Súlyosság:  
  (99/100)

GandCrab zsarolóvírus. Hogyan távolítható el? (Eltávolítási útmutató)

írta: Julie Splinters - - | Típus: Ransomware-ek

GandCrab – exploit kitekkel és fertőzött PDF csatolmányokkal terjedő fájltitkosító zsarolóvírus

The ransom note of GandCrab ransomware

A GandCrab egy fájltitkosító vírus, amely jelenleg a Rig és a GrandSoft exploit kitekkel terjed. A fejlesztők emellett kéretlen levelekhez csatolt PDF formájában is terjeszti. A zsarolóvírus által titkosított fájlok .GDCB kiterjesztést kapnak, megnyitásuk lehetetlenné válik. Az áldozatok emellett egy GDCB-DECRYPT.txt nevű fájlt is kapnak, amelyben a támadók a követeléseit közli. Jelenleg 1,54 DASH típusú kriptopénzt kérnek a visszafejtéshez szükséges kulcsért. A vírus egyelőre csak a 64 bites rendszereket célozza. 

Az elemzések szerint a GandCrab ransomware terjedésében a Seamless nevű rosszindulatú hirdetőrendszer is részt vesz, ez vezet a RIG exploit kithez. Az exploit kitek a rendszer biztonsági sebezhetőségeit keresik meg, majd azokat kihasználva juttatnak titkosító vírust vagy más veszélyes fertőzést a rendszerbe.

A szakértők megfigyelései alapján a GandCrab e-mailek formájában is terjed, melyek tárgya „Receipt Feb-21310 [valamilyen számsor]”. A feladó változhat, de az e-mail cím második része mindig @cdkconstruction.org. A GandCrab e-mail PDF-fájlt tartalmaz, amely majd .doc fájlt tölt le a rendszerbe. A .doc fájl ezután PowerShell kódot futtat le, amely exploit fájlt készít (sct5.txt) – ez viszont csak 64 bites rendszereken működik. A szakértők kiemelték, hogy nem az sct5.txt fogja végül elindítani a GandCrab vírust, ez csak biztonsági rést hoz létre, amelyen keresztül a malware bejuthat.

A bejutást követően a GandCrab hozzákezd a rendszerben tárolt legfontosabb adatok titkosításához. Ennek végén a fájlok megnyithatatlanná válnak, az áldozatok a ransomware üzenetéből tájékozódhatnak a történtekről:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

Ha az áldozat követi a megadott lépéseket, a GandCrab decryptor nevű webolda kerül. Itt a követelt váltságdíj összege (kb. 300.000 forint), „ügyfélszolgálati” csevegőablak, a fizetéshez használandó DASH-cím és az egy ingyenesen visszafejthető fájl feltöltésére szolgáló funkció található. 

Érdemes megjegyezni, hogy a GandCrab időkorlátot szab meg a fizetésre – túllépve a váltságdíj megduplázódik. Ez persze arra szolgál, hogy rávegyék az áldozatokat a váltságdíj továbbítására és ne hagyjanak időt az egyéb lehetőségek mérlegelésére. 

Azt javasoljuk, hogy ne kövesse a támadók utasításait; léteznek alternatív módszerek a fájlok megmentésére. Először azonban el kell távolítania a GandCrab vírust. A NoVirus.uk szakértői arra figyelmeztetnek, hogy rendkívül veszélyes vírusról van szó, melynek eltávolítását szakértőre vagy megbízható antivírus programra kell bízni.

A GrandCrab eltávolításához mi a kiváló Reimage vagy Malwarebytes Anti Malware legújabb változatát ajánljuk. Persze használhat más antimalware szoftvert is. Az eltávolítás részletes lépéseit megtalálja bejegyzésünk végén:

Fontos, hogy NE próbálkozzon a GrandCrab manuális eltávolításával Komplex zsarolóvírusról van szó, amely ügyesen elrejtőzik a rendszerben, megbízható folyamatoknak álcázhatja magát. A rendszerfájlok törlése azonban csak további problémákat okozna a rendszerben – és nem távolítaná el a vírust. Jobb, ha eltávolítási útmutatónk lépéseit követi.

A zsarolóvírus két exploit kit segítségével terjed

Ahogyan ezt már említettük is, a fertőzés két exploit kit, a Rig és a GrandSoft segítségével terjed. Mindkettő jól ismert exploit, amelyek a számítógép sebezhetőségeit azonosítva segítik a ransomware-ek bejutását. Az ilyen szoftverek nem igényelnek felhasználói engedélyt a vírusok telepítéséhez, sőt, fejlesztőik távoli hozzáférés segítségével is bejuttathatják például a GrandCrab vírust. A tapasztalatlanabb felhasználók tehát a bejutást először talán észre sem veszik.

Érdemes észben tartania, hogy a ransomware-ek nem csak exploit kitekkel terjednek. A támadók kártékony csatolmányokat tartalmazó megtévesztő e-mailekkel megpróbálhatják kihasználni célpontjaik hiszékenységét. Az üzeneteket jellemzően vásárlást igazoló számláknak vagy más hasonló dokumentumoknak álcázzák, a feladót pedig jól ismert márkának vagy vállalatnak állítják be. A figyelmetlen címzettek pedig a csatolmányok megnyitásakor a rendszerbe engedik a mellékelt kártevőt.

