ガイド

GandCrabのランサムウェア の除去:どのように.GDCBウイルスをディクリプトするか

という新しい高度なランサムウェアが2月初めから猛威を振るっている。これは、他のブラックリストのマルウェア・ファミリーが以前に使われていなかった架空のコインの授受に先駆けて、革命的なものとなった。さらに、進化を続ける分散配信ルーチンもあります。

GandCrabランサムウェアとは何か?

GandCrabは、巧みにオーケストレーションされた伝播、高度なウイルス対策回避、未解決の暗号、および強力なCommand and Controlインフラストラクチャを備えた、新しい世代の身代金トロイの木馬です。2017年後半以来、サイバー犯罪の流行が一般的に減少していることに伴い、ハイテクとしてのサンプルの登場はかなりの出来事である。この記事執筆時点で、この恐喝の設計者はGandCrab v2.1をリリースしています。これは、分散ワークフローがより柔軟になった点を除けば、元のバリアントとはほとんど異なります。以前のように、犯人の最新版にはそのようなものが付け加えられている。暗号化ファイルへのGDCB拡張機能と、GDCB-DECRYPT.txtという名前のレスキューマニュアルを削除します。

GandCrabの侵入

流通方法の微調整は具体的である。以前のバージョンでは、RRGやGrandSoftなどのエクスプロイトキットを使ってラウンドを行っていたが、現在は悪意のあるスパムを介してコンピューターに到達している。これは技術的複雑さに関してはダウンシフトであるように見えるが、ペイロード導入の成功率はおそらく成長している。敵はボットネットを利用して、潜在的な被害者を大量に郵送する。敵はボットネットを利用して、潜在的な被害者を大量に郵送する。送信されたフィッシング詐欺メールは領収書であるふりをします。件名は[乱数]です。メッセージの本文は、 「添付文書」 と言う。

GandCrabのトランスクリプトを広める迷惑メール

キャッチコピーはPDFファイルとして偽装された添付ファイルに関するものです。受信者がそれを開くと、彼らは彼らがロボットではないことを確認するためのチェックマークを入れることになっているキャプチャと画面に終わる。次に、不正なPDFオブジェクトは、butcaketforthen.comウェブページからブービートラップされたMicrosoft Wordファイルをダウンロードしてロードします。次に、犠牲者に編集を許可してOfficeマクロを実行するよう頼むガーデン色の “Protected View”通知を出します。悪意のあるマクロは、順番に、感染チェーンを完成させるPowerShellスクリプトをダウンロードして起動 し、ターゲットホスト上でGandCrab ransomwareバイナリ を実行し ます。

悪用されるプログラムはまず、汚染されたマシンのハードディスクパーティション、リムーバブルドライブ、およびネットワーク共有を潜在的に貴重なデータを検索するために通過させます。検出されたアイテムを暗号化する前に、現在意図されている人質ファイルのいくつかを使用しているかもしれない複数のプロセスを終了します。また、この情報を解読サービスページに後で表示するために、被害者のIPアドレスとジオロケーションを決定します。C2サーバーからパブリック暗号化キーを受け取った GandCrabは、非対称暗号化アルゴリズムであるRSAを使用してデータ破損ジョブを実行します。

アクセスの拒否を除いて、このファイルが歪んでいることの注目すべき副産物は、ファイルの連結です。すべてのエンコードされたエントリへの GDCB 文字列。また、ransomwareは、人質データを持つフォルダ内の回復方法文書、GDCB-DECRYPT.txtを残し、デスクトップにもコピーをドロップします。最終的に、被害者は「 GandCrab Decryptor 」ページ にアクセスするよう指示されます。それは身代金支払いを処理するために設計されたTorの隠されたリソースです。感染には1.54ダッシュが必要で、これは初めてトランスレントウェアメーカーが使用する暗号の一種です。どのくらい大きな誘惑が サイバークロス を支払うことであっても、データを元に戻して一日に移動しても、最初に他のものを試してみてください。以下の手順を実行して、GandCrabのトランスクリプト を削除し、 フォレンジックがデータ回復の面でこのトリックを実行できるかどうかを確認します。

