Hvordan dekryptere filer kryptert av Gandcrab?

Spørsmål

Problem: Hvordan dekryptere filer kryptert av Gandcrab?

Hei, jeg tror jeg ble infisert med noe skadelig programvare, og nå kan jeg ikke åpne noen av bildene mine eller andre filer. Et tekstnotat er til stede på skrivebordet mitt, og bakgrunnen er endret til en svart bakgrunn med en melding som sier "KRYPTERT AV GANDCRAB." I følge notatet må jeg betale digital valuta for at disse menneskene skal gjenopprette min filer. Er det den eneste måten? Kan du være så snill å hjelpe meg? Jeg er ikke en stor PC-ekspert, så mer detaljerte instruksjoner om hva jeg skal gjøre ville bli satt pris på...

Løst svar

GandCrab løsepengevare oppsto tidlig i 2018, og i løpet av litt over et år av levetiden klarte han å gi ut noen få dusinvis av versjoner som låser brukernes filer ved hjelp av Salsa20, AES og RSA-2048 kryptering algoritmer^[1] og krever løsepenger for dekrypteringsnøkkelen. Du bør imidlertid ikke kontakte nettkriminelle og stole på alternative metoder som kan hjelpe deg med å dekryptere filer kryptert av Gandcrab.

Mens den første utgitte skadelige programvaren vedlagt .CRAB, .KRAB og lignende filutvidelser, byttet Gandcrab v5 til en annen, forbedret modell av viruset. De nyeste variantene bruker en tilfeldig kombinasjon av tegn som en utvidelse, noe som kompliserer GandCrab-dekrypteringsprosedyren ytterligere. I tillegg så Gandcrab et samarbeid med andre ondsinnede trusler som Vidar^[2] eller Emotet.^[3]

Gjennom sin regjeringstid brukte GandCrab løsepengevare en rekke distribusjonsteknikker, for eksempel:

• Rig, Magnitude, GradSoft og Fallout^[4] utnytter;
• Oppgaveplanlegger ALPC og Adobe Flash sårbarheter;
• Malspam-kampanjer, for eksempel "Love You";
• Lastet ned via bakdør malware, etc.

Utforsk alle måtene du kan gjenopprette filer som er berørt av GandCrab løsepengeprogramvare

Som åpenbart er det best å ikke bli smittet med GandCrab med det første. Dessverre er ikke brukere så forsiktige når det kommer til nettsikkerhet: de åpner ondsinnede spam-e-postvedlegg, lapper ikke systemene sine, unngår antivirusprogramvare og lignende. Sørg derfor for å bruke sikkerhetstiltak for å forhindre løsepengevareinfeksjoner i fremtiden. I tillegg kan du bruke GandCrab-vaksine som vil forhindre kjøring av det ondsinnede skriptet og, følgelig, filkrypteringen.

Spørsmålet som interesserer brukerne mest er "Kan jeg dekryptere filer kryptert av Gandcrab?." Svaret på dette spørsmålet er ikke det enkelt, ettersom det avhenger av versjonen av skadelig programvare, hvorvidt sikkerhetskopier ble utarbeidet hvis skadelig programvare ikke klarte å slette Shadow Volume Kopier osv.

Hvis du hadde forberedt sikkerhetskopier før GandCrab-ransomware angrep datamaskinen din, bør du kunne kopiere og lime inn alle dataene dine uten problemer. Pass imidlertid på at du fjerner GandCrab-viruset før du fortsetter med filgjenoppretting, ellers vil alle sikkerhetskopiene også bli låst.

Hvis du ikke har sikkerhetskopier, er flere andre alternativer tilgjengelige for å dekryptere filer kryptert av Gandcrab. Det er offisielle dekrypteringer tilgjengelig, så vel som tredjepartsverktøy. Utforsk alle mulige alternativer nedenfor.

Før du fortsetter: fjern GandCrab løsepengeprogramvare

Som vi allerede har nevnt, bør du fjerne GandCrab ransomware før du prøver å gjenopprette filene dine. Først må du laste ned og installere sikkerhetsprogramvare som kan oppdage trusselen. Det er mange applikasjoner tilgjengelig, så sørg for at du velger den som passer deg best.

Når du har installert en AV-motor, må du gå inn i sikkermodus med nettverk for å utføre en fullstendig systemskanning. Flere detaljer om hvordan du fjerner Gandcrab løsepengevare finner du i denne videoen.

Valg 1. Bruk GandCrab-dekryptering fra BitDefender

Sikkerhetsforskere hos Bitdefender ga ut en offisiell GandCrab-dekryptering som kan brukes gratis.^[5] Følg disse trinnene for å laste den ned (merk: appen krever en internettforbindelse for å utføre dekrypteringsprosessen):

• Last ned Offisiell GandCrab-dekryptering.
• Kjør programmet.
• Godta vilkår og betingelser.
• Plukke Skann hele systemet eller velg en bestemt mappe du vil at verktøyet skal dekryptere filer fra.