Ahogyan az előző bekezdésünkben is szerepel, a GandCrab zsarolóvírus fejlesztői is alkalmazzák az e-mailes támadást. Az üzenetek tárgya eddig mindig ugyanaz volt: Receipt Feb-21310 [valamilyen számsor]. Csak a feladók e-mail címe különbözik valamelyest. A domain azonban itt is állandó: @cdkconstruction.org. Az e-mail szövege rövid, csak felhívja a figyelmet a DOC csatolmányra.

Legyen tehát nagyon óvatos az internet böngészése során és a beérkező e-mailek megnyitásakor. Oda kell figyelnie a levelekre: a kártékony e-mailek gyakran azonosíthatók a szövegükben szereplő helyesírási hibák és a csatolmányok megnyitására buzdító mondatok alapján. Ne nyisson meg gyanús csatolmányokat, különösen akkor, ha azok kiterjesztése JS, .EXE, .COM, .PIF, .SCR, .HTA, .vbs, .wsf, .jse, .jar és más szokatlan típus. Kerülje el a kétes weboldalakat is, hiszen ezek támadók kezében lehetnek, akik kártevőket próbálnak terjeszteni.

A GandCrab vírus eltávolítása

A zsarolóvírussal fertőzött számítógépek felhasználóinak nem sok választása van. Mielőbb cselekedniük kell, és a GrandCrab eltávolításához csak automatikus módszert érdemes használniuk. Minél előbb lásson hozzá a feladathoz, mert a malware később akár további fertőzéseket is a rendszerbe juttathat.

Első lépésként töltsön le egy megbízható biztonsági szoftvert. A GandCrab eltávolításához mi a következőket ajánljuk: Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus, Malwarebytes Anti Malware. A választott program telepítése után futtasson vele teljes rendszervizsgálatot, és hagyja, hogy eltávolítsa az azonosított kártevőket.

Előfordulhat, hogy a malware megakadályozza a szoftver telepítését. Ebben az esetben először indítsa a számítógépet Csökkentett módban. Az ehhez és a GandCrab eltávolításához szükséges részletes lépéseket megtalálja bejegyzésünk végén. Szakértőink alternatív adatmentési módszereket is összeállítottak, amelyek segíthetnek a fájlok megmentésében. 

Kapcsolatban állhatunk az általunk ajánlott termékekkel. Részletes információk a felhasználási feltételeinkben A(z) GandCrab zsarolóvírus eltávolításához felkínált anti-spyware szoftverek letöltésével beleegyezik az adatvédelmi irányelveinkbe és a felhasználási feltételeinkbe.
Cselekedjen most!
Letöltöm
Reimage (eltávolító) Elégedettség
Garancia
Letöltöm
Reimage (eltávolító) Elégedettség
Garancia
Kompatibilitás: Microsoft Windows Kompatibilitás: OS X
Mi a teendő, ha nem sikerül?
Ha az ajánlott Reimage nem tudta eltávolítani a fertőzést, a lehető legtöbb részletet megadva küldjön kérdést támogatási csapatunknak.
Reimage ajánlott a(z) GandCrab zsarolóvírus eltávolításához. Az ingyenes keresővel ellenőrizhető, hogy a rendszer fertőzött de, de a malware eltávolításához meg kell vásárolni a Reimage malware eltávolító teljes változatát.
A programról további információkat tartalmaz a Reimage leírás.
Reimage a médiában

Manuális Eltávolítási Útmutató - GandCrab vírus:

GandCrab eltávolítása ezzel: Safe Mode with Networking

A GandCrab eltávolításához először indítsa a számítógépet „Csökkentett mód hálózattal” üzemmódban.

  • Lépés 1: Indítsa a számítógépet Safe Mode with Networking módban

    Windows 7 / Vista / XP
    1. Kattintson a következőre: Start Shutdown Restart OK.
    2. Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
    3. Válassza a listáról a következőt: Safe Mode with Networking Válassza a következőt: 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
    2. Most a következőkre kattintson: Troubleshoot Advanced options Startup Settings, végül pedig ezt nyomja meg: Restart.
    3. Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Networking Válassza a következőt: 'Enable Safe Mode with Networking'
  • Lépés 2: GandCrab törlés

    Jelentkezzen be a fertőzött fiókba és indítson egy böngészőt. Töltsön le egy megbízható antispyware programot, például: Reimage. Telepítse, frissítse, majd futtasson vele teljes rendszervizsgálatot és távolítson el minden rosszindulatú fájlt, amely a ransomware-hez tartozik, majd fejezze be a behatoló (GandCrab) eltávolítását.

