GandCrab Ransomware

GandCrab Ransomware Описание

Тип: Ransomware

Программа-вымогатель GandCrab - это вредоносная программа, которая шифрует данные на зараженных компьютерах и требует выплаты выкупа в обмен на средство дешифрования. Этот криптовирус впервые появился в конце января этого года, и с тех пор исследователи идентифицировали несколько различных версий GandCrab, среди которых GDCB, GandCrab v2, GandCrab v3, GandCrab v4 и GandCrab v5. Последняя версия была обнаружена около месяца назад, в сентябре 2018 года. Функции и механизмы шифрования этой программы-вымогателя эволюционировали с момента ее первого появления - в то время как первые три версии использовали алгоритмы шифрования RSA и AES для блокировки данных на зараженном устройстве, версия 4 и выше используют дополнительный и более сложный шифр, такой как Salsa20. Исследователи вредоносных программ считают, что это делается в основном из-за соображений скорости, поскольку шифр Salsa20 работает намного быстрее. Шаблон выбора файлов для шифрования также претерпел изменения. Исходная версия проверила файлы для шифрования по определенному списку расширений файлов, тогда как вторая и все последующие версии GandCrab вместо этого имеют список исключений и шифруют все другие файлы, которые не отображаются в этом списке. Также увеличена сумма требуемого выкупа.

На этой неделе в вредоносном ПО, эпизод 21, часть 3: GandCrab, REvil, Sodinokibi Ransomware-угрозы остаются чрезвычайно опасными в четвертом квартале 2020 года

GandCrab в основном распространяется через спам-сообщения, комплекты эксплойтов, поддельные обновления и взломанное легальное программное обеспечение. Характерной особенностью всех случаев GandCrab является то, что эта программа-вымогатель добавляет определенные расширения к зашифрованным файлам. В зависимости от того, какая версия вредоносной программы заразила компьютер, эти расширения файлов могут быть .gdcb, .krab, .crab, .lock или комбинацией случайных 5–10 букв. В исходной версии GandCrab была критическая ошибка в коде, из-за которой ключ дешифрования оставался в памяти зараженного компьютера, поэтому компания по борьбе с вредоносными программами в сотрудничестве с Европолом и румынской полицией быстро разработала дешифратор и предложила его бесплатно. скачать на NoMoreRansom.org. Тем не менее, почти сразу после этого авторы вредоносного ПО выпустили обновленную версию, в которой ошибка была исправлена, так что дешифратор больше не работает для всех последующих версий. На данный момент нет бесплатных инструментов дешифрования для распространенных в настоящее время версий программы-вымогателя GandCrab, поэтому пользователям следует проявлять особую осторожность при серфинге в Интернете или открытии сообщений электронной почты. Лучший совет против программ-вымогателей - это, вероятно, хранить резервные копии всех ваших ценных данных на внешних устройствах хранения.

Первые три версии GandCrab следуют базовой процедуре

Как только GandCrab проникает в систему, он запускает процесс сканирования и шифрования файлов, выбирая наиболее ценные данные, хранящиеся на компьютере, и пытается охватить все типы контента, такие как изображения, фотографии, видео, базы данных, архивы, Microsoft Office / Open Office. документы, музыкальные файлы и т. д. После того, как вредоносная программа завершила процесс шифрования, пользователь не имеет доступа к зашифрованным файлам, а в текстовом файле с именем GDCB-DECRYPT.txt отображается следующая записка с требованием выкупа:

"= GANDCRAB = -
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы и имеют расширение: .GDCB.
Единственный метод восстановления файлов - это покупка закрытого ключа. Он находится на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Добраться сюда можно следующими способами:
1. Загрузите браузер Tor - https://www.torproject.org/
2. Установите браузер Tor.
3. Откройте браузер Tor.
4. Откройте ссылку в браузере: http://gdcbghvjyqy7jclk.onion/[id].
5. Следуйте инструкциям на этой странице.
На нашей странице вы увидите инструкции по оплате и получите возможность бесплатно расшифровать 1 файл.
ОПАСНЫЙ!
Не пытайтесь изменять файлы или использовать собственный закрытый ключ - это приведет к потере данных навсегда! "

Если пользователь выполнит все необходимые шаги, он попадет на веб-страницу под названием GandCrab decryptor, где прочитает, что ему придется заплатить сумму в 1,54 DASH, что эквивалентно примерно 1200 долларам, за инструмент дешифрования. Также предоставляется соответствующий адрес DASH, на который должен быть отправлен выкуп. Веб-сайт вредоносного ПО также предлагает возможность загрузить один файл для бесплатной расшифровки, чтобы убедить пользователя в его надежности, и, кроме того, пользователь получает доступ к чату поддержки. Чтобы запугать жертв, владельцы вредоносных программ также указывают конкретный период, в течение которого должен быть выплачен выкуп, и угрожают уничтожить файлы по истечении этого периода или увеличить сумму запрашиваемого выкупа. Оплата в DASH возможна только для первой и второй версии вредоносного ПО.

