e os usuários de computador são aconselhados a tomar medidas preventivas contra o GandCrab Ransomware e os inúmeros Trojans ransomware que existem hoje em dia. O GandCrab Ransomware marca os arquivos criptografados pelo ataque com a extensão de arquivo '.GDCB', que é adicionada ao final do nome de cada arquivo afetado.

O Pedido de Resgate do GandCrab Ransomware

O GandCrab Ransomware entregará uma nota de resgate na forma de um arquivo de texto chamado 'GDCB-DECRYPT.txt', que é colocado na Biblioteca de Documentos do computador infectado e na área de trabalho do computador infectado. O texto da nota de resgate do GandCrab Ransomware diz:

'- =GANDCRAB= -
Atenção!
Todos os seus arquivos de documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e possuem a extensão: .GDCB
O único método de recuperar arquivos é comprar uma chave privada. Está no nosso servidor e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
1. Faça o download do navegador Tor - h[tt]ps://www.torproject[.]org /
2. Instalar o navegador Tor
3. Abra o Navegador Tor
4. Abra o link no navegador tor: h [tt] ps: // gdcbghvjyqy7jclk [.] Onion / 6361f798c4ba3647
5. Siga as instruções nesta página
Se o navegador Tor / Tor estiver bloqueado em seu país ou você não puder instalá-lo, abra um dos seguintes links em seu navegador normal:
1.h[tt]ps://gdcbghvjyqy7jclk.onion[.]top/6361f798c4ba3647
2. h[tt]ps://gdcbghvjyqy7jclk.onion[.]casa/6361f798c4ba3647
3. h[tt]ps://gdcbghvjyqy7jclk.onion[.]guide/6361f798c4ba3647
4. h[tt]ps://gdcbghvjyqy7jclk.onion[.]rip/6361f798c4ba3647
5. h[tt]ps://gdcbghvjyqy7jclk.onion[.]plus/6361f798c4ba3647
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
PERIGOSO!
Não tente modificar arquivos ou usar sua própria chave privada - isso resultará na perda de seus dados para sempre! '

Quando as vítimas do ataque tentam se conectar ao domínio associado ao GandCrab Ransomware, a seguinte mensagem e texto será exibida:

'Bem vindo!
NÓS SOMOS DESLUMBIDOS, MAS TODOS OS SEUS ARQUIVOS FOI ENCRIPTADO!
ATÉ ONDE SABEMOS:
País
OS
Usuário de PC
Nome do PC
Grupo de PC
PC Lang.
HDD
Data de criptografia
Quantidade de seus arquivos
Volume de seus arquivos
Mas não se preocupe, você pode devolver todos os seus arquivos! Nós podemos ajudar você!
Abaixo você pode escolher um dos seus arquivos criptografados do seu PC e descriptografá-lo, é um decodificador de teste para você.
Mas podemos descriptografar apenas um arquivo gratuitamente.
ATENÇÃO! Não tente usar ferramentas de descriptografia de terceiros! Porque isso irá destruir seus arquivos!
O que você precisa?
Você precisa do GandCrab Decryptor. Este software irá descriptografar todos os seus arquivos criptografados e excluirá o GandCrab do seu PC. Para compra, você precisa do DASH de criptografia (1 DASH = 760,567 $)
. Como comprar essa moeda, você pode lê-la aqui.
Quanto dinheiro você precisa pagar? Abaixo estamos quantidade especificada e nossa carteira para pagamento
Preço: 1,5 DASH (1200 USD) '

O pedido de resgate do GandCrab Ransomware usa o Dash, uma moeda digital não muito diferente do Bitcoin. Os pesquisadores de segurança do PC são fortemente aconselhados a ignorar o conteúdo da nota de resgate do GandCrab Ransomware.

Atualização de 26 de outubro de 2018 - GandCrab 5.0.5 Ransomware

O GandCrab 5.0.5 Ransomware é uma versão atualizada do GandCrab Ransomware que foi relatada pelos analistas de malware perto do final de outubro de r2018. O lançamento do GandCrab 5.0.5 Ransomware é notável devido a mudanças no processo de criptografia e ao fato de ter surgido logo depois que um instrumento de descriptografia grátis foi lançado pela Europol (agência de segurança pública da União Européia) e parceiros no setor de segurança cibernética. O descriptografador gratuito foi possível graças à equipe do GandCrab ter lançano um decodificador gratuito para os usuários de PC na Síria, que pediram ajuda para recuperar fotos de familiares e parentes perdidos na Guerra Civil Síria de 2017-2018. Os pesquisadores de malware conseguiram desenvolver uma ferramenta baseada no código carregado pela equipe do GandCrab na Internet. Seguiu-se um curto período de teste e muitos utilizadores de PC afetados pelo Gand Crab v4 Ransomware receberam notificações de que podiam baixar um decifrador gratuito da Europol.

