GandCrab Ransomware

GandCrab Ransomware Descrição

O GandCrab Ransomware é um Trojan ransomware de criptografia. O GandCrab Ransomware é entregue às vítimas normalmente através do uso de anexos de e-mail de spam corrompidos, que podem instalar o GandCrab Ransomware através do uso de scripts embutidos ruins. O GandCrab Ransomware parece ser uma ameaça independente e não faz parte de uma família maior de ransomware. Todos os dias, novas ameaças de ransomware estão surgindo, e o GandCrab Ransomware é apenas um dos inúmeros novos Trojans ransomware que estão sendo lançados pelos criminosos virtuais, que foi observado pela primeira vez em 27 de janeiro de 2018.

Como Reconhecer a Presença do GandCrab Ransomware em um Computador

O GandCrab Ransomware é executado no computador infectado usando o nome de arquivo 'GandCrab.exe'. O GandCrab Ransomware usa a criptografia AES-256 para tornar os arquivos da vítima inacessíveis. Uma vez que o GandCrab Ransomware criptografa os arquivos, eles não poderão mais ser recuperados sem a chave de descriptografia, que essas pessoas mantêm em sua posse. O GandCrab Ransomware toma os arquivos da vítima como reféns até que a vítima concorde em pagar um grande resgate em troca da chave de decodificação. O GandCrab Ransomware representa uma séria ameaça, e os usuários de computador são aconselhados a tomar medidas preventivas contra o GandCrab Ransomware e os inúmeros Trojans ransomware que existem hoje em dia. O GandCrab Ransomware marca os arquivos criptografados pelo ataque com a extensão de arquivo '.GDCB', que é adicionada ao final do nome de cada arquivo afetado.

O Pedido de Resgate do GandCrab Ransomware

O GandCrab Ransomware entregará uma nota de resgate na forma de um arquivo de texto chamado 'GDCB-DECRYPT.txt', que é colocado na Biblioteca de Documentos do computador infectado e na área de trabalho do computador infectado. O texto da nota de resgate do GandCrab Ransomware diz:

'- =GANDCRAB= -
Atenção!
Todos os seus arquivos de documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e possuem a extensão: .GDCB
O único método de recuperar arquivos é comprar uma chave privada. Está no nosso servidor e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
1. Faça o download do navegador Tor - h[tt]ps://www.torproject[.]org /
2. Instalar o navegador Tor
3. Abra o Navegador Tor
4. Abra o link no navegador tor: h [tt] ps: // gdcbghvjyqy7jclk [.] Onion / 6361f798c4ba3647
5. Siga as instruções nesta página
Se o navegador Tor / Tor estiver bloqueado em seu país ou você não puder instalá-lo, abra um dos seguintes links em seu navegador normal:
1.h[tt]ps://gdcbghvjyqy7jclk.onion[.]top/6361f798c4ba3647
2. h[tt]ps://gdcbghvjyqy7jclk.onion[.]casa/6361f798c4ba3647
3. h[tt]ps://gdcbghvjyqy7jclk.onion[.]guide/6361f798c4ba3647
4. h[tt]ps://gdcbghvjyqy7jclk.onion[.]rip/6361f798c4ba3647
5. h[tt]ps://gdcbghvjyqy7jclk.onion[.]plus/6361f798c4ba3647
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
PERIGOSO!
Não tente modificar arquivos ou usar sua própria chave privada - isso resultará na perda de seus dados para sempre! '

Quando as vítimas do ataque tentam se conectar ao domínio associado ao GandCrab Ransomware, a seguinte mensagem e texto será exibida:

