Home GandCrab Ransomware: Visas vadovas

GandCrab Ransomware: Visas vadovas

GandCrab yra išpirkos reikalaujančios programinės įrangos variantas, pirmą kartą pastebėtas kibernetinio saugumo srityje 2018 m. pradžioje. Išpirkos reikalaujančios programinės įrangos atakos apima aukos sistemoje esančių failų šifravimą, verčiant juos sumokėti išpirką už iššifravimo raktą. Ši išpirkos reikalaujanti programinė įranga yra žinoma dėl plataus taikymo pagal failų tipus, todėl įvairūs failai yra neprieinami aukai. „GandCrab“ buvo įtrauktas į įvairias didelio atgarsio atakas, kurios paveikė asmenis, įmones ir net vyriausybines organizacijas. Kadangi „GandCrab“ yra dinamiška ir besivystanti grėsmė, nuo tada, kai atsirado, buvo atlikta daugybė versijų ir atnaujinimų. Šiuose atnaujinimuose pristatomos naujos funkcijos ir vengimo būdai, parodantys kūrėjų gebėjimą prisitaikyti prie saugos priemonių. Ši nuolatinė raida yra iššūkis kibernetinio saugumo pastangoms, kuriomis siekiama veiksmingai kovoti su išpirkos reikalaujančiomis programomis.

„SalvageData“ ekspertai rekomenduoja imtis aktyvių duomenų saugumo priemonių, tokių kaip reguliarios atsarginės kopijos, griežta kibernetinio saugumo praktika ir programinės įrangos atnaujinimas, kad apsisaugotų nuo išpirkos reikalaujančių programų atakų. Ir,išpirkos reikalaujančios programinės įrangos atakos atveju nedelsdami kreipkitės į mūsų išpirkos reikalaujančių programų atkūrimo ekspertus.

Viskas, ką žinome apie GandCrab Ransomware

GandCrab išsivystė į kelias versijas, įskaitant GandCrab V2.0, GandCrab 3, GandCrab V5.0, GandCrab 5.0.2, GandCrab V5.0.3, GandCrab 5.0.4, GandCrab 5.0.5, GandCrab 5.0.5, GandCrab .8, 5. GandCrab 5.0.9, GandCrab 5.1.0, GandCrab 5.1.4, GandCrab 5.1.5 ir GandCrab V5.1.6. Nepaisant versijų įvairovės, jų pagrindinė elgsena išlieka nuosekli. Pagrindiniai skirtumai yra failo plėtinys, pridedamas prie šifruotų failų, išpirkos pranešimų turinys, svetainių dizainas, išpirkos sumos ir naudojama kriptovaliutos piniginė. Šie subtilūs skirtumai padeda nustatyti ir atskirti kiekvieną iteraciją GandCrab ransomware šeimoje.Patvirtintas vardas

  • GandCrab virusas

Grėsmės tipas

  • Ransomware
  • Kripto virusas
  • Failų spintelė
  • Dvigubas turto prievartavimas

Ar yra nemokamas iššifruotojas?Yrakai kurių GandCrab ransomware variantų iššifravimo įrankiai(V1, V4, V5). Šiuos variantus galite atpažinti pagal failo plėtinį:

  • .GDCB
  • .GDCB
  • .KRABAS
  • .KRAB
  • .UKCZA
  • .YIAQDG
  • .CQXGPMKNR
  • .HHFEHIOL

Paskirstymo būdai

  • Sukčiavimo el. laiškai
  • Pažeidžiamumų išnaudojimas
  • Silpni arba numatytieji nuotolinio darbalaukio protokolo (RDP) slaptažodžiai

Pasekmės

  • Failai yra užšifruoti ir užrakinti iki išpirkos mokėjimo
  • Duomenų nutekėjimas
  • Dvigubas turto prievartavimas

Kas yra GandCrab ransomware IOC

Kompromiso rodikliai (IOC) yra skaitmeniniai užuominos, kurias kibernetinio saugumo specialistai naudoja norėdami nustatyti sistemos pažeidimus ir kenkėjišką veiklą tinkle arba IT aplinkoje. Kai aptinkamas IOC, saugos komandos įvertina galimas grėsmes arba patvirtina jos autentiškumą. TOK taip pat pateikia įrodymų, prie ko užpuolikas turėjo prieigą, jei įsiskverbė į tinklą. Iš esmės tai yra nusikaltimo vietoje paliktų įrodymų skaitmeninės versijos, o potencialūs IOC apima neįprastą tinklo srautą, privilegijuotus vartotojų prisijungimus iš užsienio šalių, keistas DNS užklausas, sistemos failų pakeitimus ir kt.„GandCrab“ specifiniai IOC apima: failų kelius ir pavadinimus