GandCrabランサムウェアの自動除去

それはこのような感染症を扱うことになると、評判のクリーニングツールを使用して開始するための場所です。このワークフローにこだわりは、ランサムウェアのすべてのコンポーネントが発見され、影響を受けるコンピュータから根絶されることを保証します。

  1. ダウンロードし、クリーニングツールをインストールして起動し、コンピュータのスキャン]ボタンをクリックしますGandCrab駆除ツールをダウンロード
  2. 待ち時間はそれだけの価値があります。スキャンが完了すると、あなたのPC上で検出されたすべての悪意のあるまたは望ましくない可能性のあるオブジェクトをリストしたレポートが表示されます。先に行くと、自動的にあなたのマシンからアンインストール身代金トロイの木馬を得るために修正脅威のオプションをクリックします。次のステップは、暗号化されたファイルを復元することを意図しています。

暗号化された.GDCBファイルを復元する方法

回避策1:ファイルの回復ソフトウェアを使用します

それはGandCrabウイルスとそのスピンオフがあなたのファイルのコピーを作成し、それらを暗号化していることを知っておくことが重要です。一方では、元のファイルが削除されます。削除されたデータを復元することができますそこにアプリケーションがあります。この目的には、Stellar Data Recoveryなどのツールを利用できます。検討中のランサムウェアの最新バージョンは、いくつかの上書きとの安全な削除を適用する傾向があるが、いずれにしても、この方法は試してみる価値はあります。

Stellar Data Recoveryをダウンロードする

回避策2:バックアップをご利用ください

まず第一に、これはあなたのファイルを回復する素晴らしい方法です。お使いのマシンに保存されている情報をバックアップされている場合は、しかし、しか適用できます。もしそうなら、あなたの配慮から利益を得ることに失敗しません。

回避策3:使用シャドウボリュームコピー

あなたが知らなかった場合には、オペレーティングシステムはすべてのファイルのいわゆるシャドウボリュームコピーがあれば、システムの復元などのコンピュータ上で起動されて作成されます。復元ポイントが指定した間隔で作成されると、ファイルのスナップショットは、彼らは同様に生成され、その時点で表示されます。あなたのファイルの最新バージョンの回復を保証するものではありません、この方法をお勧めします。これは、しかし、ショット確かに価値があります。このワークフローは、2つの方法でなんとかです:手動と自動のソリューションを使用することによって。まずは手動プロセスを見てみましょう。

  • 元のバージョン機能 ファイルを右クリックし、プロパティをクリックします。元のバージョンのタブを選択し、最新の自動バックアップを確認します。元の場所に戻すこともできますし、新しファイル先まで移すこともできます。Previous Versions
  • シャドーエキスプローラアプレット 自動ツールのシャドーエキスプローラのようなソフトでは元のバージョンのファイルを管理することができます。個のソフトは無料なので、使うのにダウンロードとインストールをしてください、パソコンのプロフィールを構築してから、復元ができます。右側からドライブを選択し、ファイルを右クリックすると復元の用意ができて、輸出するとファイルが指定の場所に復元されます。Shadow Explorer

GandCrabのランサムウェアが完全に削除されているかどうかを確認します

ここでも、ランサムウェアの除去だけでは、あなたの個人的なファイルの復号化にはつながりません。データは、またはトリックをしない場合があります上記の強調表示方法を復元するが、ランサムウェア自体がコンピュータ内部の属していません。なお、多くの場合、それは間違いなく、繰り返し何このウイルスの有害な残骸と関連する脅威は、Windowsのレジストリやその他の場所の内部に残っていないか確認してくださいするために、自動セキュリティソフトウェアを使用してシステムをスキャンするために理にかなっている理由である他のマルウェア、付属しています。

GandCrabランサムウェアスキャナとリムーバーをダウンロード

ここにコメント