'Bem vindo!
NÓS SOMOS DESLUMBIDOS, MAS TODOS OS SEUS ARQUIVOS FOI ENCRIPTADO!
ATÉ ONDE SABEMOS:
País
OS
Usuário de PC
Nome do PC
Grupo de PC
PC Lang.
HDD
Data de criptografia
Quantidade de seus arquivos
Volume de seus arquivos
Mas não se preocupe, você pode devolver todos os seus arquivos! Nós podemos ajudar você!
Abaixo você pode escolher um dos seus arquivos criptografados do seu PC e descriptografá-lo, é um decodificador de teste para você.
Mas podemos descriptografar apenas um arquivo gratuitamente.
ATENÇÃO! Não tente usar ferramentas de descriptografia de terceiros! Porque isso irá destruir seus arquivos!
O que você precisa?
Você precisa do GandCrab Decryptor. Este software irá descriptografar todos os seus arquivos criptografados e excluirá o GandCrab do seu PC. Para compra, você precisa do DASH de criptografia (1 DASH = 760,567 $)
. Como comprar essa moeda, você pode lê-la aqui.
Quanto dinheiro você precisa pagar? Abaixo estamos quantidade especificada e nossa carteira para pagamento
Preço: 1,5 DASH (1200 USD) '

O pedido de resgate do GandCrab Ransomware usa o Dash, uma moeda digital não muito diferente do Bitcoin. Os pesquisadores de segurança do PC são fortemente aconselhados a ignorar o conteúdo da nota de resgate do GandCrab Ransomware.

Atualização de 26 de outubro de 2018 - GandCrab 5.0.5 Ransomware

O GandCrab 5.0.5 Ransomware é uma versão atualizada do GandCrab Ransomware que foi relatada pelos analistas de malware perto do final de outubro de r2018. O lançamento do GandCrab 5.0.5 Ransomware é notável devido a mudanças no processo de criptografia e ao fato de ter surgido logo depois que um instrumento de descriptografia grátis foi lançado pela Europol (agência de segurança pública da União Européia) e parceiros no setor de segurança cibernética. O descriptografador gratuito foi possível graças à equipe do GandCrab ter lançano um decodificador gratuito para os usuários de PC na Síria, que pediram ajuda para recuperar fotos de familiares e parentes perdidos na Guerra Civil Síria de 2017-2018. Os pesquisadores de malware conseguiram desenvolver uma ferramenta baseada no código carregado pela equipe do GandCrab na Internet. Seguiu-se um curto período de teste e muitos utilizadores de PC afetados pelo Gand Crab v4 Ransomware receberam notificações de que podiam baixar um decifrador gratuito da Europol.

Infelizmente, o sucesso dos esforços conjuntos da indústria de segurança cibernética foi de curta duração. Os atores de ransomware empurraram a atualização do GandCrab 5.0.5 para os seus distribuidores, e a ameaça conseguiu comprometer mais usuários. A versão GandCrab 5.0.5 usa uma nova instrução de criptografia que torna o decodificador grátis obsoleto. É possível usar o instrumento da Europol para decifrar os arquivos afetados pelo GandCrab v4. No entanto, o novo GandCrab 5.0.5 Ransomware é invulnerável a tentativas de engenharia reversa. Vimos o GandCrab 5.0.5 Ransomware anexar cinco caracteres aleatórios a nomes de arquivos e deixar uma nota de resgate chamada '[extensão em maiúsculas]-DECRYPT.txt.' Uma das vítimas do GandCrab 5.0.5 informou que os arquivos apresentavam a extensão '.cyyjg'. Por exemplo, 'Ristretto coffee.docx' é renomeado como 'Ristretto coffee.docx.cyyjg' e a nota de resgate é salva na área de trabalho como 'CYYJG-DECRYPT.txt'. A nota de resgate inclui várias alterações em comparação com versões anteriores. O texto em '[extensão em maiúsculas]-DECRYPT.txt' pode ser assim:

'--- =GANDCRAB V5.0.5=---
Atenção!
Todos os seus arquivos, documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e possuem a extensão: .ROTXKRY
O único método de recuperar arquivos é comprar uma chave privada exclusiva. Só podemos dar-lhe esta chave e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
---------------------------------
| 0. Faça o download do navegador Tor - hxxps://www.torproject[.]org /
| 1. Instalar o navegador Tor
| 2. Abra o Navegador Tor
| 3. Abra o link no navegador TOR: hxxp://gandcrabmfe6mnef[.]onion/113737081e857d00
| 4. Siga as instruções nesta página
-------------------------------
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
ATENÇÃO!
PARA PREVENIR DANOS DE DADOS:
* NÃO MODIFICAR ARQUIVOS ENCRIPTADOS
* NÃO MUDE DADOS ABAIXO
--- INICIAR A CHAVE GANDCRAB ---
[caracteres aleatórios]
--- END GANDCRAB KEY ---

