шкала интенсивности:  
  (98/100)

Удаление вируса GandCrab 3 (Инструкции по удалению) - Май 2018 обновление

от Olivia Morelli - - | Тип: Вымогательское ПО

GandCrab 3 вымогатель — это новая версия печально известного GandCrab

GandCrab 3

GandCrab 3 — это крипто-вымогательный вирус, который функционирует как третья версия пресловутой GandCrab угрозы. В конце апреля 2018 года, всего через пару месяцев после выпуска GandCrab2, хакеры снова нанесли новый удар, ориентированный на пользователей ПК, в частности, России, Белоруссии, Казахстана и Украины. Паразит использует AES-256 (режим CBC) + шифрование RSA-2048 для жесткого кодирования личных файлов и впоследствии маркирует их расширением .CRAB. Файл CRAB-DECRYPT.txt отвечает за записку о выкупе, в которой содержится явное руководство о том, как жертва должна заплатить выкуп. Принимаются только биткоины.

Имя GandCrab 3
Версии GandCrab, GandCrab 2
Классификация Вымогатель
Файл расширение .CRAB
Записка с выкупом CRAB-DECRYPT.txt
Главные симптомы Недоступны персональные файлы, записка с выкупом, созданная на рабочем столе, медленный ПК, скомпрометированные обои рабочего стола, переадресация браузера на сайт оплаты
Главные опасности Угроза компрометирует систему и может привести к серьезному сбою. Личные файлы могут быть удалены навсегда. Денежные потери
Удалить вымогателя вручную невозможно. Чтобы избавиться от него, вы должны использоваться профессиональной антивирусной защитой, такой как Reimage Reimage Cleaner Intego

В самом конце апреля 2018 года специалисты по кибербезопасности обнаружили третию версию GandCrab вымогателя. Генеалогически его предшественниками являются версии GandCrab и GandCrab2, оба из которых оказались чрезвычайно успешными с точки зрения мошенников. Первой версии удалось собрать более 600,000 USD менее чем за четыре месяца.

Хотя первоначальный вариант уже может быть дешифрован, v2 — нет. Дешифратор для GandCrab-3 также доступен.
В настоящее время еще не на сто процентов понятно, какие методы распространения используют преступники для этого вредоносного ПО. Однако на основе информации, собираемой о GandCrab, могут применяться следующие методы:

  • Набор эксплойтов Magnitude;
  • Набор эксплойтов Rig;
  • Набор эксплойтов GrandSoft;
  • Вредоносная рекламная кампания;
  • Вложение или спам сообщение Receipt Feb-21310 [рандомные цифры];
  • Поддельные обновления шрифта Hoefler;
  • Взломанные сервисы удаленного доступа, и т.д.

После шифрования, GandCrab 3 вирус изменяет последовательность загрузки, удаляет теневые копии томов, используя командную строку и PowerShell в качестве администратора, а также запускает алгоритм шифрования AES-256 (CBC) + RSA-2048. В фоновом режиме вредоносное ПО запускает random.exe. Он также может захватить explorer.exe файл и заставить систему перезагрузиться, чтобы завершить шифрование.

Как и предыдущая версия, эта добавляет к зашифрованным файлам расширение файла .CRAB. Оно предназначено для более чем 250 типов файлов, включая самые популярные (.jpg, .png, .doc, .pdf, .avi, .docx и т.д.). После того, как файлы зашифрованы, вирус генерирует записку с выкупом CRAB-DECRYPT.txt. В ней говорится:

—= GANDCRAB V3 =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser — https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter «username»: 21b1a2d1729f0695
1) Enter «password»: your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!

В отличие от двух предыдущих версий, которые принимали криптовалюту DASH, GandCrab 3 требует, чтобы жертвы выплачивали выкуп в биткоинах. Кроме того, исследователи вредоносного ПО выяснили, что происхождение GandCrab-3 — это Румыния.

Если у вас есть малейшее подозрение, что вы заражены этим вымогателем, обязательно удалите GandCrab 3 из системы как можно скорее. Для этого мы рекомендуем использовать антивирусные инструменты Reimage Reimage Cleaner Intego, SpyHunter 5Combo Cleaner или Malwarebytes. Пока вы держите паразита в системе, вы не сможете восстановить свои файлы, не заплатив выкуп.

При удалении GandCrab-3 вы должны попытаться получить файлы, заблокированные .CRAB расширением, с помощью сторонних инструментов восстановления данных или попытаться включить предыдущую версию Windows. Вы можете найти полное руководство по восстановлению файлов, зашифрованных GandCrab-3 в конце этой статьи.

Удаление вируса GandCrab 3
GandCrab 3 - новая версия GansCrab, которая использует расширение .CRAB и требует выкуп в биткоинах

Преступники могут использовать несколько методов для распространения вредоносного ПО

Команда Bedynet.ru заявляет, что этот вымогатель вряд ли полагается на один методом распространения. Пока он дошел до основного распространения, трудно точно назвать весь список методов.
Тем не менее, люди должны быть осторожны с вложением Receipt Feb-21310 [рандомные числа], отправленным от[random name]@cdkconstruction.org. Как только вы обнаружите подозрительное письмо от неизвестного отправителя, мы настоятельно рекомендуем немедленно отметить его как спам.

Наборы эксплойтов, в том числе Magnitude, RIG и GrandSoft, также известны как широко используемые носители вымогателей. Чтобы вредоносное ПО не использовало уязвимости вашего компьютера, обязательно установите все обновления и исправления системы.

Последнее, но не в последнюю очередь, будьте осторожны с загрузками бесплатных программ. Было обнаружено, что многие подозрительные и незаконные сайты содержат поддельные загрузки обновлений программного обеспечения. Одним из примеров, используемых для распространения предка этого вымогателя, является поддельный шрифт Hoefler. Потенциальная жертва перенаправляется на взломанный веб-сайт, на котором отображается скремблированный текст, и отображается всплывающее предупреждение, требующее загрузить последнее обновление шрифта, чтобы увидеть содержимое.