Исследователи вредоносных программ советуют никогда не подчиняться правилам киберпреступников, поскольку существуют альтернативные способы восстановления ваших данных. Программа-вымогатель GandCrab может быть удалена с помощью профессиональных инструментов для удаления, в то время как эксперты не рекомендуют пытаться очистить ваш компьютер самостоятельно, если вы не являетесь опытным пользователем. Изощренные программы-вымогатели такого типа могут маскировать свои операции и файлы под законные процессы, что означает, что вы можете легко завершить работу важного системного файла при попытке удалить какой-либо вредоносный объект, что, в свою очередь, может привести к непоправимому повреждению вашего компьютера. .

Третья версия, известная как GandCrab v3, появилась в конце апреля с более мощными методами шифрования и специально нацелена на пользователей в странах бывшего Советского Союза, таких как Украина, Казахстан, Беларусь и Россия. В дополнение к алгоритму шифрования RSA-2048, известному по предыдущим версиям, GandCrab v3 также выполняет шифрование AES-256 (режим CBC) для блокировки личных файлов и других данных. Зашифрованные файлы имеют расширение .CRAB, в то время как отображаемая записка с требованием выкупа выглядит довольно знакомой. Однако, в отличие от версий 1 и 2, эта версия не принимает оплату в DASH, а вместо этого просит жертву заплатить сумму выкупа в биткойнах. В этой версии также есть возможность изменить обои пользователя на записку о выкупе, при этом рабочий стол постоянно переключается между обоями и запиской о выкупе, чтобы дополнительно запугать жертву. Еще одна новая функция - это ключ реестра автозапуска RunOnce:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ whtsxydcvmtC: \ Documents and Settings \ Administrator \ Application Data \ Microsoft \ yrtbsc.exe

Последующие версии GandCrab поставляются с новыми расширенными функциями

GandCrab v4

В июле этого года GandCrab v4 последовал за своими предшественниками. Он также использует алгоритмы шифрования AES-256 (режим CBC) и RSA-2048, хотя эта версия вымогателя добавляет расширение .KRAB к зашифрованным файлам. Эта расширенная угроза также использует быстрый и эффективный криптографический алгоритм, называемый Tiny Encryption Algorithm (TEA), чтобы избежать обнаружения антивирусными программами.

Версия 4 также представляет новый алгоритм шифрования. GandCrab v4 генерирует два ключа RSA, которые используются для шифрования каждого файла - открытый и закрытый ключ. Во время процедуры шифрования вредоносная программа шифрует каждый файл с помощью специально сгенерированного случайного ключа Salsa20 и случайного вектора инициализации (IV), которые затем шифруются с помощью открытого ключа RSA, сгенерированного вначале. Закрытый ключ RSA остается в реестре и сам зашифровывается с помощью другого ключа Salsa20 и IV, которые, в свою очередь, зашифровываются с помощью открытого ключа RSA, встроенного в вредоносную программу. После завершения процесса шифрования появляется новое 8-байтовое поле с ключом файла и IV добавляется к содержимому затронутого файла, увеличивая, таким образом, его размер. Этот сложный метод шифрования делает GandCrab v4 очень мощным, поскольку файлы не могут быть расшифрованы без закрытого ключа, соответствующего встроенному общедоступному ключу. Дополнительное осложнение также связано с тем, что программа-вымогатель удаляет весь теневой том на зараженном компьютере, поэтому файлы не могут быть восстановлены с помощью этого механизма. Наконец, GandCrab также удаляет себя с машины. На этот раз записка о выкупе содержится в двух разных файлах с именами KRAB - DECRYPT.txt и CRAB - DECRYPT.txt.

Затем в следующей версии GandCrab v4.1 есть еще одна новая функция - он может взаимодействовать с сетью вместо получения команд от C&C сервера. Эта версия вымогателя также не требует подключения к Интернету для распространения, и были предположения, что она может использовать транспортный протокол SMB для своего распространения, аналогично вирусам Petya и WannaCry, которые также использовали эксплойт SMB. Даже если это еще не так, эксперты предупреждают, что эта возможность GandCrab может быть представлена в некоторых из следующих версий вредоносного ПО, поэтому пользователи должны убедиться, что они установили все доступные исправления. Новым в этой версии также является то, что ключи дешифрования находятся на сервере злоумышленников и доступны только самим киберпреступникам. Кроме того, для каждого зараженного компьютера создается новый ключ, поэтому ключи дешифрования нельзя использовать повторно. Новой функцией следующего GandCrab v4.2 является специальный код, способный обнаруживать виртуальные машины, и в этом случае вредоносная программа останавливает свою работу.