--- INÍCIO DE DADOS DO PC ---
[identificador único]
--- END PC DATA --- '

O GandCrab 5.0.5 Ransomware continua sendo distribuído através de arquivos corrompidos do Microsoft Word, PDFs, páginas de phishing e atualizações falsas de fontes usadas no Mozilla Firefox e no Google Chrome. Como mencionado anteriormente, o GandCrab Ransomware é operado como uma plataforma d Ransomware-como-um-Serviço, e a ameaça é propagada de várias formas. Os usuários de PC são encorajados a evitar arquivos de locais não verificados e remetentes de e-mail e se abster de usar software pirata.

Atualização 3 de dezembro de 2018 - GandCrab 5.0.9 Ransomware

03 de dezembro de 2018 marcou uma grande atualização para o GandCrab Ransomware, que carrega o número de versão 5.0.9. O núcleo do GandCrab 5.0.9 Ransomware é o mesmo das versões anteriores, mas há novas funções adicionadas a ele, há novas camadas de ofuscação e a ameaça oferece serviços de descriptografia em troca de Bitcoin (BTC) e Dashcoin (DASH). Acredita-se que o GandCrab 5.0.9 Ransomware seja voltado para empresas de médio porte com pouca proteção para acesso remoto. A nova versão continua anexando uma extensão de arquivo personalizada que é gerada aleatoriamente em cada máquina infectada. Além disso, a nota de resgate é deixada em todas as pastas com dados criptografados.

O GandCrab 5.0.9 Ransomware pode estar em fase de testes no momento da redação, a julgar pela baixa taxa de infecção. Não há muitos relatórios de incidentes, mas as pesquisas indicaram que o GandCrab 5.0.9 Ransomware surgirá como a ameaça de criptografia dominante nos primeiros meses de 2019. Atualmente, o GandCrab 5.0.9 Ransomware é conhecido por anexar a extensão '.wwzaf'. e deixar uma mensagem intitulada 'WWZAF-DECRYPT.txt' nos diretórios. Por exemplo, 'Horizon Zero Dawn - The Frozen Wilds.docx' é renomeado para 'Horizon Zero Dawn - The Frozen Wilds.docx.wwzaf' e o usuário afetado é direcionado para ler o conteúdo do 'WWZAF-DECRYPT.txt' para obter as instruções de descriptografia. Os desktops comprometidos recebem uma nova imagem de fundo que é uma tela preta com o seguinte texto no centro:

'ENCRIPTADO POR GANDCRAB 5.0.9
SEUS ARQUIVOS ESTÃO SOB PROTEÇÃO FORTE POR NOSSO SOFTWARE. PARA RESTAURAR, VOCÊ DEVE COMPRAR DECRITOR
Para outras etapas, leia WWZAF-DECRYPT.txt, localizado em todas as pastas criptografadas.

O GandCrab 5.0.9 Ransomware emprega um novo layout de nota de resgate, mas continua a confiar na Rde TOR para verificar pagamentos de resgate. Como mencionado acima, os atores de Ransomware agora aceitam pagamentos em Bitcoin e Dashcoin conforme indicado no 'WWZAF-DECRYPT.txt':

