GandCrab病毒

GandCrab勒索軟件是一種惡意軟件威脅，可以對受影響的計算機上的數據進行加密，並要求支付贖金以換取解密工具。該加密病毒於今年1月底首次出現，此後研究人員確定了GandCrab的幾種不同版本，其中包括GDCB，GandCrab v2，GandCrab v3，GandCrab v4和GandCrab v5。該勒索軟件的最新版本已於大約一個月前於2018年9月被發現。此勒索軟件的功能和加密機制自首次出現以來就得到了發展-最初的三個版本使用RSA和AES加密算法來鎖定受感染設備上的數據，版本4及更高版本使用了其他更複雜的密碼，例如Salsa20。惡意軟件研究人員認為，這樣做主要是出於速度方面的考慮，因為Salsa20密碼要快得多。選擇要加密的文件的模式也已發展。原始版本已檢查文件以針對特定的文件擴展名列表進行加密，而第二個及所有後續GandCrab版本則具有排除列表，並對未出現在該列表中的所有其他文件進行加密。所需贖金的數額也有所增加。

GandCrab主要通過垃圾郵件，漏洞利用工具包，偽造更新和破解的合法軟件進行分發。所有GandCrab案例的一個特徵是，該勒索軟件向加密文件添加了特定的擴展名。根據文件的惡意軟件感染計算機的類型，這些文件擴展名可以是.gdcb，.krab，.crab，.lock或5到10個隨機字母的組合。 GandCrab的初始版本在代碼中存在一個嚴重錯誤，該錯誤將解密密鑰保留在受感染計算機的內存中，因此一家反惡意軟件公司與Europol和羅馬尼亞警察合作，迅速開發了一個解密器並免費提供在NoMoreRansom.org上下載。但是，幾乎在此之後，惡意軟件作者已經發布了已修復該缺陷的更新版本，以便解密器不再適用於所有後續版本。目前，尚無針對當前發行的GandCrab勒索軟件的免費解密工具，因此用戶在網上沖浪或打開電子郵件時應格外小心。抵制勒索軟件的最佳技巧可能是將所有有價值的數據備份到外部存儲設備上。

GandCrab的前三個版本遵循基本例程

GandCrab滲透到系統後，它將立即開始文件掃描和加密過程，以存儲在計算機上的最有價值的數據為目標，並嘗試覆蓋所有類型的內容，例如圖像，照片，視頻，數據庫，檔案，Microsoft Office / Open Office文檔，音樂文件等。惡意軟件完成加密過程後，用戶將無法訪問加密文件，而以下贖金記錄顯示在名為GDCB-DECRYPT.txt的文本文件中：

“ = GANDCRAB =-
注意！
您的所有文件文檔，照片，數據庫和其他重要文件均已加密，並具有擴展名：.GDCB
恢復文件的唯一方法是購買私鑰。它在我們的服務器上，只有我們可以恢復您的文件。
帶有密鑰的服務器位於封閉的網絡TOR中。您可以通過以下方式到達那裡：
1.下載Tor瀏覽器– https://www.torproject.org/
2.安裝Tor瀏覽器
3.打開Tor瀏覽器
4.在Tor瀏覽器中打開鏈接：http://gdcbghvjyqy7jclk.onion/[id]
5.按照此頁面上的說明進行操作
在我們的頁面上，您會看到付款說明，並有機會免費解密1個文件。
危險！
不要嘗試修改文件或使用自己的私鑰-這將導致您的數據永遠丟失！”

如果用戶按照所有必需的步驟操作，他們將進入一個名為GandCrab解密器的網頁，在該網頁上他們將看到，他們必須為解密工具支付1.54 DASH（約合1200美元）的費用。還提供了贖金應發送至的相應DASH地址。該惡意軟件網站還提供了上傳一個文件以進行免費解密的可能性，以使用戶確信其可靠性，此外，該用戶還可以訪問支持聊天。為了恐嚇受害者，惡意軟件所有者還指出了應該支付贖金的特定期限，並威脅要在該期限到期後銷毀文件或提高所要求的贖金數額。 DASH支付僅適用於第一版和第二版惡意軟件。