Для GandCrab v4.1 было разработано приложение-вакцина, которое работает путем создания специального файла в целевой системе, который обманывает программу-вымогатель, что данные уже зашифрованы. Приложение вакцины доступно в Интернете, но работает только для этой конкретной версии и предыдущих версий, но не для v4.1.2 и последующих версий. Создатели вредоносного ПО быстро нашли способ сделать уловку неэффективной - v4.2.1 появилась в начале августа со встроенным сообщением компании, разработавшей вакцину, и ссылкой на эксплойт исходного кода, который был разработан для атаки продукт этой компании. Этот код представляет собой проект Visual Studio и содержит данные на русском языке. Версия 4.3 появилась почти одновременно с v4.2.1, но также имела несколько изменений. Одно из изменений - удален код обнаружения виртуальных машин, так как он не всегда работал должным образом.

GandCrab v5

В сентябре появились последние версии GandCrab - GandCrab v5, GandCrab v5.0.1, v5.0.2 и v5.0.4. Новые функции включают в себя возможность использовать для зашифрованных файлов случайно сгенерированные расширения от 5 до 10 букв вместо предопределенных, как это было в предыдущих версиях программы-вымогателя. Версия v5.0.2 добавляет десять случайно выбранных букв в качестве расширения файла к каждому зашифрованному файлу, в то время как последующая версия v5.0.4 использует случайное расширение файла из 8 символов. GandCrab v5 имеет новый формат примечания о выкупе, в котором имя файла выглядит так: [randomly_generated_extension] - DECRYPT.html. В отличие от некоторых старых версий, HTML-примечание о выкупе объясняет только, как загрузить браузер TOR, в то время как хакерская платежная страница, размещенная в сети TOR, дает остальную информацию о том, что произошло с файлами пользователя. Требуемый выкуп - это сумма в DASH или биткойнах, и на этот раз она эквивалентна от 800 до 2400 долларов.

Версии от v5.0.1 и выше снова используют формат текстового файла для записки о выкупе, но остальное остается прежним. Записка с требованием выкупа GandCrab v5.0.1 содержится в файле с именем [random_extension] -Decrypt.txt и требует использования анонимной связи через браузер TOR. Он гласит следующее:

"- = GANDCRAB V5.0.1 = -
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы и имеют расширение:
Единственный метод восстановления файлов - это покупка уникального закрытого ключа. Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Добраться сюда можно следующими способами:>
—————————————————————————————->
• Загрузите браузер Tor - https://www.torproject.org/
• Установите браузер Tor
• Откройте браузер Tor.
• Открыть ссылку в браузере TOR: http://gandcrabmfe6mnef.onion/e499c8afc4ba3647
• Следуйте инструкциям на этой странице.
—————————————————————————————-
На нашей странице вы увидите инструкции по оплате и получите возможность бесплатно расшифровать 1 файл.
ВНИМАНИЕ!
ВО ПРЕДОТВРАЩЕНИЕ ПОВРЕЖДЕНИЯ ДАННЫХ:
* НЕ МОДИФИЦИРУЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
* НЕ МЕНЯЙТЕ ДАННЫЕ НИЖЕ "

При посещении страницы TOR злоумышленников жертва читает следующее сообщение:

«Сожалеем, но ваши файлы зашифрованы!
Не волнуйтесь, мы поможем вам вернуть все ваши файлы!
Стоимость дешифратора файлов - 2400 долларов США.
Если оплата не будет произведена до 20.07.2018 02:32:41 UTC, стоимость расшифровки файлов будет удвоена.
Сумма увеличена вдвое!
Осталось удвоить цену:
—————————————————————————————–
В чем дело? Купить GandCrab Decryptor Поддержка 24/7 Тестовая расшифровка
—————————————————————————————–
Пожалуйста, включите JavaScript !!
В чем дело?
Ваш компьютер заражен программой-вымогателем GandCrab. Ваши файлы были зашифрованы, и вы не можете их расшифровать самостоятельно.
В сети вы, вероятно, можете найти дешифраторы и стороннее программное обеспечение, но это вам не поможет, а только сделает ваши файлы не дешифруемыми.
Что я могу сделать, чтобы вернуть свои файлы?
Вам следует купить GandCrab Decryptor. Это программное обеспечение поможет вам расшифровать все ваши зашифрованные файлы и удалить GandCrab Ransomware с вашего компьютера.
Текущая цена: 2400 долларов США. В качестве оплаты вам понадобится криптовалюта DASH или биткойн.
Какие гарантии вы можете мне дать?
Вы можете использовать тестовую расшифровку и расшифровать 1 файл бесплатно
Что такое криптовалюта и как я могу купить GandCrab Decryptor?
Вы можете прочитать больше о криптовалюте в Google или здесь.
В качестве оплаты вы должны купить DASH или биткойны с помощью кредитной карты и отправить монеты на наш адрес.
Как я могу вам заплатить?
Вы должны купить биткойны или DASH с помощью кредитной карты. Ссылки на сервисы, где это можно сделать: список бирж Dash, список бирж биткойнов.
После этого перейдите на нашу страницу оплаты Купить GandCrab Decryptor, выберите способ оплаты и следуйте инструкциям ».