'--- =GANDCRAB V5.0.9=---
*** EM NENHUMA CIRCUNSTÂNCIA, NÃO APAGUE ESTE ARQUIVO, ATÉ QUE TODOS OS SEUS DADOS SEJAM RECUPERADOS ***
*** FALHANDO PARA FAZER ISTO, RESULTARÁ NA SUA CORRUPÇÃO DO SISTEMA, SE HÁ ERROS DE DESCRIPTAÇÃO ***
Atenção!
Todos os seus arquivos, documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e têm a extensão: .WWZAFThe único método de recuperar arquivos é comprar uma chave privada exclusiva. Só podemos dar-lhe esta chave e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
0. Baixar o navegador Tor - hxxps: //www.torproject.org/
1. Instalar o navegador Tor
2. Abra o Navegador Tor
3. Abra o link no navegador TOR: h[tt]p://gandcrabmfe6mnef[.]onion/da9ad04e1e857d00
4. Siga as instruções nesta página
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
ATENÇÃO!
PARA PREVENIR DANOS DE DADOS:
* NÃO MODIFICAR ARQUIVOS ENCRIPTADOS
* NÃO MUDE DADOS ABAIXO
--- INICIAR A CHAVE GANDCRAB---
[caracteres aleatórios]
--- FINALIZAR A CHAVE DO GANDCRAB---
--- INÍCIAR OS DADOS DO PC---
[caracteres aleatórios]
--- FINALIZAR OS DADOS DO PC---'

Observa-se que a nova versão lê o nome da conta do sistema ativo e cumprimenta as vítimas com uma caixa de diálogo personalizada intitulada ';)' que diz: 'Olá, ' A caixa de diálogo é exibida por alguns segundos e, em seguida, seguida por outra mensagem de diálogo dizendo "Voltaremos em breve!;)' A única proteção confiável contra o GandCrab 5.0.9 Ransomware e ameaças cibernéticas semelhantes continua sendo a preparação, à medida que esses Trojans ransomware continuam a evoluir. Lembre-se de fazer backups de dados com a maior freqüência possível e ignorar e-mails de spam. As regras de detecção para o GandCrab 5.0.9 Ransomware nos arquivos apontam para:

Generic.Ransom.GandCrab4.56F1503D
Ran-GandCrabv4! 44C289E415E4
Ransom.Win32.GANDCRAB.SMK
Ransom: Win32 / Gandcrab.AW! Bit
TrojWare.Win32.Gandcrab.AA@7w10qu
Trojan (0053d33d1)
Trojan-Ransom.Win32.GandCrypt.fbd
Trojan.Encoder.26667
Trojan.Win32.Agent.142336.AE
Trojan.Win32.GandCrypt.4! C
Trojan.Win32.GandCrypt.fjrarj
Win32: MalOb-IF [Cryp]

Você Suspeita que o Seu PC pode ter sido Infectado por GandCrab Ransomware e Outras Ameaças? Digitalize o Seu PC with o SpyHunter

O SpyHunter é uma poderosa ferramenta de proteção e remediação de malware, projetada para ajudar a fornecer aos usuários de PC análises detalhadas da segurança do sistema, detecção e remoção de uma ampla gama de ameaças, tais como GandCrab Ransomware, bem como um serviço de suporte técnico individualizado. Download SpyHunter's FREE Malware Remover
Note: SpyHunter's scanner is only for malware detection. If SpyHunter detects malware on your PC, you will need to purchase SpyHunter's malware removal tool to remove the malware threats. Read more on SpyHunter. Free Remover allows you to run a one-off scan and receive, subject to a 48-hour waiting period, one remediation and removal. Free Remover subject to promotional details and Special Promotion Terms. To understand our policies, please also review our EULA, Privacy Policy and Threat Assessment Criteria. If you no longer wish to have SpyHunter installed on your computer, follow these steps to uninstall SpyHunter.

Problemas de segurança não permitem que você baixe o SpyHunter ou acesse a Internet?