  • %Application Data%Microsoft{6 random character}.exe

Registro įrašas:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
  • {11 atsitiktinių simbolių} = %Application Data%Microsoft{6 random character}.exe

URL / IP prijungti

  • Ipv4bot.whatismyipaddress.com
  • {Domeno IP adresas}/curl.php?token=1019
  • {BLOKUOTA}ransom.bit, {BLOCKED}ngcomputer.bit, {BLOCKED}ft.bit, {BLOCKED}d32.bit, {BLOCKED}ab.bit

Išpirkos pastaba

  • Išpirkos raštelis numestas kaip {šifruotas aplankas}GDCB-DECRYPT.txt

GandCrab ransomware užšifruoto failo plėtinys:

GandCrab gauja turi daugybę kenkėjiškų programų versijų, o kiekviena versija turi savo plėtinį ir sistemą, skirtą pervardyti užšifruotus failus.1 versija:

  • Failo plėtinys: .GDCB
  • Prasideda taip: —= GANDCRAB =—
  • Plėtinys: .GDCB

2 versija:

  • Failo plėtinys: .GDCB
  • Prasideda taip: —= GANDCRAB =—
  • Plėtinys: .GDCB

3 versija:

  • Failo plėtinys: .CRAB
  • Prasideda taip: —= GANDCRAB V3 =—
  • Plėtinys: .CRAB

4 versija:

  • Failo plėtinys: .KRAB
  • Prasideda taip: —= GANDCRAB V4 =—
  • Plėtinys: .KRAB

5 versija:

  • Failo plėtinys: .([A-Z]+)
  • Prasideda taip: —= GANDCRAB V5.0 =—
  • Plėtinys: .UKCZA

5.0.1 versija:

  • Failo plėtinys: .([A-Z]+)
  • Prasideda taip: —= GANDCRAB V5.0.1 =—
  • Plėtinys: .YIAQDG

5.0.2 versija:

  • Failo plėtinys: .([A-Z]+)
  • Prasideda taip: —= GANDCRAB V5.0.2 =—
  • Plėtinys: .CQXGPMKNR

5.0.3 versija:

  • Failo plėtinys: .([A-Z]+)
  • Prasideda taip: —= GANDCRAB V5.0.3 =—
  • Plėtinys: .HHFEHIOL

5.0.4 versija:

  • Failo plėtinys: .([A-Z]+)
  • Prasideda taip: —= GANDCRAB V5.0.4 =—
  • Plėtinys: .BYACZCZI

5.0.5 versija:

  • Failo plėtinys: .([A-Z]+)
  • Prasideda taip: —= GANDCRAB V5.0.5 =—
  • Plėtinys: .KZZXVWMLI

5.1 versija:

  • Failo plėtinys: .([A-Z]+)
  • Prasideda taip: —= GANDCRAB V5.1 =—
  • Plėtinys: .IJDHRQJD

GandCrab išpirkos raštelis

Atminkite, kad tikrasis išpirkos rašto turinys gali skirtis įvairiose GandCrab versijose, o užpuolikai gali tinkinti pranešimus. Numestame raštelyje paprastai pateikiamos instrukcijos aukai, kaip sumokėti išpirką ir gauti iššifravimo raktą. Toliau pateikiamas pavyzdys, kaip gali atrodyti GandCrab išpirkos kupiūra:

Jei suprantate, kad esate išpirkos reikalaujančių programų auka, susisiekę su „SalvageData“ išpirkos reikalaujančių programų pašalinimo ekspertais suteiksite saugią duomenų atkūrimo paslaugą ir išpirkos reikalaujančių programų pašalinimą po atakos.

Kaip veikia GandCrab ransomware

„GandCrab“ išpirkos reikalaujanti programinė įranga veikia keliais veiksmais, pasitelkdama įvairius metodus, kad įsiskverbtų į failus, užšifruotų failus ir reikalautų išpirkos. Pateikiame „GandCrab“ įprasto veikimo apžvalgą:

Infekcija ir pristatymas

„GandCrab“ dažnai pristatomas naudojant kenkėjiškų el. laiškų priedus, išnaudojimo rinkinius pažeistose svetainėse arba kaip naudingas krovinys, kurį numetė kita kenkėjiška programa. Naudinga apkrova reiškia kenkėjišką komponentą arba kodą kibernetinės atakos metu, paprastai skirtą atlikti žalingus veiksmus tikslinėje sistemoje. Naudingą „GandCrab“ išpirkos reikalaujančios programinės įrangos apkrovą sudaro kenkėjiškas vykdomasis failas, dažnai pristatomas naudojant el. laiškų priedus arba išnaudojamus pažeidžiamumus. Kai sistema užsikrečia, „GandCrab“ gali sukurti savo kopijas konkrečiose aukos kompiuterio vietose.

