Как да декриптирате файлове, криптирани от Gandcrab?

Въпрос

Проблем: Как да декриптирате файлове, криптирани от Gandcrab?

Здравейте, мисля, че се заразих със зловреден софтуер и сега не мога да отворя нито една от снимките си или други файлове. На работния плот има текстова бележка, а тапетът е променен на черен фон със съобщение „ШИФИРАНО ОТ GANDCRAB.“ Според бележката трябва да платя цифрова валута за тези хора, за да възстановят моята файлове. Това ли е единственият начин? Можете ли да ми помогнете? Не съм голям компютърен експерт, така че по-подробни инструкции какво да правя ще бъдат оценени...

Решен отговор

GandCrab ransomware възникна в началото на 2018 г. и в рамките на малко повече от година от живота си успя да пусне няколко десетки версии, които заключват файловете на потребителите с помощта на криптиране Salsa20, AES и RSA-2048 алгоритми^[1] и иска откуп за ключа за декриптиране. Въпреки това, не трябва да се свързвате с киберпрестъпници и да разчитате на алтернативни методи, които могат да ви помогнат да декриптирате файлове, криптирани от Gandcrab.

Докато първоначалният зловреден софтуер беше пуснат с добавени .CRAB, .KRAB и подобни разширения на файлове, Gandcrab v5 премина към различен, подобрен модел на вируса. Най-новите варианти използват произволна комбинация от знаци като разширение, което усложнява процедурата за декриптиране на GandCrab още повече. Освен това Gandcrab видя сътрудничество с други злонамерени заплахи като Vidar^[2] или Емотет.^[3]

По време на своето управление GandCrab ransomware използва различни техники за разпространение, като например:

• Rig, Magnitude, GradSoft и Fallout^[4] подвизи;
• Уязвимости в Task Scheduler ALPC и Adobe Flash;
• Малспам кампании, като „Обичам те“;
• Изтеглено чрез бекдор злонамерен софтуер и др.

Разгледайте всички начини, по които можете да възстановите файлове, засегнати от GandCrab ransomware

Както е очевидно, най-добре е да не се заразите с GandCrab на първо място. За съжаление, потребителите не са толкова внимателни, когато става въпрос за киберсигурност: те отварят злонамерени прикачени файлове към спам имейли, не пачват системите си, избягват антивирусен софтуер и други подобни. Затова се уверете, че използвате мерки за сигурност, за да предотвратите инфекции с рансъмуер в бъдеще. Освен това можете да използвате ваксина GandCrab, която би предотвратила изпълнението на злонамерения скрипт и следователно криптирането на файла.

Въпросът, който най-много интересува потребителите, е „Мога ли да дешифрирам файлове, криптирани от Gandcrab?“. Отговорът на този въпрос не е такъв просто, тъй като зависи от версията на зловредния софтуер, дали са подготвени резервни копия или не, ако злонамереният софтуер не успее да изтрие Shadow Volume Копия и др.

Ако сте подготвили резервни копия, преди GandCrab ransomware да атакува компютъра ви, трябва да можете да копирате и поставите всичките си данни без проблеми. Уверете се обаче, че сте премахнали вируса GandCrab, преди да продължите с възстановяването на файлове, в противен случай всички архивни копия също ще бъдат заключени.

Ако нямате резервни копия, има няколко други опции за декриптиране на файлове, криптирани от Gandcrab. Налични са официални декриптори, както и инструменти на трети страни. Моля, разгледайте всички възможни опции по-долу.

Преди да продължите: премахнете GandCrab ransomware

Както вече споменахме, трябва да премахнете GandCrab ransomware, преди да опитате да възстановите вашите файлове. Първо, трябва да изтеглите и инсталирате софтуер за сигурност, който може да открие заплахата. Има много налични приложения, така че не забравяйте да изберете това, което ви подхожда най-добре.

След като инсталирате AV двигател, ще трябва да влезете в безопасен режим с работа в мрежа, за да извършите пълно сканиране на системата. Повече подробности за това как да премахнете Gandcrab ransomware можете да намерите в това видео.

Опция 1. Използвайте GandCrab декриптор от BitDefender

Изследователите по сигурността в Bitdefender пуснаха официален декриптор GandCrab, който може да се използва безплатно.^[5] Моля, следвайте тези стъпки, за да го изтеглите (забележка: приложението изисква интернет връзка, за да извърши процес на декриптиране):

• Изтеглете Официален декриптор на GandCrab.
• Стартирайте приложението.
• Съгласете се с условията.
• Изберете Сканиране на цялата система или изберете конкретна папка, от която искате инструментът да декриптира файлове.

