Инструкция по удалению вируса GandCrab (GDCB) и восстановлению файлов

GandCrab вирус

 

Еще в далеком 2005 году первые вирусы-вымогатели появились на свет. Всевозможные TROJ.RANSOM.A, Cryzip, Krotten и другие ransom software – стали прародителями современных шифровальщиков и дали начало противоборства между создателями первых зловредов и разработчиков антивирусного программного обеспечения. Прошло относительно немало времени с появления программ-вымогателей, шифрующих данные, но и по сей день, они не теряют своей актуальности. Методика разблокировки компьютера и всех данных пользователя в обмен на выкуп разработана злоумышленниками давно, и приносит стабильную прибыль своим хозяевам, поэтому количество вирусов-вымогателей неуклонно растет. GandCrab – яркий представитель из их числа. Впервые о нем стало известно 26 января 2018 года, после чего его активность стала быстро расти, и на сегодняшний день GandCrab один из самых нашумевших вирусов-вымогателей этого года. Работает он по тому же классическому принципу – шифрует данные пользователя и требует после этого выкуп, но его структура проникновения и дальнейшего действия технически весьма сложная и замысловатая. Распространяется он с помощью набора эксплойтов, таких как GrandSoft и RIG, а начальный этап заражения происходит благодаря созданной специально для этого вредоносной рекламной компании Seamless. Эти данные удалось выяснить специалистам компании Malwarebytes после длительного анализа. В отличие от большинства аналогов вирусов-вымогателей, GandCrab, первый в своем роде, использует для выкупа платежную систему DASH, а не Bitcoin, так как в ней все транзакции полностью конфиденциальны благодаря сервису перемешивания платежей PrivateSend. Это гарантирует и без того хорошую анонимность для операторов вымогателя, которую создатели вируса усилили, расположив управляющие серверы на доменах .bit с использованием системы хранения произвольных комбинаций «имя-значение» Namecoin (цензуроустойчивые домены). Поэтому эти серверы не могут быть переименованы или взяты под контроль главным руководящим органом доменных имен ICANN. Вдобавок ко всему, разработчики вируса дали имена своих доменов похожие на названия крупнейших компаний и ресурсов: esetnod32[.]bit, bleepingcomputer[.]bit, emsisoft[.]bit, nomoreransom[.]bit, и других, а так же открыто и ненавязчиво gandcrab[.]bit. Зашифрованные вирусом файлы получают расширение .GDCB и нуждаются в очень сложной расшифровке. Выкуп за расшифровку данных у разработчика вируса составляет 1,5 DASH (около $1100 по нынешнему курсу), и 3 DASH, если платеж не поступил в течение первых дней с момента заражения. В одной только Великобритании и странах Скандинавии подверглось заражению более 50,000 компьютеров, а суммарный выкуп преступникам составил более $600,000. Заражение происходит, как и в большинстве случаев, через перенаправляющие ссылки, электронные письма, всплывающую рекламу и т.д. Так же есть мнение, что вирус может попасть на компьютер, маскируясь под обновление шрифтов.

Новый виток развития вируса

GandCrab вирус

 

Специалистам из компании Bitdefender, при содействии румынской полиции, потребовалось немало усилий для поиска уязвимостей во вредоносной программе и создания инструментов для дешифровки данных. Но едва они успели объявить о своем успехе, как создатели вируса обновили свое «детище». Теперь он получил обозначение GandCrab v2 и стал пользоваться еще более изощренными средствами для надежности шифрования. После инцидента с созданием средства защиты от первой версии вируса, в качестве насмешки над всеми противоборствующими командами, доменные имена управляющих серверов теперь получили названия politiaromana[.]bit – отсылка на румынскую полицию, malwarehunterteam[.]bit – отсылка на специалистов команды MalwareHunterTeam по поиску и устранению различных malware, и gdcb[.]bit. Так же подверглось изменению конечное расширение зашифрованных файлов. Теперь оно носит название .CRAB и обладает несколько иным алгоритмом шифрования. Средство связи с вымогателями тоже изменилось. Теперь злоумышленники перешли на сервис сообщений Tox, который лишен слежки со стороны, не требует регистрации для использования и защищен посредством использования SOCKS прокси-серверов.