Опции удаления GandCrab-3

Есть только одна возможность удалить GansCrab 3 вымогателя из системы — Автоматическое устранение, так как оно требует использования профессиональной антивирусной программы. Удалять вручную не рекомендуется, пытаться избавиться от вредоносных файлов самостоятельно — практически невозможно, не повредив систему и тем самым оставив зашифрованные файлы навсегда.

Вместо этого мы настоятельно рекомендуем использовать профессиональную программу безопасности, например Reimage Reimage Cleaner Intego. После успешного удаления вируса попробуйте восстановить файлы, используя методы восстановления данных, перечисленные ниже.

Предложение
Сделать!
Загрузить
Reimage Счастье
Гаранти-
ровано
Загрузить
Intego Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Supported versions Совместимость с OS X Supported versions
Что делать, если не удалось?
Если вам не удалось удалить вирусные повреждения с помощью Reimage Intego, задайте вопрос в нашу службу поддержки и предоставьте как можно больше подробностей.
Reimage Intego имеет бесплатный ограниченный сканер. Reimage Intego предлагает дополнительную проверку при покупке полной версии. Когда бесплатный сканер обнаруживает проблемы, вы можете исправить их с помощью бесплатного ручного ремонта или вы можете приобрести полную версию для их автоматического исправления.
Другие программы
Разное программное обеспечение имеет различное назначение. Если вам не удалось исправить поврежденные файлы с помощью Reimage, попробуйте запустить SpyHunter 5.
Другие программы
Разное программное обеспечение имеет различное назначение. Если вам не удалось исправить поврежденные файлы с помощью Intego, попробуйте запустить Combo Cleaner.

Руководство по ручному удалению вируса GandCrab 3:

Удалите GandCrab 3, используя Safe Mode with Networking

Вымогатель может заблокировать свое удаление. В этом случае необходимо перезагрузить компьютер в безопасном режиме с помощью сети. Для этого сделайте следующее:

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Safe Mode with Networking Выберите 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking. Выберите 'Enable Safe Mode with Networking'
  • Шаг 2: Удалить GandCrab 3

    Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage Reimage Cleaner Intego или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление GandCrab 3.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите GandCrab 3, используя System Restore

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Command Prompt Выберите 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt. Выберите 'Enable Safe Mode with Command Prompt'
  • Шаг 2: Восстановите Ваши системные файлы и настройки
    1. После появления окна Command Prompt, введите cd restore и щелкните Enter Введите 'cd restore' без кавычек и нажмите 'Enter'
    2. Теперь введите rstrui.exe и снова нажмите Enter.. Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
    3. После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению GandCrab 3. После этого нажмите Next. В появившемся окне 'System Restore' выберите 'Next' Выберите Вашу точку восстановления и щелкните 'Next'
    4. Теперь щелкните Yes для начала восстановления системы. Щелкните 'Yes' и начните восстановление системы
    После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с убедитесь, что удаление рошло успешно.

Бонус: Восстановите ваши данные

Руководство, представленное выше, должно помочь вам удалить GandCrab 3 с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.

К сожалению, ваши файлы не будут восстановлены после удаления GandCrab 3. После устранения вируса вы должны использовать сторонние инструменты для восстановления данных. Наши рекомендуемые варианты приведены здесь:

Если ваши файлы зашифрованные GandCrab 3, вы можете использовать несколько методов, чтобы восстановить их:

Используйте Data Recovery Pro

Data Recovery Pro является надежной программной утилитой, способной восстанавливать данные которые были зашифрованные вымогателем, случайно удалены или после сбоя системы.

  • Загрузить Data Recovery Pro;
  • Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
  • Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные GandCrab 3 вымогателем;
  • Восстановите их.

Включите предыдущую версию Windows

Если вы используете функцию восстановление системы, система должна автоматически создавать точки восстановления системы. Конечно, вы можете сами создать эти точки. Чтобы проверить, можно ли восстановить файлы с использованием функции предыдущей версии, выполните следующие действия:

  • Чтобы восстановить зашифрованный файл, вам нужно щелкнуть по нем правой кнопкой мыши;
  • Выберите “Properties”, а затем “Previous versions”;
  • Здесь, проверьте каждую копию файла “Folder versions”. Вы должны выбрать версию, которую вы хотите восстановить и нажать “Restore”.

ShadowExplorer

ShadowExplorer не поможет, так как вымогатель удаляет копии теневой копии.

  • Загрузите Shadow Explorer (http://shadowexplorer.com/);
  • Следуйте настройкам Shadow Explorer, и установите это приложение на ваш компьютер;
  • Запустите программу и зайдите в меню, в верхнем левом углу, чтобы выбрать диск с вашими зашифрованными данными. Также проверьте, какие там папки ;
  • Правый щелчок на папку, которую вы хотите восстановить, и выберите “Export”. Также, вы можете выбрать куда вы хотите это восстановить.

Дешифровщик не доступен

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от GandCrab 3 и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage Reimage Cleaner Intego, SpyHunter 5Combo Cleaner или Malwarebytes


Warning: preg_match(): Compilation failed: regular expression is too large at offset 75 in /var/www/u4192940/public_html/bedynet.ru/wp-content/themes/esolaskit/functions.php on line 1401

О авторе

Olivia Morelli
Olivia Morelli

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Olivia Morelli
О компании Esolutions

Источник: https://www.2-spyware.com/remove-gandcrab-3-ransomware.html

Руководство по удалению на другом языке


Ваше мнение по поводу к GandCrab 3 ransomware