惡意軟件研究人員建議不要遵循網絡犯罪分子的規則，因為有其他方法可以恢復您的數據。可以使用專業的刪除工具刪除GandCrab勒索軟件，而除非您是專家用戶，否則專家建議您不要嘗試自行清潔PC。這類勒索軟件威脅能夠將其操作和文件偽裝成合法進程，這意味著您可以在試圖刪除某些惡意對象時輕鬆終止重要的系統文件，從而可能對計算機造成無法彌補的損害。 。

第三個版本稱為GandCrab v3，它在4月底出現了更強大的加密方法，並專門針對烏克蘭，哈薩克斯坦，白俄羅斯和俄羅斯等前蘇聯國家的用戶。除了先前版本中已知的RSA-2048加密算法外，GandCrab v3還提供AES -256（CBC模式）加密來鎖定個人文件和其他數據。加密文件的擴展名為.CRAB，而所顯示的贖金記錄看起來很熟悉。與版本1和版本2不同，該版本不接受DASH支付，而是要求受害者以比特幣支付贖金。此版本還具有將用戶的牆紙更改為贖金票據的能力，從而使桌面在牆紙和贖金票據之間不斷切換，以進一步恐嚇受害者。另一個新功能是RunOnce自動運行註冊表項：

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ whtsxydcvmtC：\ Documents and Settings \ Administrator \ Application Data \ Microsoft \ yrtbsc.exe

後續的GandCrab版本帶有新的高級功能

GandCrab v4

今年7月，GandCrab v4緊隨其前身。它也利用AES-256（CBC模式）和RSA-2048加密算法，儘管此版本的勒索軟件在加密文件中添加了.KRAB擴展名。這種高級威脅還使用一種稱為Tiny Encryption Algorithm（TEA）的快速高效的加密算法來避免從反病毒程序中進行檢測。

第4版也引入了新的加密算法。 GandCrab v4生成兩個用於加密每個文件的RSA密鑰-公共密鑰和私有密鑰。在加密過程中，惡意軟件使用專門生成的隨機Salsa20密鑰和隨機初始化向量（IV）對每個文件進行加密，然後使用開始時生成的公共RSA密鑰對其進行加密。 RSA私鑰保留在註冊表中，並使用另一個Salsa20密鑰和IV本身進行加密，然後又使用嵌入到惡意軟件中的RSA公鑰進行加密。加密過程完成後，將出現一個新的8字節字段使用文件密鑰並將IV添加到受影響文件的內容中，從而增加了文件的大小。這種複雜的加密方法使GandCrab v4非常強大，因為如果沒有與嵌入式公鑰相對應的私鑰，則無法解密文件。勒索軟件會刪除受感染計算機上的所有捲影，以致無法通過該機制恢復文件，這也使問題更加複雜。最後，GandCrab還將自己從計算機中刪除。這次，贖金記錄包含在兩個不同的文件中，分別命名為KRAB-DECRYPT.txt和CRAB-DECRYPT.txt。

然後，以下GandCrab v4.1版本具有另一個新功能-它可以與網絡通信，而不必從C＆C服務器接收命令。此版本的勒索軟件也不需要Internet連接即可傳播，並且有人猜測它可以使用SMB傳輸協議進行分發，類似於也使用SMB漏洞利用的Petya和WannaCry病毒。即使不是這種情況，專家警告說，GandCrab的此功能可能會在即將發布的惡意軟件版本中引入，因此用戶應確保已安裝所有可用的補丁程序。此版本中的新功能是解密密鑰位於攻擊者的服務器上，並且只能由網絡犯罪分子自己訪問。此外，還會為每台受感染的計算機專門生成一個新密鑰，以使解密密鑰無法重複使用。以下GandCrab v4.2的新功能是一種特殊代碼，能夠檢測虛擬機，在這種情況下，惡意軟件會停止其運行。

對於GandCrab v4.1，已經開發了一種疫苗應用程序，它可以通過在目標系統上創建一個特殊文件來欺騙勒索軟件，使該文件認為數據已經被加密了。疫苗應用程序可在線使用，但僅適用於此特定版本和之前的版本，不適用於v4.1.2和後續版本。惡意軟件的創建者迅速找到了使該技巧失效的方法-v4.2.1於8月初出現，其中包含向開發疫苗的公司的合併消息，以及指向旨在攻擊惡意軟件的源代碼利用程序的鏈接。該公司的產品。該代碼代表一個Visual Studio項目，並且包含俄語數據。版本4.3與v4.2.1幾乎同時出現，但也有一些更改。更改之一是虛擬機檢測代碼已刪除，因為它並不總是能夠正常運行。

