Як розшифрувати файли, зашифровані Gandcrab?

Питання

Проблема: Як розшифрувати файли, зашифровані Gandcrab?

Привіт, мені здається, що я заразився якоюсь шкідливою програмою, і тепер я не можу відкрити жодну зі своїх фотографій чи інших файлів. На моєму робочому столі є текстова нотатка, а фоновий малюнок змінено на чорний фон із повідомленням «ЗАШИФРОВАНО ГАНДКРАБОМ». Відповідно до записки, мені потрібно заплатити цифровою валютою, щоб ці люди відновили мою файли. Це єдиний шлях? Чи можете ви мені допомогти? Я не великий експерт з ПК, тому буду вдячний за більш детальні інструкції щодо того, що робити…

Вирішена відповідь

Програма-вимагач GandCrab виникла на початку 2018 року, і протягом трохи більше року свого існування встигла випустити кілька десятки версій, які блокують файли користувачів за допомогою шифрування Salsa20, AES та RSA-2048 алгоритми^[1] і вимагає викуп за ключ дешифрування. Однак вам не слід звертатися до кіберзлочинців і покладатися на альтернативні методи, які можуть допомогти вам розшифрувати файли, зашифровані Gandcrab.

У той час як початкове зловмисне програмне забезпечення було випущено з доданими розширеннями .CRAB, .KRAB та подібними файлами, Gandcrab v5 перейшов на іншу, вдосконалену модель вірусу. Останні варіанти використовують випадкову комбінацію символів як розширення, що ще більше ускладнює процедуру дешифрування GandCrab. Крім того, Gandcrab побачив співпрацю з іншими шкідливими загрозами, такими як Vidar^[2] або Emotet.^[3]

Протягом свого правління викупник GandCrab використовував різноманітні методи розповсюдження, такі як:

• Rig, Magnitude, GradSoft і Fallout^[4] подвиги;
• Уразливості планувальника завдань ALPC та Adobe Flash;
• Кампанії з використанням шкідливого спаму, наприклад «Люблю тебе»;
• Завантажено через бекдор-зловмисне програмне забезпечення тощо.

Дослідіть усі способи відновлення файлів, уражених програмним забезпеченням-вимагачем GandCrab

Як очевидно, краще не заразитися GandCrab в першу чергу. На жаль, користувачі не дуже обережні, коли мова йде про кібербезпеку: вони відкривають шкідливі вкладення спаму, не виправляють свої системи, уникають антивірусного програмного забезпечення тощо. Тому переконайтеся, що ви використовуєте заходи безпеки, щоб запобігти зараженню програм-вимагачів у майбутньому. Додатково можна використовувати вакцину GandCrab, яка б запобігла виконанню шкідливого скрипту і, відповідно, шифрування файлів.

Питання, яке найбільше цікавить користувачів: «Чи можу я розшифрувати файли, зашифровані Gandcrab?». Відповідь на це питання не така просто, оскільки від версії шкідливого програмного забезпечення залежить, чи були підготовлені резервні копії, якщо зловмисному програмному забезпеченню не вдалося видалити Shadow Volume Копії тощо.

Якщо у вас були підготовлені резервні копії до того, як програма-вимагач GandCrab атакувала ваш комп’ютер, ви зможете без проблем скопіювати та вставити всі свої дані. Однак переконайтеся, що ви видалили вірус GandCrab, перш ніж продовжити відновлення файлів, інакше всі резервні копії також будуть заблоковані.

Якщо у вас немає резервних копій, доступні кілька інших варіантів для розшифрування файлів, зашифрованих Gandcrab. Доступні офіційні дешифратори, а також сторонні інструменти. Будь ласка, розгляньте всі можливі варіанти нижче.

Перш ніж продовжити: видаліть програму-вымогальник GandCrab

Як ми вже згадували, перед спробою відновити файли слід видалити програму-вимагач GandCrab. Спочатку вам потрібно завантажити та встановити програмне забезпечення безпеки, яке може виявити загрозу. Доступних додатків багато, тому переконайтеся, що ви вибрали те, що вам найбільше підходить.

Після встановлення AV-системи вам доведеться увійти в безпечний режим із мережею, щоб виконати повне сканування системи. Більш детальну інформацію про те, як видалити програму-вымогальник Gandcrab, можна знайти в це відео.

Варіант 1. Використовуйте дешифратор GandCrab від BitDefender

Дослідники безпеки з Bitdefender випустили офіційний дешифратор GandCrab, який можна використовувати безкоштовно.^[5] Будь ласка, виконайте такі дії, щоб завантажити його (примітка: для виконання процесу розшифрування для програми потрібне підключення до Інтернету):

• Завантажте файл Офіційний дешифратор GandCrab.
• Запустіть програму.
• Погодьтеся з умовами.
• Виберіть Сканувати всю систему або виберіть певну папку, з якої інструмент розшифровує файли.