Daugiau skaitymo:„LockBit Green Ransomware“: visas vadovas

Automatinis paleidimas ir atkaklumas

Siekdama užtikrinti, kad jis veiktų kiekvieną kartą, kai sistema paleidžiama, „GandCrab“ modifikuoja „Windows“ registrą, pridėdama įrašų, įgalinančių automatinį vykdymą.

Išsiskyrimas

„GandCrab“ naudoja įvairius vengimo būdus, kad saugos programinė įranga neaptiktų ir tyrėjų atliekama analizė. Ji gali nutraukti konkrečius procesus, susijusius su antivirusine ir saugos programine įranga, veikiančia aukos sistemoje.

Ryšys su komandų ir valdymo (C2) serveriais

„GandCrab“ bendrauja su nuotoliniais serveriais, kuriuos valdo užpuolikai. Šis ryšys naudojamas informacijai apie užkrėstą sistemą siųsti ir tam tikrais atvejais gauti tolesnius nurodymus.

Failų šifravimas

GandCrab identifikuoja ir užšifruoja daugybę aukos sistemoje esančių failų, naudodamas stiprų šifravimo algoritmą, pvz., RSA ir Salsa20, kad užšifruotų aukos sistemoje esančius failus. Prie užšifruotų failų prideda konkretų failo plėtinį (pvz., GDCB), nurodant, kad jie dabar nepasiekiami.

Išpirkos raštelio lašas

Užbaigęs šifravimo procesą, „GandCrab“ kiekviename paveiktame aplanke įmeta išpirkos raštelį. Pastaboje paprastai pateikiamos instrukcijos, kaip sumokėti išpirką, kad gautumėte iššifravimo raktą. Išpirkos rašte taip pat gali būti pateikta tokia informacija kaip išpirkos suma, mokėjimo terminas ir mokėjimo kriptovaliutos piniginės adresas. Aukoms nurodoma sumokėti išpirką kriptovaliuta (dažniausiai Bitcoin). iššifravimo raktą arba padidinti išpirkos sumą, jei aukos vėluoja sumokėti.

Kaip susidoroti su GandCrab išpirkos reikalaujančios programos ataka

Pirmasis žingsnis norint atsigauti po GandCrab atakos yra izoliuoti užkrėstą kompiuterį, atjungiant jį nuo interneto ir pašalinant visus prijungtus įrenginius. Tada turite susisiekti su vietos valdžios institucijomis. JAV gyventojų ir įmonių atveju tai yraFTBirInterneto nusikaltimų skundų centras (IC3).Norėdami pranešti apie išpirkos reikalaujančios programos ataką, turite surinkti visą informaciją apie ją, įskaitant:

  • Išpirkos užrašo ekrano nuotraukos
  • Bendravimas su grėsmės veikėjais (jei tokių turite)
  • Šifruoto failo pavyzdys

Tačiau, jei noritesusisiekti su specialistais, tada nieko nedaryk.Palikite kiekvieną užkrėstą įrenginį tokį, koks jis yrair paprašyti anavarinio išpirkos reikalaujančių programų pašalinimo paslauga. Sistemos paleidimas iš naujo arba išjungimas gali pakenkti atkūrimo paslaugai. Užfiksavus veikiančios sistemos RAM gali padėti gauti šifravimo raktą, o sugauti dropper failą, t. y. failą, vykdantį kenkėjišką naudingą apkrovą (programinės įrangos kodą arba programas, kurios atlieka neleistinus veiksmus tikslinėje sistemoje), gali būti suprojektuotos atvirkštinės inžinerijos ir paskatinti duomenų iššifravimą arba supratimą, kaip jis veikia.neištrinti išpirkos reikalaujančios programosir saugokite visus išpuolio įrodymus. Tai svarbu dėlskaitmeninė kriminalistikakad ekspertai galėtų atsekti įsilaužėlių grupę ir juos identifikuoti. Institucijos gali naudoti užkrėstos sistemos duomenisištirti užpuolimą ir surasti atsakingąjį.Kibernetinės atakos tyrimas nesiskiria nuo bet kurio kito kriminalinio tyrimo: norint surasti užpuolikus, reikia įrodymų.