Den siste varianten av dekryptering vil fungere versjoner 1, 4, 5.0.1 til 5.1. Sikkerhetseksperter hos Bitdefender opprettet en offisiell dekryptering som fungerer for de fleste GandCrab-versjoner

Alternativ 2. Bruk alternativ GandCrab-dekryptering

Uavhengige sikkerhetsforskere jobber kontinuerlig med nye metoder for å dekryptere Gandcrab løsepengeprogramvare. Derfor, hvis det offisielle verktøyet fra Bitdefender ikke fungerer for deg og du er berørt av GandCrab versjon 5.0 til 5.0.3, kan du laste ned en alternativ dekryptering her.

• Når du har lastet ned verktøyet for din versjon av Windows (32-bits eller 64-bits), pakker du ut zip-filen.
• Du blir bedt om å skrive inn passordet – skriv inn Valthek og klikk OK.
• Når MasterCrab.exe åpnes, skriv inn Y og treffer Tast inn.
• Programvaren vil dekryptere filene dine.

Merk at du kan finne mer detaljerte instruksjoner i filen README.txt.

Last ned alternativ Gandcrab-dekryptering laget av uavhengige sikkerhetsforskere

Alternativ 3. Bruk Data Recovery Pro til å gjenopprette filer kryptert av GandCrab

I tilfelle offisielle dekrypteringer ikke fungerer, eller du er infisert med en versjon som ikke kan dekrypteres (v5.04+), bør du prøve tredjeparts applikasjoner for datagjenoppretting. Du bør prøve å dekryptere filene dine kryptert av Gandcrab ved hjelp av Data Recovery Pro:

• nedlasting Data Recovery Pro programvaren og installer den ved å følge instruksjonene på skjermen.
• Når det er installert, åpne programmet og start en skanning – velg Alternativ for full skanning og velg Start søk.
• Du kan også se etter spesifikke filer – bare skriv inn et nøkkelord.
• Når skanningen er fullført, velg alle filene du kan returnere og klikk Gjenopprette.

Data Recovery Pro er et profesjonelt verktøy som kanskje kan gjenopprette noen eller alle filene dine

Alternativ 4. Bruk ShadowExplorer når du prøver å gjenopprette filer kryptert av GandCrab

Volume Snapshot Service (VSS) er et automatisert sikkerhetskopieringssystem i Windows og vil gi datagjenoppretting uten for mye trøbbel. Av den grunn er de fleste ransomware-virus programmert til å slette disse automatiserte kopiene. Imidlertid kan GandCrab, akkurat som alle andre lignende virus, mislykkes i å utføre denne prosedyren, og etterlate Shadow Volume Copies. I et slikt tilfelle kan verktøy som ShadowExplorer få tilbake alle dataene dine:

• nedlasting ShadowExplorer og installer den ved å bruke instruksjonene på skjermen.
• Åpne programmet og velg stasjonen du vil gjenopprette data fra.
• Klikk Eksport (du kan også spesifisere hvor filer skal eksporteres).

I tilfelle løsepengevare ikke klarte å slette Shadow Volume Copies, bruk ShadowExplorer for å gjenopprette alle dataene dine

Bonus: bruk GandCrab-vaksine for å unngå fremtidige infeksjoner

Uavhengig sikkerhetsforsker Valthek^[6] har laget programvare dedikert spesielt til GandCrab ransomware filkryptering:

• Gå til vertsside for vaksiner og last ned riktig verktøy. GandCrab-vaksine vil forhindre skadelig programvare fra å kryptere filer
• For å trekke ut applikasjonen, bruk Valthek som et passord.
• Når UAC dukker opp, klikk Ja.
• Dobbeltklikk på GandCrabSucksVaccine.exe
• Vaksinen vil kjøre i bakgrunnen, og du vil være beskyttet mot GandCrab-filinfeksjon. GandCrab-vaksine vil kjøre i bakgrunnen

Til slutt, etter at du har fjernet GandCrab-viruset fra datamaskinen din, skann det med ReimageMac vaskemaskin X9, som det kan kan rense Windows-registeret og gjenopprette fra annen virusskade.

Gjenopprett filer og andre systemkomponenter automatisk

For å gjenopprette filene og andre systemkomponenter kan du bruke gratis guider fra ugetfix.com-eksperter. Men hvis du føler at du ikke er erfaren nok til å implementere hele gjenopprettingsprosessen selv, anbefaler vi å bruke gjenopprettingsløsninger som er oppført nedenfor. Vi har testet hvert av disse programmene og deres effektivitet for deg, så alt du trenger å gjøre er å la disse verktøyene gjøre alt arbeidet.

Reimage - et patentert spesialisert Windows-reparasjonsprogram. Det vil diagnostisere din skadede PC. Den vil skanne alle systemfiler, DLL-er og registernøkler som har blitt skadet av sikkerhetstrusler.Reimage - et patentert spesialisert Mac OS X-reparasjonsprogram. Det vil diagnostisere den skadede datamaskinen. Den vil skanne alle systemfiler og registernøkler som har blitt skadet av sikkerhetstrusler.
Denne patenterte reparasjonsprosessen bruker en database med 25 millioner komponenter som kan erstatte enhver skadet eller manglende fil på brukerens datamaskin.
For å reparere skadet system, må du kjøpe den lisensierte versjonen av Reimage verktøy for fjerning av skadelig programvare.

trykk