GandCrab v5

GandCrab的最新版本於9月出現-GandCrab v5，GandCrab v5.0.1，v5.0.2和v5.0.4。新功能包括能夠對加密文件使用隨機生成的5到10個字母擴展名，而不是勒索軟件先前版本中觀察到的預定擴展名。 v5.0.2版向每個加密文件添加十個隨機選擇的字母作為文件擴展名，而後續的v5.0.4使用隨機的8個字符文件擴展名。 GandCrab v5具有新的贖金記錄格式，由此文件名如下所示：[randomly_genic_extension]-DECRYPT.html。與某些較舊的版本不同，HTML贖金註釋僅說明瞭如何下載TOR瀏覽器，而託管在TOR網絡上的黑客付款頁面則提供了有關用戶文件已發生事件的其餘信息。所需的贖金是DASH或比特幣的金額，這一次相當於800美元至2400美元。

v5.0.1及更高版本的版本再次將文本文件格式用於贖金記錄，但其餘部分保持不變。 GandCrab v5.0.1贖金票據包含在名為[random_extension] -Decrypt.txt的文件中，並且需要通過TOR瀏覽器使用匿名通信。它讀取以下內容：

“ – = GANDCRAB V5.0.1 =-
注意！
您的所有文件，文檔，照片，數據庫和其他重要文件均已加密，並且具有以下擴展名：
恢復文件的唯一方法是購買唯一的私鑰。只有我們才能為您提供此密鑰，只有我們才能恢復您的文件。
帶有密鑰的服務器位於封閉的網絡TOR中。您可以通過以下方式到達那裡：
——————————————————————————————
•下載Tor瀏覽器– https://www.torproject.org/
•安裝Tor瀏覽器
•打開Tor瀏覽器
•在TOR瀏覽器中打開鏈接：http://gandcrabmfe6mnef.onion/e499c8afc4ba3647
•按照此頁面上的說明進行操作
——————————————————————————————
在我們的頁面上，您會看到付款說明，並有機會免費解密1個文件。
注意！
為了防止數據損壞：
*請勿修改加密的文件
*不要更改下面的數據”

當訪問攻擊者的TOR頁面時，受害者閱讀以下消息：

“很抱歉，您的文件已加密！
不用擔心，我們可以幫助您返回所有文件！
文件解密器的價格是2400美元
如果要到2018年7月20日02:32:41 UTC才付款，則解密文件的費用將增加一倍
金額翻倍！
剩餘價格翻倍的時間：
——————————————————————————————
什麼事？購買GandCrab Decryptor支持24/7測試解密
——————————————————————————————
請打開JavaScript！
什麼事？
您的計算機已感染GandCrab勒索軟件。您的文件已加密，不能自己解密。
在網絡中，您可能會找到解密器和第三方軟件，但它無濟於事，只能使您的文件不可解密
我該怎麼做才能取回文件？
您應該購買GandCrab解密器。該軟件將幫助您解密所有加密的文件，並從PC中刪除GandCrab Ransomware。
當前價格：2,400.00美元付款時，您需要加密貨幣DASH或比特幣
你能給我什麼保證？
您可以免費使用測試解密和解密1個文件
什麼是加密貨幣，我如何購買GandCrab Decryptor？
您可以在Google或此處閱讀有關加密貨幣的更多詳細信息。
作為付款，您必須使用信用卡購買DASH或比特幣，然後將硬幣發送到我們的地址。
我該如何付款給您？
您必須使用信用卡購買比特幣或DASH。鏈接到您可以執行的服務：破折號交換列表，比特幣交換列表
之後，轉到我們的付款頁面“購買GandCrab解密器”，選擇您的付款方式，然後按照說明進行操作。”