1. Susisiekite su savo Reagavimo į incidentus teikėją

Reagavimas į kibernetinį incidentą – tai reagavimo į kibernetinio saugumo incidentą ir jo valdymo procesas. Reagavimo į incidentus saugotojas yra paslaugų sutartis su kibernetinio saugumo tiekėju, leidžianti organizacijoms gauti išorinę pagalbą kibernetinio saugumo incidentams. Ji suteikia organizacijoms struktūrizuotą patirtį ir palaikymą per saugumo partnerį, leidžiantį joms greitai ir efektyviai reaguoti kibernetinio incidento metu. Reagavimo į incidentą laikiklis suteikia organizacijoms ramybę ir siūlo ekspertų pagalbą prieš ir po kibernetinio saugumo incidento. Specifinis reagavimo į incidentą laikytojo pobūdis ir struktūra skirsis priklausomai nuo teikėjo ir organizacijos reikalavimų. Geras reagavimo į incidentus laikiklis turėtų būti tvirtas, bet lankstus ir teikti patikrintas paslaugas, kurios pagerintų organizacijos ilgalaikę apsaugą.Jei susisieksite su savo IR paslaugų teikėju, jis gali nedelsdamas perimti ir padėti atlikti kiekvieną išpirkos reikalaujančių programų atkūrimo veiksmą.Tačiau jei nuspręsite patys pašalinti išpirkos reikalaujančią programinę įrangą ir atkurti failus kartu su IT komanda, galite atlikti kitus veiksmus.

2. Nustatykite išpirkos reikalaujančią programinę įrangą

Nustatyti, kuri išpirkos reikalaujanti programinė įranga užkrėtė jūsų kompiuterį, gali būti atlikta patikrinus failo plėtinį (kai kurios išpirkos reikalaujančios programos naudoja failo plėtinį kaip savo pavadinimą),naudojant ransomware ID įrankį, arba tai bus ant išpirkos raštelio. Turėdami šią informaciją galite ieškoti viešojo iššifravimo rakto. Taip pat galite patikrinti išpirkos reikalaujančios programos tipą pagal jo IOC.

3. Pašalinkite išpirkos reikalaujančią programinę įrangą ir pašalinkite išnaudojimo rinkinius

Prieš atkurdami duomenis, turite užtikrinti, kad jūsų įrenginyje nėra išpirkos reikalaujančių programų ir kad užpuolikai negalės surengti naujos atakos naudodami išnaudojimo rinkinius ar kitus pažeidžiamumus. Išpirkos reikalaujančių programų pašalinimo paslauga gali ištrinti išpirkos reikalaujančią programinę įrangą, sukurti teismo ekspertizės dokumentą tyrimui, pašalinti pažeidžiamumą ir atkurti jūsų duomenis.

4. Norėdami atkurti duomenis, naudokite atsarginę kopiją

Atsarginių duomenų atkūrimo svarbos negalima pervertinti, ypač atsižvelgiant į įvairias galimas rizikas ir grėsmes duomenų vientisumui. Atsarginės kopijos yra esminė išsamios duomenų apsaugos strategijos sudedamoji dalis. Jie suteikia galimybę atsigauti nuo įvairių grėsmių, užtikrinti veiklos tęstinumą ir išsaugoti vertingą informaciją. Išpirkos reikalaujančių programų atakų akivaizdoje, kai kenkėjiška programinė įranga užšifruoja jūsų duomenis ir reikalauja sumokėti už jų išleidimą, atsarginė kopija leidžia atkurti informaciją nepasiduodant užpuoliko reikalavimams. Reguliariai išbandykite ir atnaujinkite atsarginių kopijų kūrimo procedūras, kad padidintumėte jų veiksmingumą apsaugant nuo galimo duomenų praradimo scenarijų. Yra keletas būdų, kaip sukurti atsarginę kopiją, todėl turite pasirinkti tinkamą atsarginės kopijos laikmeną ir turėti bent vieną duomenų kopiją, saugomą ne svetainėje ir neprisijungus.