Працюватиме останній варіант дешифратора версії 1, 4, 5.0.1–5.1. Експерти з безпеки Bitdefender створили офіційний дешифратор, який працює для більшості версій GandCrab

Варіант 2. Використовуйте альтернативний дешифратор GandCrab

Незалежні дослідники безпеки постійно працюють над новими методами розшифровки програм-вимагачів Gandcrab. Тому, якщо офіційний інструмент від Bitdefender у вас не працює і на вас впливає GandCrab версії 5.0–5.0.3, ви можете завантажити альтернативний дешифратор тут.

• Завантаживши інструмент для своєї версії Windows (32 або 64 біт), розпакуйте файл zip.
• Вам буде запропоновано ввести пароль – введіть Валтек і натисніть ДОБРЕ.
• Після відкриття MasterCrab.exe введіть Ю і вдарив Введіть.
• Програмне забезпечення розшифрує ваші файли.

Зауважте, що більш детальні інструкції можна знайти у файлі README.txt.

Завантажте альтернативний дешифратор Gandcrab, створений незалежними дослідниками безпеки

Варіант 3. Використовуйте Data Recovery Pro для відновлення файлів, зашифрованих GandCrab

Якщо офіційні дешифратори не працюють або ви заражені версією, яка не розшифровується (v5.04+), спробуйте сторонні програми для відновлення даних. Спробуйте розшифрувати файли, зашифровані Gandcrab, за допомогою Data Recovery Pro:

• Завантажити Data Recovery Pro програмне забезпечення, а потім встановіть його, дотримуючись інструкцій на екрані.
• Після встановлення відкрийте програму та запустіть сканування – виберіть Опція повного сканування і виберіть Почніть сканування.
• Ви також можете шукати певні файли – просто введіть ключове слово.
• Після завершення сканування виберіть усі файли, які ви можете повернути, і натисніть Відновити.

Data Recovery Pro — це професійний інструмент, який може відновити деякі або всі ваші файли

Варіант 4. Використовуйте ShadowExplorer, намагаючись відновити файли, зашифровані GandCrab

Volume Snapshot Service (VSS) — це автоматизована система резервного копіювання в Windows, яка забезпечує відновлення даних без зайвих проблем. З цієї причини більшість вірусів-вимагачів запрограмовані на видалення цих автоматичних копій. Однак GandCrab, як і всі інші подібні віруси, може не виконати цю процедуру, залишивши тіньові копії томів. У такому випадку такі інструменти, як ShadowExplorer, можуть повернути всі ваші дані:

• Завантажити ShadowExplorer і встановіть його, дотримуючись інструкцій на екрані.
• Відкрийте програму та виберіть диск, з якого потрібно відновити дані.
• Натисніть Експорт (ви також можете вказати, куди експортувати файли).

Якщо програмі-вимагачі не вдалося видалити тіньові копії томів, використовуйте ShadowExplorer, щоб відновити всі ваші дані

Бонус: використовуйте вакцину GandCrab, щоб уникнути майбутніх інфекцій

Незалежний дослідник безпеки Валтек^[6] створює програмне забезпечення, спеціально призначене для запобігання шифруванню файлів із програмним забезпеченням GandCrab:

• Перейдіть до сайт для розміщення вакцин і завантажте відповідний інструмент. Вакцина GandCrab запобіжить зловмисному програмному забезпеченню шифрування файлів
• Щоб розпакувати програму, скористайтеся Валтек як пароль.
• Коли УАК спливе, клацніть Так.
• Двічі клацніть на GandCrabSucksVaccine.exe
• Вакцина буде працювати у фоновому режимі, і ви будете захищені від зараження файлом GandCrab. Вакцина GandCrab працюватиме у фоновому режимі

Нарешті, після видалення вірусу GandCrab зі свого комп’ютера, проскануйте його за допомогою ReimageПральна машина Mac X9, оскільки він може очищати реєстр Windows і відновлюватися від інших пошкоджень вірусами.

Відновлення файлів та інших компонентів системи автоматично

Щоб відновити свої файли та інші компоненти системи, ви можете скористатися безкоштовними посібниками експертів ugetfix.com. Однак, якщо ви вважаєте, що у вас недостатньо досвіду, щоб самостійно здійснити весь процес відновлення, ми рекомендуємо використовувати наведені нижче рішення для відновлення. Ми перевірили кожну з цих програм та їх ефективність для вас, тому все, що вам потрібно зробити, це дозволити цим інструментам виконати всю роботу.

Reimage - запатентована спеціалізована програма для відновлення Windows. Він діагностує ваш пошкоджений ПК. Він сканує всі системні файли, DLL і ключі реєстру, які були пошкоджені загрозами безпеки.Reimage - запатентована спеціалізована програма відновлення Mac OS X. Він діагностує ваш пошкоджений комп’ютер. Він сканує всі системні файли та ключі реєстру, які були пошкоджені загрозами безпеки.
Цей запатентований процес ремонту використовує базу даних із 25 мільйонів компонентів, які можуть замінити будь-який пошкоджений або відсутній файл на комп’ютері користувача.
Щоб відремонтувати пошкоджену систему, необхідно придбати ліцензійну версію Reimage інструмент для видалення шкідливих програм.

преса