Infelizmente, o sucesso dos esforços conjuntos da indústria de segurança cibernética foi de curta duração. Os atores de ransomware empurraram a atualização do GandCrab 5.0.5 para os seus distribuidores, e a ameaça conseguiu comprometer mais usuários. A versão GandCrab 5.0.5 usa uma nova instrução de criptografia que torna o decodificador grátis obsoleto. É possível usar o instrumento da Europol para decifrar os arquivos afetados pelo GandCrab v4. No entanto, o novo GandCrab 5.0.5 Ransomware é invulnerável a tentativas de engenharia reversa. Vimos o GandCrab 5.0.5 Ransomware anexar cinco caracteres aleatórios a nomes de arquivos e deixar uma nota de resgate chamada '[extensão em maiúsculas]-DECRYPT.txt.' Uma das vítimas do GandCrab 5.0.5 informou que os arquivos apresentavam a extensão '.cyyjg'. Por exemplo, 'Ristretto coffee.docx' é renomeado como 'Ristretto coffee.docx.cyyjg' e a nota de resgate é salva na área de trabalho como 'CYYJG-DECRYPT.txt'. A nota de resgate inclui várias alterações em comparação com versões anteriores. O texto em '[extensão em maiúsculas]-DECRYPT.txt' pode ser assim:

'--- =GANDCRAB V5.0.5=---
Atenção!
Todos os seus arquivos, documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e possuem a extensão: .ROTXKRY
O único método de recuperar arquivos é comprar uma chave privada exclusiva. Só podemos dar-lhe esta chave e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
---------------------------------
| 0. Faça o download do navegador Tor - hxxps://www.torproject[.]org /
| 1. Instalar o navegador Tor
| 2. Abra o Navegador Tor
| 3. Abra o link no navegador TOR: hxxp://gandcrabmfe6mnef[.]onion/113737081e857d00
| 4. Siga as instruções nesta página
-------------------------------
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
ATENÇÃO!
PARA PREVENIR DANOS DE DADOS:
* NÃO MODIFICAR ARQUIVOS ENCRIPTADOS
* NÃO MUDE DADOS ABAIXO
--- INICIAR A CHAVE GANDCRAB ---
[caracteres aleatórios]
--- END GANDCRAB KEY ---

--- INÍCIO DE DADOS DO PC ---
[identificador único]
--- END PC DATA --- '

O GandCrab 5.0.5 Ransomware continua sendo distribuído através de arquivos corrompidos do Microsoft Word, PDFs, páginas de phishing e atualizações falsas de fontes usadas no Mozilla Firefox e no Google Chrome. Como mencionado anteriormente, o GandCrab Ransomware é operado como uma plataforma d Ransomware-como-um-Serviço, e a ameaça é propagada de várias formas. Os usuários de PC são encorajados a evitar arquivos de locais não verificados e remetentes de e-mail e se abster de usar software pirata.

Atualização 3 de dezembro de 2018 - GandCrab 5.0.9 Ransomware

03 de dezembro de 2018 marcou uma grande atualização para o GandCrab Ransomware, que carrega o número de versão 5.0.9. O núcleo do GandCrab 5.0.9 Ransomware é o mesmo das versões anteriores, mas há novas funções adicionadas a ele, há novas camadas de ofuscação e a ameaça oferece serviços de descriptografia em troca de Bitcoin (BTC) e Dashcoin (DASH). Acredita-se que o GandCrab 5.0.9 Ransomware seja voltado para empresas de médio porte com pouca proteção para acesso remoto. A nova versão continua anexando uma extensão de arquivo personalizada que é gerada aleatoriamente em cada máquina infectada. Além disso, a nota de resgate é deixada em todas as pastas com dados criptografados.