5. Susisiekite su išpirkos reikalaujančių programų atkūrimo tarnyba

Jei neturite atsarginės kopijos arba jums reikia pagalbos pašalinant išpirkos reikalaujančią programinę įrangą ir pažeidžiamumą, susisiekite su duomenų atkūrimo tarnyba. Išpirkos sumokėjimas negarantuoja, kad jūsų duomenys bus jums grąžinti. Vienintelis garantuotas būdas atkurti kiekvieną failą yra atsarginė kopija. Jei to nepadarysite, išpirkos reikalaujančių programų duomenų atkūrimo paslaugos gali padėti iššifruoti ir atkurti failus. „SalvageData“ ekspertai gali saugiai atkurti failus ir neleisti „GandCrab“ išpirkos reikalaujančios programinės įrangos vėl užpulti jūsų tinklo, susisiekite su mūsų atkūrimo ekspertais 24 valandas per parą, 7 dienas per savaitę.

Užkirsti kelią GandCrab ransomware atakai

Išpirkos reikalaujančių programų prevencija yra geriausias duomenų saugumo sprendimas. yra lengviau ir pigiau nei atsigauti nuo jų. GandCrab ransomware gali kainuoti jūsų verslo ateitį ir netgi uždaryti duris. Tai yra keli patarimai, kaip užtikrinti, kadišvengti ransomware atakų:

  • Nuolat atnaujinkite programinę įrangą, kad išvengtumėte pažeidžiamumų, kuriuos gali išnaudoti išpirkos reikalaujančios programos.
  • Naudokite stiprius slaptažodžius ir dviejų veiksnių autentifikavimą, kad išvengtumėte neteisėtos prieigos prie sistemų.
  • Reguliariai kurkite atsargines svarbių failų kopijas ir saugokite juos saugioje vietoje.
  • Būkite atsargūs atidarydami el. pašto priedus arba spustelėdami nuorodas iš nežinomų šaltinių.
  • Naudokite patikimą antivirusinę programinę įrangą ir nuolat ją atnaujinkite.

Related Posts

[Fiksuota] Žiniasklaidos kūrimo įrankis neveikia „Windows 10“

[Fiksuota] Žiniasklaidos kūrimo įrankis neveikia „Windows 10“

2025-04-30
Buvusi mergina stebi naują merginą

Buvusi mergina stebi naują merginą

2023-05-17
Kaip ištaisyti „Windows 11“ sistemos laiką šokinėjant atgal arba pirmyn

Kaip ištaisyti „Windows 11“ sistemos laiką šokinėjant atgal arba pirmyn

2025-03-31
Jūsų telefonas nėra užregistruotas tinkle: ką jis reiškia ir kaip jį ištaisyti

Jūsų telefonas nėra užregistruotas tinkle: ką jis reiškia ir kaip jį ištaisyti

2025-09-19
Kaip paimti ekrano kopijas nešiojamame kompiuteryje „Windows 11/10/7“ 2025 m.

Kaip paimti ekrano kopijas nešiojamame kompiuteryje „Windows 11/10/7“ 2025 m.

2023-06-28
„Apple“ gali atsisakyti „Qualcomm“ iš „iPhone 18 Pro“

„Apple“ gali atsisakyti „Qualcomm“ iš „iPhone 18 Pro“

2025-11-03
100% nemokamų mobiliųjų VPN, skirtų „Android“ („Fast & Safe“)

100% nemokamų mobiliųjų VPN, skirtų „Android“ („Fast & Safe“)

2025-08-20
„Arc Raiders“: visos 63 užduotys

„Arc Raiders“: visos 63 užduotys

2025-11-10
Kaip konfigūruoti ir naudoti UniFi VPN serverį

Kaip konfigūruoti ir naudoti UniFi VPN serverį

2024-09-06
Kaip laukti komandos „PowerShell“.

Kaip laukti komandos „PowerShell“.

2024-10-04
Įdiegus naują GPU, Windows kompiuteris vis paleidžiamas iš naujo

Įdiegus naują GPU, Windows kompiuteris vis paleidžiamas iš naujo

2024-09-20
Kaip išjungti jutiklinį ekraną „Windows 11“ arba 10 nešiojamųjų kompiuterių

Kaip išjungti jutiklinį ekraną „Windows 11“ arba 10 nešiojamųjų kompiuterių

2025-08-29
Kaip pasukti ekraną „iPhone“/„iPad“ ir užrakinti ekrano pasukimą

Kaip pasukti ekraną „iPhone“/„iPad“ ir užrakinti ekrano pasukimą

2025-05-07
Pagalbos tarnybos straipsniai

Pagalbos tarnybos straipsniai

2024-12-22
Kaip perkelti duomenis iš Motorola į kompiuterį? 5 patikrinti metodai

Kaip perkelti duomenis iš Motorola į kompiuterį? 5 patikrinti metodai

2024-10-21