Най-новият вариант на декриптора ще работи версии 1, 4, 5.0.1 до 5.1. Експертите по сигурността в Bitdefender създадоха официален декриптор, който работи за повечето версии на GandCrab

Вариант 2. Използвайте алтернативен декриптор GandCrab

Независимите изследователи по сигурността непрекъснато работят върху нови методи за декриптиране на откупа на Gandcrab. Ето защо, ако официалният инструмент от Bitdefender не работи за вас и сте засегнати от GandCrab версия 5.0 до 5.0.3, можете да изтеглите алтернативен декриптор тук.

• След като изтеглите инструмента за вашата версия на Windows (32 бита или 64 бита), извлечете zip файла.
• Ще бъдете помолени да въведете паролата - въведете Валтек и щракнете ДОБРЕ.
• След като MasterCrab.exe се отвори, въведете Й и удари Въведете.
• Софтуерът ще декриптира вашите файлове.

Имайте предвид, че можете да намерите по-подробни инструкции във файла README.txt.

Изтеглете алтернативен декриптор на Gandcrab, създаден от независими изследователи по сигурността

Вариант 3. Използвайте Data Recovery Pro, за да възстановите файлове, криптирани от GandCrab

В случай, че официалните декриптори не работят или сте заразени с версия, която не може да се декриптира (v5.04+), трябва да опитате приложения за възстановяване на данни на трети страни. Трябва да опитате да дешифрирате вашите файлове, криптирани от Gandcrab с помощта на Data Recovery Pro:

• Изтегли Професионално възстановяване на данни софтуер и след това го инсталирайте, като следвате инструкциите на екрана.
• След като се инсталира, отворете програмата и стартирайте сканиране – изберете Опция за пълно сканиране и изберете Започни сканиране.
• Можете също да търсите конкретни файлове - просто въведете ключова дума.
• След като сканирането приключи, изберете всички файлове, които можете да върнете, и щракнете Възстановете се.

Data Recovery Pro е професионален инструмент, който може да успее да възстанови някои или всички ваши файлове

Вариант 4. Използвайте ShadowExplorer, когато се опитвате да възстановите файлове, криптирани от GandCrab

Volume Snapshot Service (VSS) е автоматизирана система за архивиране в Windows и ще осигури възстановяване на данни без много проблеми. Поради тази причина повечето вируси за рансъмуер са програмирани да изтриват тези автоматизирани копия. Въпреки това, GandCrab, точно както всички други подобни вируси, може да не успее да изпълни тази процедура, оставяйки след себе си Shadow Volume Copies. В такъв случай инструменти като ShadowExplorer могат да върнат всичките ви данни:

• Изтегли ShadowExplorer и го инсталирайте, като използвате инструкциите на екрана.
• Отворете приложението и изберете устройството, от което искате да възстановите данни.
• Щракнете върху Експортиране (може също да посочите къде да експортирате файлове).

В случай, че ransomware не успя да изтрие копия на Shadow Volume, използвайте ShadowExplorer, за да възстановите всичките си данни

Бонус: използвайте ваксина GandCrab, за да избегнете бъдещи инфекции

Независим изследовател по сигурността Валтек^[6] създава софтуер, предназначен специално за предотвратяване на криптиране на файлове за откуп на GandCrab:

• Отидете до сайт за хостинг на ваксини и изтеглете подходящия инструмент. Ваксината GandCrab ще попречи на зловреден софтуер да криптира файлове
• За да извлечете приложението, използвайте Валтек като парола.
• Кога UAC изскача, щракнете да.
• Щракнете двукратно върху GandCrabSucksVaccine.exe
• Ваксината ще работи във фонов режим и ще бъдете защитени от инфекция с GandCrab файл. Ваксината GandCrab ще работи на заден план

И накрая, след като премахнете вируса GandCrab от компютъра си, сканирайте го с ReimageMac пералня X9, тъй като може да почисти системния регистър на Windows и да се възстанови от други вирусни щети.

Възстановява автоматично файлове и други системни компоненти

За да възстановите вашите файлове и други системни компоненти, можете да използвате безплатни ръководства от експертите на ugetfix.com. Въпреки това, ако смятате, че нямате достатъчно опит, за да приложите сами целия процес на възстановяване, препоръчваме да използвате решенията за възстановяване, изброени по-долу. Тествахме всяка от тези програми и тяхната ефективност за вас, така че всичко, което трябва да направите, е да оставите тези инструменти да свършат цялата работа.

Reimage - патентована специализирана програма за ремонт на Windows. Той ще диагностицира вашия повреден компютър. Той ще сканира всички системни файлове, DLL файлове и ключове на системния регистър, които са били повредени от заплахи за сигурността.Reimage - патентована специализирана програма за ремонт на Mac OS X. Той ще диагностицира повредения ви компютър. Той ще сканира всички системни файлове и ключове на системния регистър, които са били повредени от заплахи за сигурността.
Този патентован процес на поправка използва база данни от 25 милиона компоненти, които могат да заменят всеки повреден или липсващ файл на компютъра на потребителя.
За да поправите повредена система, трябва да закупите лицензираната версия на Reimage инструмент за премахване на зловреден софтуер.

Натиснете