O GandCrab 5.0.9 Ransomware pode estar em fase de testes no momento da redação, a julgar pela baixa taxa de infecção. Não há muitos relatórios de incidentes, mas as pesquisas indicaram que o GandCrab 5.0.9 Ransomware surgirá como a ameaça de criptografia dominante nos primeiros meses de 2019. Atualmente, o GandCrab 5.0.9 Ransomware é conhecido por anexar a extensão '.wwzaf'. e deixar uma mensagem intitulada 'WWZAF-DECRYPT.txt' nos diretórios. Por exemplo, 'Horizon Zero Dawn - The Frozen Wilds.docx' é renomeado para 'Horizon Zero Dawn - The Frozen Wilds.docx.wwzaf' e o usuário afetado é direcionado para ler o conteúdo do 'WWZAF-DECRYPT.txt' para obter as instruções de descriptografia. Os desktops comprometidos recebem uma nova imagem de fundo que é uma tela preta com o seguinte texto no centro:

'ENCRIPTADO POR GANDCRAB 5.0.9
SEUS ARQUIVOS ESTÃO SOB PROTEÇÃO FORTE POR NOSSO SOFTWARE. PARA RESTAURAR, VOCÊ DEVE COMPRAR DECRITOR
Para outras etapas, leia WWZAF-DECRYPT.txt, localizado em todas as pastas criptografadas.

O GandCrab 5.0.9 Ransomware emprega um novo layout de nota de resgate, mas continua a confiar na Rde TOR para verificar pagamentos de resgate. Como mencionado acima, os atores de Ransomware agora aceitam pagamentos em Bitcoin e Dashcoin conforme indicado no 'WWZAF-DECRYPT.txt':

'--- =GANDCRAB V5.0.9=---
*** EM NENHUMA CIRCUNSTÂNCIA, NÃO APAGUE ESTE ARQUIVO, ATÉ QUE TODOS OS SEUS DADOS SEJAM RECUPERADOS ***
*** FALHANDO PARA FAZER ISTO, RESULTARÁ NA SUA CORRUPÇÃO DO SISTEMA, SE HÁ ERROS DE DESCRIPTAÇÃO ***
Atenção!
Todos os seus arquivos, documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e têm a extensão: .WWZAFThe único método de recuperar arquivos é comprar uma chave privada exclusiva. Só podemos dar-lhe esta chave e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
0. Baixar o navegador Tor - hxxps: //www.torproject.org/
1. Instalar o navegador Tor
2. Abra o Navegador Tor
3. Abra o link no navegador TOR: h[tt]p://gandcrabmfe6mnef[.]onion/da9ad04e1e857d00
4. Siga as instruções nesta página
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
ATENÇÃO!
PARA PREVENIR DANOS DE DADOS:
* NÃO MODIFICAR ARQUIVOS ENCRIPTADOS
* NÃO MUDE DADOS ABAIXO
--- INICIAR A CHAVE GANDCRAB---
[caracteres aleatórios]
--- FINALIZAR A CHAVE DO GANDCRAB---
--- INÍCIAR OS DADOS DO PC---
[caracteres aleatórios]
--- FINALIZAR OS DADOS DO PC---'

Observa-se que a nova versão lê o nome da conta do sistema ativo e cumprimenta as vítimas com uma caixa de diálogo personalizada intitulada ';)' que diz: 'Olá, ' A caixa de diálogo é exibida por alguns segundos e, em seguida, seguida por outra mensagem de diálogo dizendo "Voltaremos em breve!;)' A única proteção confiável contra o GandCrab 5.0.9 Ransomware e ameaças cibernéticas semelhantes continua sendo a preparação, à medida que esses Trojans ransomware continuam a evoluir. Lembre-se de fazer backups de dados com a maior freqüência possível e ignorar e-mails de spam. As regras de detecção para o GandCrab 5.0.9 Ransomware nos arquivos apontam para:

Generic.Ransom.GandCrab4.56F1503D
Ran-GandCrabv4! 44C289E415E4
Ransom.Win32.GANDCRAB.SMK
Ransom: Win32 / Gandcrab.AW! Bit
TrojWare.Win32.Gandcrab.AA@7w10qu
Trojan (0053d33d1)
Trojan-Ransom.Win32.GandCrypt.fbd
Trojan.Encoder.26667
Trojan.Win32.Agent.142336.AE
Trojan.Win32.GandCrypt.4! C
Trojan.Win32.GandCrypt.fjrarj
Win32: MalOb-IF [Cryp]

Do You Suspect Your Computer May Be Infected with GandCrab Ransomware & Other Threats? Scan Your Computer with SpyHunter

SpyHunter is a powerful malware remediation and protection tool designed to help provide users with in-depth system security analysis, detection and removal of a wide range of threats like GandCrab Ransomware as well as a one-on-one tech support service. Download SpyHunter's FREE Malware Remover*
Free Remover allows you, subject to a 48-hour waiting period, one remediation and removal for results found. Read our EULA, Privacy Policy & Special Discount Terms. See more Free SpyHunter Remover details.

