Инструкция по удалению вируса GANDCRAB v5.1 и восстановлению файлов

Если вы являетесь пользователем MAC, воспользуйтесь этой инструкцией Восстановление файлов MAC.

 

Статья посвящена вирусу-вымогателю GANDCRAB v5.1, новой версии печально известного Gandcrab, испортившему терабайты информации на компьютерах пользователей по всему миру. В статье раскрывается механизм заражения, способы защиты и рассматриваются способы расшифровать испорченные файлы.

Что такое GANDCRAB v5.1

Это вирус, использующий широко известные алгоритмы AES и RSA для того,чтобы зашифровать файлы и получить за них выкуп впоследствии. Это уже не первая версия вируса, предыдущая была v4.0.9, но хакеры не стоят на месте и совершенствуются. Возможно обновление было выпущено из-за работы специалиста по кибербезопасности Valthek, который выпускает "таблетки" по мере выхода новых версий вирусов.

 

GANDCRAB v5.1 вирус

 

Итак, в один далеко не прекрасный день файлы на компьютере оказались повреждены и закодированы, а на рабочем столе появилось требование о выкупе с "радостной" новостью о том что вы стали жертвой GANDCRAB v5.1. Как же это произошло?

 

Специалисты Bleepingcomputer смоделировали модель атаки. Сначала жертва получает письмо от Rosie L. Ashton, внешне оформленное как обычное деловое письмо со вложением. Если пользователь открывает вложение, выглядящее как просто пустое письмо, и разрешает использовать макросы в документе, то запускается шелл. Он скачивает вредоносный файл putty.exe в папку temp, который и шифрует файлы. После того,как файлы были испорчены, к ним добавляется случайное расширение. На компьютере пользователя появляется файл с требованием о выкупе.

 

GANDCRAB v5.1 вирус

 

Как удалить GANDCRAB v5.1

Деинсталляция ransomware – это только первый шаг, необходимый для безопасной работы системы. Уничтожив GANDCRAB v5.1, вы не вернете файлы сразу же, для этого вам нужно будет выполнить действия, описанные в разделе “Как расшифровать зашифрованные данные”. Для уничтожения стандартного ransomware, нужно загрузить устройство в Safe Mode и проверить его антивирусом. Мы не советуем пытаться деинсталлировать GANDCRAB v5.1 собственноручно ввиду того, что этот вирус может активно сопротивляться вашим действиям. В некоторых случаях вирусы способны безвозвратно стереть зашифрованные файлы, если пользователь попытается удалить вирус. Если вас не устраивает этот вариант – следуйте нашей инструкции.

Шаг 1. Запустить систему в безопасном режиме

  • Нажмите «Пуск»
  • Введите Msconfig и нажмите «Enter»

Запуск в безопасном режиме. Шаг 1

 

  • Выберите вкладку «Загрузка»

Запуск в безопасном режиме. Шаг 2

 

 

  • Выберите «Безопасная загрузка» и нажмите OK

Шаг 2. Показать все скрытые файлы и папки

    • Нажмите «Пуск»
    • Выберите «Панель управления»

Показать все скрытые файлы и папки. Шаг 1

 

    • Выберите «Оформление и персонализация»

Показать все скрытые файлы и папки. Шаг 2

 

    • Нажмите на «Параметры папок»
    • Перейдите во вкладку «Вид»
    • Выберите «Показывать скрытые файлы, папки и диски»

Показать все скрытые файлы и папки. Шаг 3

 

  • Нажмите OK

Шаг 3. Удалить файлы вируса (для опытных пользователей)

Проверьте следующие папки на предмет наличия в них файлов вируса:

  • %TEMP%
  • %APPDATA%
  • %ProgramData%

Шаг 4. Проверить систему специальным сканером

Можно использовать любой, лучше два. Неплохой вариант Dr.Wer или Kaspersky, или Malwarebytes. Сам образец, который был у меня находится почти всеми известными антивирусами, так что выбирайте любой. 