Чтобы обеспечить его постоянство и гарантировать, что его вредоносный сценарий запускается автоматически при каждой загрузке операционной системы Windows, v5.0.2 добавляет записи в реестр Windows:

HKEY_CURRENT_USER \ Панель управления \ Международный
HKEY_CURRENT_USER \ Панель управления \ Международный \ Имя локали
HKEY_CURRENT_USER \ Раскладка клавиатуры \ Предварительная загрузка
HKEY_CURRENT_USER \ Раскладка клавиатуры \ Предварительная загрузка \ 1
HKEY_CURRENT_USER \ Раскладка клавиатуры \ Предварительная загрузка \ 2
HKEY_CURRENT_USER \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ keys_data \ data
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0 \ Идентификатор
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0 \ ProcessorNameString
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Wbem \ CIMOM
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ Максимальный размер файла журнала
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ Logging
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows NT \ CurrentVersion
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ productName
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ ex_data \ data
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ ex_data \ data \ ext
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ keys_data \ data
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ keys_data \ data \ private
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ keys_data \ data \ public
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Tcpip \ Parameters \ Domain

Эта версия программы-вымогателя также может быть запрограммирована на удаление всех теневых копий томов из операционной системы Windows. Делается это с помощью команды:

«→ vssadmin.exe удалить тени / все / Тихо»

Когда эта команда выполняется, шифрование файлов становится более эффективным, поскольку устраняется один из возможных способов восстановления поврежденных данных.

Вредоносная нагрузка GandCrab 5.0.2 была обнаружена антивирусными программами под разными именами, среди которых:

  • Выкуп.
  • Trojan-Ransom.Win32.GandCrypt.fbd
  • TR / AD.GandCrab.wizji
  • Троян [Ransom] /Win32.GandCrypt
  • Trojan-Ransom.Win32.GandCrypt.fbd
  • Выкуп: Win32 / GandCrab.MTC! Bit
  • ML.Attribute.HighConfidence

Каналы распространения программ-вымогателей GandCrab

Кампании по рассылке спама по электронной почте

Исследователи кибербезопасности выделили несколько способов распространения опасной программы-вымогателя GandCrab. Один из известных каналов распространения этого вредоносного ПО - рассылка спама по электронной почте от отправителей с разными именами. В этом случае киберпреступники полагаются на методы социальной инженерии, при этом вредоносные электронные письма маскируются под счета, квитанции о покупках или другие документы, которые могут показаться достаточно убедительными, чтобы обманом заставить пользователя открыть их для «дальнейших подробностей». Общим для писем от некоторых прошлых спам-кампаний GandCrab является то, что вторая часть адреса - это @ cdkconstruction.org, а в строке темы указано «Квитанция, февраль- [случайные числа]». Вредоносная программа обычно встраивается во вложение PDF, а в теле сообщения написано «DOC прилагается». Когда пользователь нажимает на вредоносные вложения, в систему загружается файл .doc.file. Затем этот файл запускает сценарий PowerShell и создает новый файл эксплойта, который в некоторых версиях вредоносного ПО называется «sct5.txt». Однако этот файл эксплойта не запускает фактическую полезную нагрузку вредоносного ПО; вместо этого он действует как посредник, через который вирус попадает внутрь системы. GandCrab v4.3 также распространялся через спам-сообщения с прикрепленным файлом «.egg» - типом сжатого архивного файла, популярного в Южной Корее. Эта кампания, впервые обнаруженная в августе этого года, нацелена на пользователей в Южной Корее, особенно потому, что авторы использовали хангыль в строке темы, в теле электронных писем, а также в названии вредоносного вложения файла .egg. Поврежденные сообщения были замаскированы под уведомление о некоторой проблеме "нарушения электронной коммерции", в которой предположительно обвиняется получатель. Потенциальной жертве необходимо распаковать файл и открыть любой из двух файлов, оставшихся после распаковки, для запуска программы-вымогателя GandCrab.