Informação Técnica

Detalhes Sobre os Arquivos do Sistema

GandCrab Ransomware cria o(s) seguinte(s) arquivo(s):
# Nome do arquivo Tamanho MD5 Contagem da Detecção
1 c:\users\user\desktop\0b46963657fb907372ec55ffde8712a45654de146a244d7604e73dcb2bf599ce 422,912 3be2d5f740549e7c1f5b96274c43324a 4
2 c:\users\user\desktop\c7197601b0e5cf5a38abe626007ffd05d36d4f205b6b62ab5d6f940590d42c8d.exe 256,512 62c35eca7549a33493ac084af02508dd 2
3 08f5f9d297da725a52f008362614f0b2 282,633 08f5f9d297da725a52f008362614f0b2 2
4 c:\users\salvucci\downloads\krablin.exe 144,384 77067974a70af43a3cadf88219d1e28c 1
5 j:\ransomware executables-found\xqtocbluhreqvo1orzi9za0ps.exe 561,152 76ebb7a68789191d71c62d3d3cd999f7 1
6 j:\ransomware executables-found\ikyg6fy5qjawlekos7t38klco.exe 365,352 b091826a997d9c0ca7dd5ad5ca2f7e2d 1
7 c:\users\user\desktop\5b13e0c41b955fdc7929e324357cd0583b7d92c8c2aedaf7930ff58ad3a00aed.exe 623,616 6134eed250273cbd030f10621ce0ad0b 1
8 c:\users\user\desktop\281972a2289e43f63cd4c00ce2b85c4a6cd7f95948cc9f656d4f7c2a59def40f.exe 598,528 477cf6d1fa576fc8fce2c79b4ba29af6 1
9 0483b66214816924425c312600cd6dba 597,504 0483b66214816924425c312600cd6dba 0
10 18d2a7deb97e9dc1153494bb04f06aa4 47,033 18d2a7deb97e9dc1153494bb04f06aa4 0
11 5d481e6f1ceef609ce470877ef803d4c 45,417 5d481e6f1ceef609ce470877ef803d4c 0
12 2e8a08da5a2f0e6abce5721974aa32ca 45,544 2e8a08da5a2f0e6abce5721974aa32ca 0
13 b189d127cb65cb98a49e7e6902f2e5dd 45,135 b189d127cb65cb98a49e7e6902f2e5dd 0
14 f0dcbb87d743ad612be8dc50e5d11906 45,155 f0dcbb87d743ad612be8dc50e5d11906 0
15 5d92b42c4f84d5284028f512f49a2326 45,035 5d92b42c4f84d5284028f512f49a2326 0
16 file.js 1,856,045 c141d377f77e18d5cc01dcd4b26fff79 0
17 file.doc 70,656 ff7784287a7d580b499442d256d32a68 0
18 47cdfd02c567bf7aad34ceafbf629692 102,388 47cdfd02c567bf7aad34ceafbf629692 0
19 69774172027aff9947f0b35abb6a9d91 421,888 69774172027aff9947f0b35abb6a9d91 0
20 447b5da63f64b6d8bc9190bc9e17805a 329,225 447b5da63f64b6d8bc9190bc9e17805a 0
21 f333a39f3c0a2ff0afde70ee764bec92 327,689 f333a39f3c0a2ff0afde70ee764bec92 0
22 bcb7fd8e5b9cdf135061e58095611786 329,225 bcb7fd8e5b9cdf135061e58095611786 0
23 c4fcaa936e2d5b2e4eecec0b9704d75e 250,377 c4fcaa936e2d5b2e4eecec0b9704d75e 0
24 b4da4d7e145b0fdd916456eece0974c0 466,944 b4da4d7e145b0fdd916456eece0974c0 0
25 36939afd1a2c325513d9ea4e684260d9 200,704 36939afd1a2c325513d9ea4e684260d9 0
Arquivos Adicionais

Detalhes sobre o Registro

GandCrab Ransomware cria a seguinte entrada de registro ou entradas de registro:
Regexp file mask
%APPDATA%\default.exe
%TEMP%\pidor.bmp
%TEMP%\WinNtBackend-[NUMBERS].tmp.exe
%WINDIR%\System32\drivers\etcsvchost.exe

Postagens Relacionadas

Isenção de Responsabilida do Site

Enigmasoftware.com is not associated, affiliated, sponsored or owned by the malware creators or distributors mentioned on this article. This article should NOT be mistaken or confused in being associated in any way with the promotion or endorsement of malware. Our intent is to provide information that will educate computer users on how to detect, and ultimately remove, malware from their computer with the help of SpyHunter and/or manual removal instructions provided on this article.

This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"