為了實現其持久性並確保其惡意腳本在Windows操作系統每次啟動時自動運行，v5.0.2將條目添加到Windows註冊表中：

HKEY_CURRENT_USER \控制面板\國際
HKEY_CURRENT_USER \控制面板\國際\區域設置名稱
HKEY_CURRENT_USER \鍵盤佈局\預加載
HKEY_CURRENT_USER \鍵盤佈局\預加載\ 1
HKEY_CURRENT_USER \鍵盤佈局\預加載\ 2
HKEY_CURRENT_USER \ SOFTWARE \ keys_data \ data
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0 \ Identifier
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0 \ ProcessorNameString
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ Log文件的最大大小
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ Logging
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ productName
HKEY_LOCAL_MACHINE \ SOFTWARE \ ex_data \ data
HKEY_LOCAL_MACHINE \ SOFTWARE \ ex_data \ data \ ext
HKEY_LOCAL_MACHINE \ SOFTWARE \ keys_data \ data
HKEY_LOCAL_MACHINE \ SOFTWARE \ keys_data \ data \ private
HKEY_LOCAL_MACHINE \ SOFTWARE \ keys_data \ data \ public
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Tcpip \ Parameters \ Domain

還可以對該版本的勒索軟件進行編程，以從Windows操作系統刪除所有捲影副本。這是通過以下命令完成的：

“→vssadmin.exe刪除陰影/全部/安靜”

執行此命令後，文件加密將變得更加高效，因為消除了恢復損壞數據的一種可能方法。

GandCrab 5.0.2惡意有效載荷已被反惡意軟件程序檢測到各種不同的名稱，其中包括：

• 贖金蟹
• Trojan-Ransom.Win32.GandCrypt.fbd
• TR / AD.GandCrab.wizji
• 木馬[勒索] /Win32.GandCrypt
• Trojan-Ransom.Win32.GandCrypt.fbd
• 勒索：Win32 / GandCrab.MTC！bit
• ML.Attribute.HighConfidence

GandCrab勒索軟件發行渠道

垃圾郵件運動

網絡安全研究人員已經確定了分發危險GandCrab勒索軟件的幾種方法。這種惡意軟件傳播的已知渠道之一是來自具有不同名稱的發件人的垃圾郵件活動。在這種情況下，網絡罪犯依靠社會工程學技術，將惡意電子郵件偽裝成發票，購物收據或其他聽起來可信的文件，誘使用戶打開它們以獲取“更多詳細信息”。過去的GandCrab垃圾郵件活動的電子郵件所共有的是，地址的第二部分是@ cdkconstruction.org，而主題行包含“ Receipt Feb- [Random number]”。通常，該惡意軟件會嵌入PDF附件中，而消息正文中會顯示“ DOC附件”。當用戶單擊惡意附件時，系統將下載一個.doc.file。然後，該文件運行PowerShell腳本並創建一個新的漏洞利用文件，在某些惡意軟件的版本中，該文件名為“ sct5.txt”。但是，此漏洞利用文件不會運行實際的惡意軟件有效負載；相反，它充當病毒進入系統內部的中介媒介。 GandCrab v4.3還通過帶有附件“ .egg”文件的垃圾郵件發送，該文件是一種在韓國流行的壓縮存檔文件。該活動於今年8月首次檢測到，它的目標用戶是韓國用戶，特別是因為作者在主題行，電子郵件正文以及惡意.egg文件附件的名稱中使用了Hangul。損壞的消息已偽裝成通知某些“電子商務違規”問題的通知，該問題應被指控為收件人。潛在的受害者需要解壓縮文件並打開解壓縮後剩下的兩個文件中的任何一個，以執行GandCrab勒索軟件。

漏洞利用套件

研究人員發現的另一種分佈渠道是Magnitude Exploit Kit（Magnitude EK），黑客以前曾在韓國散佈Magniber勒索軟件。到目前為止，研究人員認為，Magnitude EK主要用於傳播GandCrab的第二版。該工具包提供了一種特殊的無需防火的技術來執行勒索軟件，從而使用VBScript.Encode / JScript.Encode腳本對惡意軟件進行編碼，然後直接注入目標計算機的內存中。執行有效負載後，GandCrab會根植到explorer.exe文件，強制重新啟動，然後啟動加密器，該加密器將鎖定文件並向其添加.CRAB文件擴展名。 GandCrab還通過一個帶有損壞的在線廣告的活動進行了分發，該廣告被稱為“無縫”，攻擊者使用了另一個名為RIG EK的漏洞利用工具包。該漏洞利用工具包可以檢測目標系統中的漏洞，從而可以通過該漏洞引入加密病毒。還已知第三種利用工具包，即GrandSoft EK已被用於分發此惡意軟件。它還能夠發現和濫用目標系統中的安全漏洞。 9月發現的名為“輻射”的新漏洞利用工具包也被發現可以分發GandCrab勒索軟件。輻射遵循的例程與以前稱為“核”的漏洞利用工具包非常相似。輻射利用兩個漏洞來提供惡意有效負載。第一個是Windows VBScript引擎中的遠程代碼執行錯誤（CVE-2018-8174）;第二個漏洞是Adobe Flash（CVE-2018-4878）中的安全漏洞，如果Fallout無法利用VBScript，Fallout會利用該漏洞。成功利用這些缺陷後，Fallout會生成一個Shellcode來檢索加密的有效負載。然後，它解密該有效負載並執行嵌入其中的代碼。在某些情況下，還可以對Fallout進行編程，以安裝木馬程序來檢查特定安全進程的存在，並在目標系統上存在某些情況下不執行任何其他操作。對於GandCrab v5.0.1，已知它利用了Windows內核中的CVE-2018-0896漏洞，該漏洞使潛在的攻擊者可以檢索信息，從而可以獲取地址空間佈局隨機化（ASLR）旁路。如果攻擊者在目標計算機上登錄後運行經過特殊設計的應用程序，則可以利用此漏洞。 GandCrab v5.0.2可能具有相同的功能，但是尚未得到證實。