Наборы эксплойтов

Еще один канал распространения, обнаруженный исследователями, - это набор эксплойтов Magnitude (Magnitude EK), который хакеры ранее использовали для распространения вымогателей Magniber в Южной Корее. Пока что исследователи считают, что Magnitude EK в основном используется для распространения второй версии GandCrab. Этот комплект предоставляет особую безотказную технику для запуска программы-вымогателя, при которой вредоносная программа кодируется с помощью сценариев VBScript.Encode / JScript.Encode и затем вводится прямо в память целевого компьютера. После выполнения полезной нагрузки GandCrab подключается к файлу explorer.exe, вызывает принудительную перезагрузку, а затем запускает шифровальщик, который блокирует файлы и добавляет к ним расширение файла .CRAB. GandCrab также распространялся через кампанию с поврежденной онлайн-рекламой, известную как «Бесшовная», где злоумышленники использовали другой комплект эксплойтов под названием RIG EK. Этот набор эксплойтов обнаруживает уязвимости в целевых системах, через которые он может ввести шифровальный вирус. Также известно, что для распространения этой вредоносной программы использовался третий комплект эксплойтов, а именно GrandSoft EK. Он также способен обнаруживать и злоупотреблять уязвимостями безопасности в целевых системах. Обнаруженный в сентябре новый набор эксплойтов под названием Fallout также был обнаружен для распространения программы-вымогателя GandCrab. Fallout следует процедурам, которые очень похожи на активный набор эксплойтов, ранее называвшийся Nuclear. Fallout использует две уязвимости для доставки вредоносных данных. Первый - это ошибка удаленного выполнения кода в движке Windows VBScript (CVE - 2018 - 8174); второй - недостаток безопасности в Adobe Flash (CVE - 2018 - 4878), который Fallout использует в случае, если не удается использовать VBScript. После успешного использования этих недостатков Fallout генерирует шелл-код для получения зашифрованных данных. Затем он расшифровывает эту полезную нагрузку и выполняет встроенный в нее код. В некоторых случаях Fallout также может быть запрограммирован на установку трояна, который проверяет наличие определенных процессов безопасности, а не на выполнение каких-либо дальнейших действий, если они присутствуют в целевой системе. Что касается GandCrab v5.0.1, известно, что он использует уязвимость CVE-2018-0896, которая находится в ядре Windows и позволяет потенциальным злоумышленникам получать информацию, с помощью которой они могут обойти случайную выборку адресного пространства (ASLR). Этой уязвимостью можно воспользоваться, если злоумышленник запустит специально созданное приложение при входе в систему на целевой машине. GandCrab v5.0.2 может иметь такую же возможность, но это еще не подтверждено.

Программа-вымогатель как услуга (RaaS)

Наконец, GandCrab также предлагается как программа-вымогатель как услуга (RaaS) с круглосуточной технической поддержкой на российских подпольных хакерских форумах. Собранные данные показывают, что разработчики вредоносного ПО уже получили более 600 000 долларов в виде выкупа благодаря партнерской программе GandCrab, в которой участвующие субъекты получили от разработчиков вредоносного ПО от 60 до 70% доходов. По словам исследователей, партнерские программы насчитывают 100 участников, 80 из которых распространили 700 различных образцов программ-вымогателей, при этом более 70% зараженных компьютеров находятся либо в США, либо в Великобритании. Поэтому эксперты изначально рассматривали программу-вымогатель GandCrab как угрозу, специально нацеленную на англоговорящих жертв. Однако более поздние версии вредоносного ПО превзошли это предложение, поскольку они поддерживают несколько дополнительных языков, включая французский, немецкий, итальянский и японский.

Требование выкупа программы-вымогателя GandCrab

Программа-вымогатель GandCrab доставит записку о выкупе в виде текстового файла с именем GDCB-DECRYPT.txt, который помещается в библиотеку документов зараженного компьютера и на рабочий стол зараженного компьютера. Текст записки о выкупе GandCrab Ransomware гласит:

'- = GANDCRAB = -
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы и имеют расширение: .GDCB.
Единственный метод восстановления файлов - это покупка закрытого ключа. Он находится на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Добраться сюда можно следующими способами:
1. Загрузите браузер Tor - h [tt] ps: //www.torproject [.] Org /
2. Установите браузер Tor.
3. Откройте браузер Tor.
4. Откройте ссылку в браузере: h [tt] ps: // gdcbghvjyqy7jclk [.] Onion / 6361f798c4ba3647
5. Следуйте инструкциям на этой странице.
Если браузер Tor / Tor заблокирован в вашей стране или вы не можете его установить, откройте одну из следующих ссылок в своем обычном браузере:
1.h [tt] ps: //gdcbghvjyqy7jclk.onion [.] Top / 6361f798c4ba3647
2. h [tt] ps: //gdcbghvjyqy7jclk.onion [.] Casa / 6361f798c4ba3647
3. h [tt] ps: //gdcbghvjyqy7jclk.onion [.] Guide / 6361f798c4ba3647
4. h [tt] ps: //gdcbghvjyqy7jclk.onion [.] Rip / 6361f798c4ba3647
5. h [tt] ps: //gdcbghvjyqy7jclk.onion [.] Plus / 6361f798c4ba3647
На нашей странице вы увидите инструкции по оплате и получите возможность бесплатно расшифровать 1 файл.
ОПАСНЫЙ!
Не пытайтесь изменять файлы или использовать собственный закрытый ключ - это приведет к потере данных навсегда! '

Когда жертвы атаки пытаются подключиться к домену, связанному с программой-вымогателем GandCrab, отображается следующее сообщение и текст:

'Добро пожаловать!
Сожалеем, НО ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
НАСКОЛЬКО МЫ ЗНАЕМ:
Страна
Операционные системы
Пользователь ПК
Имя ПК
Группа ПК
PC Lang.
HDD
Дата шифрования
Количество ваших файлов
Объем ваших файлов
Но не волнуйтесь, вы можете вернуть все свои файлы! Мы можем помочь тебе!
Ниже вы можете выбрать один из ваших зашифрованных файлов на своем ПК и расшифровать его, это тестовый дешифратор для вас.
Но мы можем бесплатно расшифровать только 1 файл.
ВНИМАНИЕ! Не пытайтесь использовать сторонние инструменты дешифрования! Потому что это уничтожит ваши файлы!
Что вам нужно?
Вам нужен GandCrab Decryptor. Это программное обеспечение расшифрует все ваши зашифрованные файлы и удалит GandCrab с вашего компьютера. Для покупки необходима криптовалюта DASH (1 DASH = 760,567 $). О том, как купить эту валюту, читайте здесь.
Сколько денег нужно заплатить? Ниже указана сумма и наш кошелек для оплаты.
Цена: 1.5 DASH (1200 долларов) '