Soluções: O seu computador pode ter malware escondido na memória, o que impede que qualquer programa, inclusive o SpyHunter, seja executado no seu computador. Siga as instruçōes para baixar o SpyHunter e obter acesso à Internet:
  • Use um navegador alternativo. O malware pode desativar o seu navegador. Se estiver usando o IE, por exemplo, e tiver problemas ao fazer o download do SpyHunter, você deve abrir o navegador do Firefox, Chrome ou Safari.
  • Use uma mídia removível. Faça o download do SpyHunter em outro computador que esteja limpo, grave-o em uma unidade flash USB, DVD/CD ou qualquer mídia removível que você preferir, instale-o no seu computador infectado e execute o digitalizador do SpyHunter.
  • Inicie o Windows no Modo de Segurança. Se não conseguir acessar o ambiente de trabalho do Windows, reinicie o computador no "Modo de Segurança com Rede" e Instale o SpyHunter no Modo de Segurança.
  • Usuários do IE: Desabilitem os servidores proxy do Internet Explorer para navegar na Internet com o Internet Explorer ou atualizem os seus programas anti-spyware. O malware modifica as configurações do Windows para usar um servidor proxy e impedir que você navegue na rede com o IE.
Se você continua não conseguindo instalar o SpyHunter? Veja outras possíveis causas para os problemas de instalação.

Informação Técnica

Detalhes Sobre os Arquivos do Sistema

GandCrab Ransomware cria o(s) seguinte(s) arquivo(s):
# Nome do arquivo Tamanho MD5 Contagem da Detecção
1 %TEMP%bec2.tmp.exe 128,000 f5ab356fbb5adb2e8d03a4ba166704ad 1
2 0802(16).exe 131,587 2abb7a89b55d46c1b847904099ce43c0 0
3 0YO0WG7U0X.exe 131,584 c1684f3b4af35a1e5bdce409cfb26b77 0
4 3.exe 131,584 9cdfaacb1b0b916d0904df2cdbcc548f 0
5 4GCZK6W7.exe 136,192 288b741eacadf546ce046f814b4041de 0
6 7c5e6320254d3249787312cfd21715d2374319016eb38fd1f17553b946568755.exe 301,856 44894de21b880ecd3755f33fcf4141e2 0
7 9f1aeca41d2da7ef2a441961077474f1_rn.bin 131,584 f43eba1eb3056b453cd21b6dd903be86 0
8 Crack_Ghost_Mouse_Auto_Clicker.exe 210,432 97a910c50171124f2cd8cfc7a4f2fa4f 0
9 TempDkh72.Exe 126,464 2c79b1c6565616109cd38bd13e1b6019 0
10 base64.bin 125,440 9a680a7ff23746d92f4bb274c50be4a5 0
11 c.exe 131,584 53707d5e961973692f9b8bd5b2bc7de3 0
12 d037789b5cb4fe596173e242979da10bc385e0d82bd65d3ee7eca74b52416621.exe 123,680 119e0ab423a589300abdf2cd24acd2b0 0
13 d4dbce48727ef125396060c8c8743657c8b6bd7c1cdbb443b7be6780fb9f8dbe.exe 301,856 d88175973b609831b0f4c52e1f386d1a 0
14 d77378dcc42b912e514d3bd4466cdda050dda9b57799a6c97f70e8489dd8c8d0.exe 187,392 07fadb006486953439ce0092651fd7a6 0
15 gc.exe 143,360 4893880bce579d21085eacea2f6d2b8e 0
Arquivos Adicionais

Postagens Relacionadas

Isenção de Responsabilida do Site

O Enigmasoftware.com não é associado, afiliado, patrocinado ou pertence aos criadores ou distribuidores dos malwares que são mencionados neste artigo. Este artigo NÃO deve ser julgado equivocadamente ou confundido como sendo associado, de alguma forma, com a promoção ou o endosso de malware. A nossa intenção é fornecer informações que vão elucidar os usuários de computador sobre como detectar, e no final remover as ameaças de malware dos seus PCs, com a ajuda do SpyHunter e/ou das instruções para a remoção manual fornecidas neste artigo.

Este artigo foi escrito com base nas condições atuais existentes e unicamente com propósitos de informação e esclarecimento. Seguindo qualquer uma das instruções contidas neste artigo, você concorda em ficar vinculado à nossa isenção de responsabilidade. Nós não garantimos que este artigo vá ajuda-lo a remover completamente as ameaças de malware existentes no seu PC. O spyware sofre modificações regularmente, portanto, é muito difícil limpar manualmente, e de forma completa, uma máquina infectada.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"