勒索軟件即服務（RaaS）

最後，GandCrab還作為俄羅斯勒索軟件即服務（RaaS）提供了在俄羅斯地下黑客論壇上的24/7全天候技術支持。收集到的數據顯示，由於GandCrab會員計劃，該惡意軟件的開發人員已經收到了超過60萬美元的贖金，參與該行為的參與者已經由該惡意軟件開發人員支付了大約60％至70％的收入。據研究人員稱，會員計劃有100個成員，其中80個已經傳播了700個不同的勒索軟件樣本，其中超過70％的受感染計算機位於美國或英國。因此，專家最初認為GandCrab勒索軟件是專門針對英語受害者的威脅。但是，由於該惡意軟件的最新版本支持多種其他語言，包括法語，德語，意大利語和日語，因此已經超出了這一主張。

GandCrab勒索軟件的勒索需求

GandCrab勒索軟件將以名為“ GDCB-DECRYPT.txt”的文本文件的形式提供贖金記錄，該文件將被放置在受感染計算機的文檔庫和受感染計算機的桌面上。 GandCrab勒索軟件的贖金記錄如下：

'-= GANDCRAB =-
注意！
您的所有文件文檔，照片，數據庫和其他重要文件均已加密，並具有擴展名：.GDCB
恢復文件的唯一方法是購買私鑰。它在我們的服務器上，只有我們可以恢復您的文件。
帶有密鑰的服務器位於封閉的網絡TOR中。您可以通過以下方式到達那裡：
1.下載Tor瀏覽器– h [tt] ps：//www.torproject [。] org /
2.安裝Tor瀏覽器
3.打開Tor瀏覽器
4.在Tor瀏覽器中打開鏈接：h [tt] ps：// gdcbghvjyqy7jclk [。] onion / 6361f798c4ba3647
5.按照此頁面上的說明進行操作
如果Tor / Tor瀏覽器已在您的國家/地區鎖定或無法安裝，請在常規瀏覽器中打開以下鏈接之一：
1.h [tt] ps：//gdcbghvjyqy7jclk.onion [。] top / 6361f798c4ba3647
2. h [tt] ps：//gdcbghvjyqy7jclk.onion [。] casa / 6361f798c4ba3647
3. h [tt] ps：//gdcbghvjyqy7jclk.onion [。] guide / 6361f798c4ba3647
4. h [tt] ps：//gdcbghvjyqy7jclk.onion [。] rip / 6361f798c4ba3647
5. h [tt] ps：//gdcbghvjyqy7jclk.onion [。] plus / 6361f798c4ba3647
在我們的頁面上，您會看到付款說明，並有機會免費解密1個文件。
危險！
不要嘗試修改文件或使用自己的私鑰-這將導致您的數據永遠丟失！