Требование выкупа GandCrab Ransomware использует Dash, криптовалюту, мало чем отличную от Биткойна. Исследователям безопасности ПК настоятельно рекомендуется игнорировать содержание записки о выкупе GandCrab Ransomware.

Обновление 26 октября 2018 г. - GandCrab 5.0.5 Ransomware

Программа-вымогатель GandCrab 5.0.5 - это обновленная версия программы-вымогателя GandCrab, о которой аналитики вредоносных программ сообщили в конце октября 2018 года. Выпуск программы-вымогателя GandCrab 5.0.5 примечателен изменениями в процессе шифрования и тем фактом, что оно появилось вскоре после того, как Европол (правоохранительное агентство Европейского Союза) и партнеры в индустрии кибербезопасности выпустили бесплатный инструмент дешифрования. Бесплатный дешифратор стал возможен благодаря тому, что команда GandCrab выпустила бесплатный дешифратор для пользователей ПК в Сирии, которые просили помощи в восстановлении семейных фотографий родственников, потерянных в сирийской гражданской войне 2017-2018 годов. Исследователям вредоносных программ удалось разработать инструмент на основе кода, загруженного командой GandCrab в Интернет. Последовал короткий период тестирования, и многие пользователи ПК, пострадавшие от программы-вымогателя Gand Crab v4, получили уведомления о том, что они могут загрузить бесплатный дешифратор из Европола.

К сожалению, успех совместных усилий индустрии кибербезопасности оказался недолгим. Злоумышленники отправили обновление GandCrab 5.0.5 своим дистрибьюторам, и угрозе удалось скомпрометировать большее количество пользователей. Версия GandCrab 5.0.5 использует новую инструкцию шифрования, которая делает бесплатный дешифратор устаревшим. Можно использовать инструмент от Европола для расшифровки файлов, затронутых GandCrab v4. Однако новая программа-вымогатель GandCrab 5.0.5 неуязвима для попыток обратного проектирования. Мы видели, как программа-вымогатель GandCrab 5.0.5 прикрепляла пять случайных символов к именам файлов и выдавала записку с требованием выкупа под названием «[расширение в верхнем регистре] -DECRYPT.txt». Одна из жертв GandCrab 5.0.5 сообщила, что файлы имеют расширение .cyyjg. Например, «Ristretto coffee.docx» переименован в «Ristretto coffee.docx.cyyjg», а записка с требованием выкупа сохраняется на рабочем столе как «CYYJG-DECRYPT.txt». Записка о выкупе включает несколько изменений по сравнению с более ранними версиями. Текст в '[расширение в верхнем регистре] -DECRYPT.txt' может выглядеть следующим образом:

'--- = GANDCRAB V5.0.5 = ---
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы и имеют расширение: .ROTXKRY.
Единственный метод восстановления файлов - это покупка уникального закрытого ключа. Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Добраться сюда можно следующими способами:
---------------------------------
| 0. Загрузите браузер Tor - hxxps: //www.torproject [.] Org /
| 1. Установите браузер Tor.
| 2. Откройте браузер Tor.
| 3. Откройте ссылку в браузере TOR: hxxp: // gandcrabmfe6mnef [.] Onion / 113737081e857d00
| 4. Следуйте инструкциям на этой странице.
-------------------------------
На нашей странице вы увидите инструкции по оплате и получите возможность бесплатно расшифровать 1 файл.
ВНИМАНИЕ!
ВО ПРЕДОТВРАЩЕНИЕ ПОВРЕЖДЕНИЯ ДАННЫХ:
* НЕ МОДИФИЦИРУЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
* НЕ МЕНЯЙТЕ ДАННЫЕ НИЖЕ
--- НАЧАТЬ КЛЮЧ GANDCRAB ---
[случайные символы]
--- КОНЕЦ КЛЮЧ GANDCRAB ---

--- НАЧАТЬ ДАННЫЕ ПК ---
[уникальный идентификатор]
--- КОНЕЧНЫЕ ДАННЫЕ ПК --- '

Программа-вымогатель GandCrab 5.0.5 продолжает распространяться через поврежденные файлы Microsoft Word, PDF-файлы, фишинговые страницы и поддельные обновления шрифтов, используемых в Mozilla Firefox и Google Chrome. Как упоминалось ранее, программа-вымогатель GandCrab работает как платформа-вымогатель как услуга, и угроза распространяется в различных формах. Пользователям ПК рекомендуется избегать файлов из непроверенных мест и отправителей электронной почты, а также воздерживаться от использования пиратского программного обеспечения.