 

На сегодняшний день уже выпущено несколько решений для расшифровки данных после заражения GandCrab, но, к сожалению, все они помогут только для пострадавших от устаревшего типа вируса, шифрующего с конечным расширением файлов .GDCB. Естественно, в обновленной версии вируса уже не действуют доступные на сегодняшний день методы расшифровки данных. Придется запастись терпением и надеждой на скорое решение проблемы.

Как удалить GandCrab

Уничтожение вируса является лишь первым этапом, необходимым для нормальной работы системы. Удалив вирус, вы не восстановите файлы немедленно, для этого вам необходимо следовать указаниям, находящимся в главе “Как восстановить испорченные файлы”. Чтобы деинсталлировать GandCrab, необходимо включить компьютер в Safe Mode и просканировать его антивирусом. Мы не рекомендуем пытаться удалить GandCrab вручную ввиду того, что этот вирус обладает всевозможными защитными механизмами. Некоторые вымогатели могут полностью удалить зашифрованные данные, при попытке деинсталляции программы. Чтобы избежать этого – следуйте предоставленной ниже инструкции.

Шаг 1. Запустить систему в безопасном режиме

  • Нажмите «Пуск»
  • Введите Msconfig и нажмите «Enter»

Запуск в безопасном режиме. Шаг 1

 

  • Выберите вкладку «Загрузка»

Запуск в безопасном режиме. Шаг 2

 

 

  • Выберите «Безопасная загрузка» и нажмите OK

Шаг 2. Показать все скрытые файлы и папки

    • Нажмите «Пуск»
    • Выберите «Панель управления»

Показать все скрытые файлы и папки. Шаг 1

 

    • Выберите «Оформление и персонализация»

Показать все скрытые файлы и папки. Шаг 2

 

    • Нажмите на «Параметры папок»
    • Перейдите во вкладку «Вид»
    • Выберите «Показывать скрытые файлы, папки и диски»

Показать все скрытые файлы и папки. Шаг 3

 

  • Нажмите OK

Шаг 3. Удалить файлы вируса (для опытных пользователей)

Проверьте следующие папки на предмет наличия в них файлов вируса:

  • %TEMP%
  • %APPDATA%
  • %ProgramData%

Шаг 4. Проверить систему специальным сканером


Spyhunter

EULA Privacy Policy Threat Assessment Criteria Uninstall SpyHunter information

Антивирусная Утилита

 

Шаг 5. Очистите реестр (для опытных пользователей)

  • Нажмите «Пуск»
  • Введите «Regedit.exe» и нажмите «Enter»
  • Проверьте папки автозапуска на наличие подозрительных записей:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • Аналогично для папки HKEY_CURRENT_USER
  • Удалите из этих папок вредоносные файлы

Как восстановить зашифрованные файлы

После удаления GandCrab с компьютера, требуется восстановить зашифрованную информацию. Мы обращаем ваше внимание на то, что речь идёт не о дешифровке, в силу того, что алгоритмы шифрования, используемые вымогателями слишком сложны. Мы будем говорить именно о восстановлении файлов с использованием предназначенных для этого программ и служб. Чаще всего, чтобы вернуть данные не платя выкуп пользователю нужно обратиться за помощью на тематические форумы, к известным исследователям вирусов или к производителю установленной на компьютере антивирусной программы. Если же вы предпочитаете самостоятельное восстановление информации – попробуйте воспользоваться откатом системы, либо с помощью программ Recuva и ShadowExplorer (они в состоянии восстановить удаленные,либо перезаписанные файлы).

  • Нажмите «Пуск»
  • Выберите «Панель управления»

Восстановление системы. Шаг 1

 

  • Нажмите «Система и безопасность»

Восстановление системы. Шаг 2

 

  • Выберите «Архивация и восстановление»

Восстановление системы. Шаг 3

 

  • Выберите «Восстановление файлов из архива»
  • Выберите точку сохранения

 

Видео инструкция

 

 

 

 

Автор KateRealta

 

 


Как удалить шифровальщик GandCrab: что это за вирус, способы восстановления зашифрованных файлов Что такое GandCrab вирус Как удалить шифровальщик GandCrab http://ru.pcfixhelp.net/images/article5/Gandcrab_ransomware.jpg

1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 [1 Голос]

Добавить комментарий

Защитный код
Обновить

Norton_scan_results

Google_SafeBrowsing_scan_results