Шаг 5. Очистите реестр (для опытных пользователей)

  • Нажмите «Пуск»
  • Введите «Regedit.exe» и нажмите «Enter»
  • Проверьте папки автозапуска на наличие подозрительных записей:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • Аналогично для папки HKEY_CURRENT_USER
  • Удалите из этих папок вредоносные файлы

Как восстановить зашифрованные файлы

После деинсталляции программы-вымогателя с устройства, нужно лишь вернуть зашифрованную информацию. Стоит заметить, что мы не имеем в виду дешифровку, так как преступники используют наиболее сложные алгоритмы шифрования. Мы предлагаем вам восстановление данных с помощью предназначенных для этого программ и сервисов. Зачастую, для восстановления данных пользователю нужно обратиться за помощью на тематические сайты, к известным борцам с вредоносными программами или к разработчикам используемой вами антивирусной программы. Пока не существует дешифратора для GANDCRAB v5.1, так что придется довольствоваться либо восстановлением из архивов, либо воспользоваться программами Recuva и ShadowExplorer. Они помогают восстановить случайно удаленные или поврежденные файлы. 100% гарантии восстановления это не дает.

  • Нажмите «Пуск»
  • Выберите «Панель управления»

Восстановление системы. Шаг 1

 

  • Нажмите «Система и безопасность»

Восстановление системы. Шаг 2

 

  • Выберите «Архивация и восстановление»

Восстановление системы. Шаг 3

 

  • Выберите «Восстановление файлов из архива»
  • Выберите точку сохранения

 

Видео инструкция

 

 

Как предотвратить заражение в будущем

Вирус-вымогатель шифрует исключительно данные, и не трогает программы, чтобы пользователь смог воспользоваться компьютером для уплаты выкупа. Шифрование выполняется с помощью наиболее сложных алгоритмов AES и RSA, и они настолько сложны, что расшифровка файлов без ключа невозможна. Только на сложности алгоритмов и основывается этот высокий уровень эффективности вирусов-вымогателей в последнее время: рядовой юзер, даже если он обладает сравнительно высокими познаниями об ОС и компьютерах, никак не сможет дешифровать информацию, и будет вынужден платить вымогателям. Единственный способ декодировать файлы – это взломать базу данных вымогателей и получить ключи шифрования. В некоторых случаях можно получить ключи шифрования благодаря изъянам в самом вирусе.

 

Для большинства типов подозрительных программ актуальна одна аксиома: избежать значительно проще, чем вылечить. В случае с ransomware, пользователь буквально не способен восстановить данные без посторонней помощи, и уничтожение вредоносной программы является только частью "лечения". Если вы хотите избежать таких проблем, вы должны запомнить несколько базовых правил:

 

  • Следует помнить, что диалоговые окна в системе содержат важную информацию. Один из базовых методов восстановления файлов – использование системы "Shadow Copies Service", так что преступники добавили уничтожение этих копий в базовый функционал вирусов. При настройках по умолчанию, любые действия с теневыми копиями требуют разрешения с учетной записи администратора. Таким образом, если вы в определенный момент отмените предложенные изменения от подозрительной программы – вы сможете легко и просто расшифровать все испорченные данные.
  • Обращайте внимание на скорость работы вашего устройства. Кодирование информации это непростая операция, которая расходует львиную долю ресурсов ПК. Когда вы обнаружили резкое снижение быстродействия компьютера или странный процесс – вы можете отключить устройство, запустить его в безопасном режиме и запустить антивирусное сканирование. Если ваши опасения не были ложными, то это спасёт часть ваших данных.
  • Старайтесь изучать ваш почтовый ящик, особенно письма, которые содержат неизвестные данные. Если такое письмо пришло от неизвестного отправителя и в нём сказано о утерянной посылке , победе в акции или розыгрыше призов – это, вероятнее всего, рансом. Второй довольно эффективный тип этих писем – фальсификация деловой переписки. Резюме , жалобы , отчетность , счета для оплаты товаров или услуг прочая важная документация не приходит внезапно, а получатель, как минимум, должен знать адрес, с которого она была прислана. В любом другом случае – вас пытаются взломать.

 

Автор KateRealta

 

 


Как удалить шифровальщик GANDCRAB v5.1: что это за вирус, способы восстановления зашифрованных файлов Инструкция по удалению GANDCRAB v5.1 Способы удаления GANDCRAB v5.1 http://ru.pcfixhelp.net/images/article5/Gandcrab_ransomware.jpg

1 1 1 1 1 1 1 1 1 1 Рейтинг 0.00 [0 Голоса (ов)]

Добавить комментарий

Защитный код
Обновить

Norton_scan_results

Google_SafeBrowsing_scan_results