Обновление от 3 декабря 2018 г. - GandCrab 5.0.9 Ransomware

3 декабря 2018 г. знаменуется крупным обновлением программы-вымогателя GandCrab, которая имеет номер версии 5.0.9. Ядро программы-вымогателя GandCrab 5.0.9 такое же, как и в более ранних версиях, но в него добавлены новые функции, есть новые уровни запутывания, а угроза предлагает услуги дешифрования в обмен на биткойны (BTC) и Dashcoin (DASH). Считается, что программа-вымогатель GandCrab 5.0.9 предназначена в первую очередь для компаний среднего размера с плохой защитой удаленного доступа. В новой версии по-прежнему добавляется пользовательское расширение файла, которое случайным образом генерируется для каждой зараженной машины. Кроме того, записка с требованием выкупа попадает в каждую папку с зашифрованными данными внутри.

GandCrab 5.0.9 Ransomware может находиться на стадии тестирования на момент написания, судя по низкому коэффициенту заражения. Сообщений об инцидентах немного, но исследования экстраполировали, что программа-вымогатель GandCrab 5.0.9 станет доминирующей крипто-угрозой в первые месяцы 2019 года. В настоящее время известно, что программа-вымогатель GandCrab 5.0.9 прикрепляет расширение .wwzaf. и перетащите в каталоги сообщение с названием «WWZAF-DECRYPT.txt». Например, «Horizon Zero Dawn-The Frozen Wilds.docx» переименован в «Horizon Zero Dawn-The Frozen Wilds.docx.wwzaf», и затронутый пользователь получает указание прочитать содержимое «WWZAF-DECRYPT.txt» для дешифрования. инструкции. На взломанных рабочих столах появляется новое фоновое изображение в виде черного экрана со следующим текстом в центре:

ЗАШИФРОВАНО GANDCRAB 5.0.9
ВАШИ ФАЙЛЫ НАСТОЯТЕЛЬНО ЗАЩИЩЕНЫ НАШЕМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ. ДЛЯ ВОССТАНОВЛЕНИЯ НЕОБХОДИМО КУПИТЬ ДЕКРИПТОР
Для дальнейших шагов прочтите WWZAF-DECRYPT.txt, который находится в каждой зашифрованной папке.

Программа-вымогатель GandCrab 5.0.9 использует новый макет примечания о выкупе, но продолжает полагаться на сеть TOR для проверки выплат выкупа. Как упоминалось выше, участники программы-вымогателя теперь принимают платежи в биткойнах и дэшкойнах, как указано в файле WWZAF-DECRYPT.txt:

'--- = GANDCRAB V5.0.9 = ---
*** НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ, ПОКА ВСЕ ВАШИ ДАННЫЕ НЕ ВОССТАНОВЛЕНЫ ***
*** НЕОБХОДИМО ЭТО ПРИВЕСТИ К ПОВРЕЖДЕНИЮ ВАШЕЙ СИСТЕМЫ, ЕСЛИ ЕСТЬ ОШИБКИ РАСШИФРОВКИ ***
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы и имеют расширение: .WWZAFЕдинственный метод восстановления файлов - это покупка уникального закрытого ключа. Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Добраться сюда можно следующими способами:
0. Загрузите браузер Tor - hxxps: //www.torproject.org/
1. Установите браузер Tor.
2. Откройте браузер Tor.
3. Откройте ссылку в браузере TOR: h [tt] p: // gandcrabmfe6mnef [.] Onion / da9ad04e1e857d00
4. Следуйте инструкциям на этой странице.
На нашей странице вы увидите инструкции по оплате и получите возможность бесплатно расшифровать 1 файл.
ВНИМАНИЕ!
ВО ПРЕДОТВРАЩЕНИЕ ПОВРЕЖДЕНИЯ ДАННЫХ:
* НЕ МОДИФИЦИРУЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
* НЕ МЕНЯЙТЕ ДАННЫЕ НИЖЕ
--- НАЧАТЬ КЛЮЧ GANDCRAB ---
[случайные символы]
--- КОНЕЦ КЛЮЧ GANDCRAB ---
--- НАЧАТЬ ДАННЫЕ ПК ---
[случайные символы]
--- КОНЕЧНЫЕ ДАННЫЕ ПК --- '

Новая версия считывает имя активной системной учетной записи и приветствует жертв с помощью настраиваемого диалогового окна под названием «;)», в котором написано «Привет,.» Диалоговое окно отображается на несколько секунд, а затем следует другое диалоговое сообщение, в котором говорится: «Мы скоро вернемся! ;). ' Единственной надежной защитой от программ-вымогателей GandCrab 5.0.9 и аналогичных киберугроз остается подготовка, поскольку эти трояны-вымогатели продолжают развиваться. Не забывайте делать резервные копии данных как можно чаще и не обращайте внимания на спам. Правила обнаружения программы-вымогателя GandCrab 5.0.9 указывают на файлы, помеченные:

Generic.Ransom.GandCrab4.56F1503D
Ран-ГандКрабv4! 44C289E415E4
Ransom.Win32.GANDCRAB.SMK
Выкуп: Win32 / Gandcrab.AW! Bit
TrojWare.Win32.Gandcrab.AA@7w10qu
Троян (0053d33d1)
Trojan-Ransom.Win32.GandCrypt.fbd
Trojan.Encoder.26667
Trojan.Win32.Agent.142336.AE
Trojan.Win32.GandCrypt.4! C
Trojan.Win32.GandCrypt.fjrarj
Win32: MalOb-IF [Шифрование]

Техническая информация

Скриншоты и другие изображения

SpyHunter обнаруживает и удаляет GandCrab Ransomware

Сведения о файловой системе

GandCrab Ransomware создает следующие файлы:
# Имя файла MD5 Количество обнаружений
1 jwadeb.exe 832ad5f26958178abe0070db138ba542 34
2 32630cnl.exe c0645cee077359f0e7d0a98a4b23b22d 7
3 0b46963657fb907372ec55ffde8712a45654de146a244d7604e73dcb2bf599ce 3be2d5f740549e7c1f5b96274c43324a 4
4 r1[1].exe 0e5a2bc5655320bfe2bc5c36ab404641 2
5 default[1].exe d9ebd35f303eb73c37245c2ec2a86d3d 2
6 gccccc1111.exe e43344a5ba0c90b92224cddd43de674e 2
7 krablin.exe 77067974a70af43a3cadf88219d1e28c 1
8 xqtocbluhreqvo1orzi9za0ps.exe 76ebb7a68789191d71c62d3d3cd999f7 1
9 ikyg6fy5qjawlekos7t38klco.exe b091826a997d9c0ca7dd5ad5ca2f7e2d 1
10 5b13e0c41b955fdc7929e324357cd0583b7d92c8c2aedaf7930ff58ad3a00aed.exe 6134eed250273cbd030f10621ce0ad0b 1
11 ff8836362eda2ac9bfaca9f8073191df ff8836362eda2ac9bfaca9f8073191df 0
12 28c4782e7f66250c7aeb9257cae3c10d 28c4782e7f66250c7aeb9257cae3c10d 0
13 f5a43bdce5bfa305aa91e2ffdf3066d4 f5a43bdce5bfa305aa91e2ffdf3066d4 0
14 0483b66214816924425c312600cd6dba 0483b66214816924425c312600cd6dba 0
15 18d2a7deb97e9dc1153494bb04f06aa4 18d2a7deb97e9dc1153494bb04f06aa4 0
16 5d481e6f1ceef609ce470877ef803d4c 5d481e6f1ceef609ce470877ef803d4c 0
17 2e8a08da5a2f0e6abce5721974aa32ca 2e8a08da5a2f0e6abce5721974aa32ca 0
18 b189d127cb65cb98a49e7e6902f2e5dd b189d127cb65cb98a49e7e6902f2e5dd 0
19 f0dcbb87d743ad612be8dc50e5d11906 f0dcbb87d743ad612be8dc50e5d11906 0
20 5d92b42c4f84d5284028f512f49a2326 5d92b42c4f84d5284028f512f49a2326 0
21 file.js c141d377f77e18d5cc01dcd4b26fff79 0
22 file.doc ff7784287a7d580b499442d256d32a68 0
23 69774172027aff9947f0b35abb6a9d91 69774172027aff9947f0b35abb6a9d91 0
24 b4da4d7e145b0fdd916456eece0974c0 b4da4d7e145b0fdd916456eece0974c0 0
25 36939afd1a2c325513d9ea4e684260d9 36939afd1a2c325513d9ea4e684260d9 0
Больше файлов

Детали реестра

GandCrab Ransomware создает следующую запись реестра или записи реестра:
Regexp file mask
%APPDATA%\default.exe
%TEMP%\pidor.bmp
%TEMP%\WinNtBackend-[NUMBERS].tmp.exe
%WINDIR%\System32\drivers\etcsvchost.exe

Отказ от ответственности за сайт

Enigmasoftware.com не связан, не аффилирован, не спонсируется и не принадлежит создателям или распространителям вредоносного ПО, упомянутым в этой статье . Эту статью НЕ следует ошибочно или путать, поскольку она каким-либо образом связана с продвижением или одобрением вредоносного ПО. Наша цель - предоставить информацию, которая научит пользователей компьютеров тому, как обнаруживать и, в конечном итоге, удалять вредоносные программы со своих компьютеров с помощью SpyHunter и/или инструкций по удалению вручную, приведенных в этой статье.

Эта статья предоставляется «как есть» и предназначена только для использования в образовательных информационных целях.Следуя любым инструкциям в этой статье, вы соглашаетесь с отказом от ответственности. Мы не даем никаких гарантий, что эта статья поможет вам полностью удалить вредоносные программы с вашего компьютера. Шпионское ПО регулярно меняется; поэтому полностью очистить зараженную машину вручную сложно.