當攻擊的受害者試圖連接到與GandCrab Ransomware關聯的域時，將顯示以下消息和文本：

'歡迎！
我們感到遺憾，但您的所有文件已被加密！
據我們了解：
國家
操作系統
PC用戶
個人電腦名稱
PC集團
PC Lang。
硬碟
加密日期
您的文件量
文件量
但是不用擔心，您可以返回所有文件！我們能幫你！
在下面，您可以從PC中選擇一個加密文件並將其解密，這是為您測試的解密器。
但是我們只能免費解密1個文件。
注意！不要嘗試使用第三方解密器工具！因為這會破壞您的文件！
你需要什麼？
您需要GandCrab解密器。該軟件將解密所有加密的文件，並從您的PC中刪除GandCrab。購買時，您需要加密貨幣DASH（1 DASH = 760.567 $）。如何購買這種貨幣，您可以在這裡閱讀。
您需要支付多少錢？下面是我們指定的金額和我們的付款錢包
價格：1.5 DASH（1200 USD）'

GandCrab勒索軟件的贖金要求使用Dash，一種與比特幣不同的加密貨幣。強烈建議PC安全研究人員忽略GandCrab Ransomware贖金記錄的內容。

2018年10月26日更新— GandCrab 5.0.5 Ransomware

GandCrab 5.0.5 Ransomware是GandCrab Ransomware的更新版本，惡意軟件分析師在2018年10月底之前報告了該更新。 GandCrab 5.0.5勒索軟件的發布是值得注意的，原因是加密過程發生了變化，而且事實是在歐洲刑警組織（Europol）和網絡安全行業的合作夥伴發布免費解密工具後不久就出現了勒索軟件。由於GandCrab團隊向敘利亞的PC用戶發布了免費的解密器，使得免費的解密器成為可能。敘利亞的PC用戶懇求幫助恢復在2017-2018敘利亞內戰中喪生的親人的家庭照片。惡意軟件研究人員設法根據GandCrab小組上載到Internet的代碼開發了一種工具。隨後經過了短暫的測試，許多受Gand Crab v4 Ransomware影響的PC用戶收到了可以從Europol下載免費解密器的通知。

不幸的是，網絡安全行業共同努力的成功是短暫的。勒索軟件的參與者將GandCrab 5.0.5更新推向了發行商，這種威脅設法危及了更多用戶。 GandCrab 5.0.5版本使用新的加密指令，使免費解密器過時了。可以使用Europol的儀器來解密受GandCrab v4影響的文件。但是，新的GandCrab 5.0.5勒索軟件無法進行反向工程。我們已經看到GandCrab 5.0.5勒索軟件在文件名上附加了五個隨機字符，並刪除了一個名為“ [大寫擴展名] -DECRYPT.txt”的勒索字條。 GandCrab 5.0.5的受害者之一報告說文件帶有'.cyyjg'擴展名。例如，將“ Ristretto coffee.docx”重命名為“ Ristretto coffee.docx.cyyjg”，並將贖金記錄另存為“ CYYJG-DECRYPT.txt”。與早期版本相比，贖金記錄包括幾處更改。 “ [大寫擴展名] -DECRYPT.txt”中的文本可能如下所示：

'--- = GANDCRAB V5.0.5 = ---
注意！
您的所有文件，文檔，照片，數據庫和其他重要文件均已加密，並且具有擴展名：.ROTXKRY
恢復文件的唯一方法是購買唯一的私鑰。只有我們才能為您提供此密鑰，只有我們才能恢復您的文件。
帶有密鑰的服務器位於封閉的網絡TOR中。您可以通過以下方式到達那裡：
---------------------------------
| 0.下載Tor瀏覽器-hxxps：//www.torproject [。] org /
| 1.安裝Tor瀏覽器
| 2.打開Tor瀏覽器
| 3.在TOR瀏覽器中打開鏈接：hxxp：// gandcrabmfe6mnef [。] onion / 113737081e857d00
| 4.按照此頁面上的說明進行操作
-------------------------------
在我們的頁面上，您會看到付款說明，並有機會免費解密1個文件。
注意！
為了防止數據損壞：
*請勿修改加密的文件
*請勿更改以下數據
-開始手抓菜鑰匙-
[隨機字符]
---手杖鑰匙---

---開始PC數據---
[唯一標識符]
---結束PC數據---'

GandCrab 5.0.5勒索軟件繼續通過損壞的Microsoft Word文件，PDF，網絡釣魚頁面以及對Mozilla Firefox和Google Chrome中使用的字體的虛假更新進行分發。如前所述，GandCrab Ransomware作為Ransomware即服務平台運行，威脅以各種形式傳播。鼓勵PC用戶避免來自未經驗證的位置和電子郵件發件人的文件，並避免使用盜版軟件。