Próbálkozzon másik módszerrel, ha a ransomware blokkolja a következőt: Safe Mode with Networking

GandCrab eltávolítása ezzel: System Restore

  • Lépés 1: Indítsa a számítógépet Safe Mode with Command Prompt módban

    Windows 7 / Vista / XP
    1. Kattintson a következőre: Start Shutdown Restart OK.
    2. Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
    3. Válassza a listáról a következőt: Command Prompt Válassza a következőt: 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
    2. Most a következőkre kattintson: Troubleshoot Advanced options Startup Settings, végül pedig ezt nyomja meg: Restart.
    3. Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Command Prompt Válassza a következőt: 'Enable Safe Mode with Command Prompt'
  • Lépés 2: Állítsa vissza a rendszerfájlokat és -beállításokat
    1. Miután megjelent a(z) Command Prompt ablak, írja be, hogy cd restore, majd kattintson arra, hogy Enter. Írja be (idézőjelek nélkül), hogy 'cd restore', majd kattintson arra, hogy 'Enter'.
    2. Most írja be, hogy rstrui.exe, majd kattintson ismét arra, hogy Enter.. Írja be (idézőjelek nélkül), hogy 'rstrui.exe', majd kattintson arra, hogy 'Enter'.
    3. Mikor megjelenik az új ablak, kattintson arra, hogy Next, majd válasszon egy Next fertőzést megelőző visszaállítási pontot. Mikor megjelenik az új 'System Restore' ablak, válassza azt, hogy 'Next' Válassza ki a visszaállítási pontot, majd kattintson arra, hogy 'Next'
    4. A rendszervisszaállítás indításához kattintson arra, hogy Yes. Kattintson arra, hogy 'Yes', és kezdje meg a rendszerindítást
    Miután visszaállította a rendszert egy korábbi pontra, töltse le a Reimage legújabb változatát, és vizsgálja át vele a rendszert, hogy minden GandCrab elemtől megszabadulhasson

+1: Az adatok visszaállítása

A fenti útmutató a bejutott GandCrab eltávolításában segít. A titkosított fájlok visszaállításához az avirus.hu biztonsági szakértőinek részletes útmutatóját érdemes követnie.

Több módszerrel is megkísérelheti a bejutott GandCrab által titkosított fájlok visszaállítását:

Data Recovery Pro

Ez egy adatmentő szoftver, amely a zsarolóvírusok által titkosított fájlok mellett véletlenül törölt adatok visszaállítására is használható. Használatához szerencsére semmilyen extra feltételnek nem kell teljesülnie a rendszerbeállításokat illetően.

  • Töltse le a következőt: Data Recovery Pro (http://avirus.hu/download/data-recovery-pro-setup.exe);
  • A letöltött Data Recovery telepítőjének lépéseit követve telepítse a szoftvert számítógépére;
  • Indítsa el, és a vizsgálat segítségével gyűjtse össze a bejutott GandCrab zsarolóvírus által titkosított fájlokat;
  • Állítsa vissza őket.

A Windows Előző verziók funkció

A Windows felhasználói megpróbálkozhatnak ezzel a beépített funkcióval is, amely a titkosított fájlok korábbi változatait képes visszaállítani. Ez a megoldás azonban csak akkor használható, ha a Rendszer-visszaállítás funkció már a vírus bejutása előtt be volt kapcsolva.

  • Kattintson jobb gombbal a visszaállítandó fájlra;
  • A “Properties” menüben válassza az “Previous versions” menüpontot;
  • Nézze át a fájl elérhető változatait a “Folder versions” szakaszban. Válasszon egy megfelelő változatot, majd kattintson a “Restore” gombra.

ShadowExplorer

Ez az adatmentő szoftver a rendszer árnyékmásolatai alapján dolgozik. Működésének feltétele, hogy a vírus nem törölte ezeket a másolatokat.

  • Töltse le a következőt: Shadow Explorer (http://shadowexplorer.com/);
  • A letöltött Shadow Explorer telepítési varázslóját követve telepítse a szoftvert számítógépére;
  • Indítsa el a programot, majd a bal felső sarok legördülő listájából válassza ki a titkosított adatokat tároló lemezt. Ellenőrizze az elérhető mappákat;
  • Kattintson jobb gombbal a visszaállítandó mappára, majd válassza az “Export” lehetőséget. Kiválaszthatja a visszaállítás célmappáját is.

Egyelőre sajnos nincs elérhető GandCrab visszafejtő.

Fontos törődnie a crypto-ransomware vírusok elleni óvintézkedésekkel. Ha meg szeretné védeni számítógépét az olyan ransomware-ektől, mint a most tárgyalt GandCrab, használjon megbízható antispyware programot, például: Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus vagy Malwarebytes Anti Malware

A szerzőről

Julie Splinters
Julie Splinters - Malware-eltávolítási specialista

Ha hasznosnak találta ezt az ingyenes útmutatót és elégedett a szolgáltatásunkkal, fontolja meg az adományozást. Ezzel segíthetne nekünk a szolgáltatás életben tartásában. A legkisebb összegért is rendkívül hálásak leszünk!

Üzenet neki: Julie Splinters
A vállalatról: Esolutions

Eltávolítási útmutatók más nyelveken