更新2018年12月3日— GandCrab 5.0.9勒索

2018年12月3日是GandCrab Ransomware的重大更新，其版本號為5.0.9。 GandCrab 5.0.9勒索軟件的核心與早期版本相同，但是增加了新功能，增加了新的混淆層，並且威脅提供了解密服務，以換取比特幣（BTC）和達什幣（DASH）。 GandCrab 5.0.9勒索軟件被認為主要針對遠程訪問保護差的中型公司。新版本繼續添加為每個受感染計算機隨機生成的自定義文件擴展名。同樣，贖金記錄會放到每個帶有加密數據的文件夾中。

從低感染率來看，撰寫本文時，GandCrab 5.0.9 Ransomware可能處於測試階段。事件報告不多，但研究推斷，GandCrab 5.0.9勒索軟件將在2019年的前幾個月成為主要的加密威脅。目前，GandCrab 5.0.9 Ransomware附加了'.wwzaf'擴展名並將一條名為“ WWZAF-DECRYPT.txt”的消息拖放到目錄中。例如，“地平線零黎明-冷凍的Wilds.docx”被重命名為“地平線零黎明-冷凍的Wilds.docx.wwzaf”，並指示受影響的用戶讀取“ WWZAF-DECRYPT.txt”的內容以進行解密說明。受損的桌面會收到一個新的背景圖像，該圖像是黑屏，中間帶有以下文本：

由GANDCRAB 5.0.9加密
您的文件受到我們軟件的嚴格保護。為了還原它，您必須購買解密器
有關更多步驟，請閱讀每個加密文件夾中的WWZAF-DECRYPT.txt。

GandCrab 5.0.9勒索軟件採用了新的勒索票據佈局，但仍繼續依賴TOR網絡來驗證勒索付款。如上所述，勒索軟件參與者現在接受“ WWZAF-DECRYPT.txt”中指示的比特幣和Dashcoin付款：

'--- = GANDCRAB V5.0.9 = ---
***在沒有任何情況下，請不要刪除此文件，直到您的所有數據都被恢復***
***如果這樣做，將導致系統損壞，如果存在解密錯誤***
注意！
您的所有文件，文檔，照片，數據庫和其他重要文件均已加密，並且具有擴展名：.WWZAF恢復文件的唯一方法是購買唯一的私鑰。只有我們才能為您提供此密鑰，只有我們才能恢復您的文件。
帶有密鑰的服務器位於封閉的網絡TOR中。您可以通過以下方式到達那裡：
0.下載Tor瀏覽器-hxxps：//www.torproject.org/
1.安裝Tor瀏覽器
2.打開Tor瀏覽器
3.在TOR瀏覽器中打開鏈接：h [tt] p：// gandcrabmfe6mnef [。] onion / da9ad04e1e857d00
4.按照此頁面上的說明進行操作
在我們的頁面上，您會看到付款說明，並有機會免費解密1個文件。
注意！
為了防止數據損壞：
*請勿修改加密的文件
*請勿更改以下數據
-開始手抓菜鑰匙-
[隨機字符]
---手杖鑰匙---
---開始PC數據---
[隨機字符]
---結束PC數據---'

觀察到新版本將讀取活動的系統帳戶名，並通過一個標題為“;）”的自定義對話框向受害者打招呼，並顯示“您好， 。”該對話框將顯示幾秒鐘，然後顯示另一條對話框消息，“我們將很快回來！ ;）。隨著這些勒索軟件木馬程序的不斷發展，針對GandCrab 5.0.9勒索軟件和類似網絡威脅的唯一可靠保護措施仍處於準備階段。請記住，要盡可能多地進行數據備份，而忽略垃圾郵件。 GandCrab 5.0.9 Ransomware的檢測規則指向帶有以下標籤的文件：

通用贖罪金蟹4.56F1503D
Ran-GandCrabv4！44C289E415E4
Ransom.Win32.GANDCRAB.SMK
Ransom：Win32 / Gandcrab.AW！bit
TrojWare.Win32.Gandcrab.AA@7w10qu
木馬（0053d33d1）
Trojan-Ransom.Win32.GandCrypt.fbd
Trojan.Encoder.26667
Trojan.Win32.Agent.142336.AE
Trojan.Win32.GandCrypt.4！c
Trojan.Win32.GandCrypt.fjrarj
Win32：MalOb-IF [Cryp]

SpyHunter 检测并删除 GandCrab病毒