Home Програма-вимагач GandCrab: повний посібник

Програма-вимагач GandCrab: повний посібник

GandCrab — це варіант програми-вимагача, який вперше був помічений у сфері кібербезпеки на початку 2018 року. Атаки програм-вимагачів передбачають шифрування файлів у системі жертви, змушуючи її платити викуп за ключ дешифрування. Це програмне забезпечення-вимагач відоме своїм широким націлюванням на типи файлів, що фактично робить різноманітні файли недоступними для жертви. GandCrab був причетний до різноманітних резонансних атак, що вражали окремих осіб, компанії та навіть державні організації. Будучи динамічною загрозою, що постійно розвивається, GandCrab зазнав багатьох версій і оновлень з часу своєї появи. Ці оновлення вводять нові функції та методи ухилення, демонструючи адаптивність розробників до заходів безпеки. Ця постійна еволюція створює виклик для зусиль у галузі кібербезпеки, спрямованих на ефективну боротьбу з програмами-вимагачами.

Експерти SalvageData рекомендують профілактичні заходи безпеки даних, такі як регулярне резервне копіювання, ефективні методи кібербезпеки та оновлення програмного забезпечення для захисту від атак програм-вимагачів. і,у разі атаки програм-вимагачів негайно зв’яжіться з нашими експертами з відновлення програм-вимагачів.

GandCrab розвинувся в кілька версій, включаючи GandCrab V2.0, GandCrab 3, GandCrab V5.0, GandCrab 5.0.2, GandCrab V5.0.3, GandCrab 5.0.4, GandCrab 5.0.5, GandCrab 5.0.7, GandCrab 5.0.8, GandCrab 5.0.9, GandCrab 5.1.0, GandCrab 5.1.4, GandCrab 5.1.5 і GandCrab V5.1.6. Незважаючи на різноманітність версій, їх принципова поведінка залишається незмінною. Основні відмінності включають розширення файлу, додане до зашифрованих файлів, вміст повідомлень про викуп, дизайн веб-сайтів, суму викупу та використовуваний гаманець криптовалюти. Ці тонкі відмінності допомагають ідентифікувати та відрізняти кожну ітерацію в сімействі програм-вимагачів GandCrab.Підтверджене ім'я

  • Вірус GandCrab

Тип загрози

  • програми-вимагачі
  • Криптовірус
  • Шафка для файлів
  • Подвійне вимагання

Чи є безкоштовний дешифратор?Єінструменти дешифрування для деяких варіантів програм-вимагачів GandCrab(V1, V4, V5). Ви можете визначити ці варіанти за розширенням файлу:

  • .GDCB
  • .GDCB
  • .КРАБ
  • .КРАБ
  • .UKCZA
  • .YIAQDG
  • .CQXGPMKNR
  • .HHFEHIOL

Методи розповсюдження

  • Фішингові листи
  • Використання вразливостей
  • Ненадійні паролі або паролі за замовчуванням у протоколі віддаленого робочого столу (RDP)

Наслідки

  • Файли зашифровані та заблоковані до виплати викупу
  • Витік даних
  • Подвійне вимагання

Що таке програми-вимагачі GandCrab IOC

Індикатори компрометації (IOC) — це цифрові підказки, які фахівці з кібербезпеки використовують для виявлення компрометації системи та зловмисної діяльності в мережі чи ІТ-середовищі. Коли IOC виявляється, групи безпеки оцінюють можливі загрози або підтверджують його автентичність. IOC також надають докази того, до чого мав доступ зловмисник, якщо вони проникли в мережу. Це, по суті, цифрові версії доказів, залишених на місці злочину, і потенційні IOC включають незвичайний мережевий трафік, привілейований вхід користувачів з інших країн, дивні запити DNS, зміни системних файлів тощо.Специфічні IOC для GandCrab включають: шляхи та імена файлів

  • %Application Data%Microsoft{6 випадкових символів}.exe

Запис у реєстрі:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
  • {11 випадкових символів} = %Application Data%Microsoft{6 випадкових символів}.exe

URL-адреси/IP-адреси підключено

  • Ipv4bot.whatismyipaddress.com
  • {IP-адреса домену}/curl.php?token=1019
  • {ЗАБЛОКУВАНО}ransom.bit, {ЗАБЛОКУВАНО}ngcomputer.bit, {ЗАБЛОКУВАНО}ft.bit, {ЗАБЛОКУВАНО}d32.bit, {ЗАБЛОКУВАНО}ab.bit

Примітка про викуп

  • Записка про викуп видалена як {Зашифрована папка}GDCB-DECRYPT.txt

Розширення файлу, зашифрованого програмою-вимагачем GandCrab:

Група GandCrab має багато версій свого зловмисного програмного забезпечення, і кожна версія має власне розширення та систему для перейменування зашифрованих файлів.Версія 1:

  • Розширення файлу: .GDCB
  • Починається з: —= GANDCRAB =—
  • Розширення: .GDCB

Версія 2:

  • Розширення файлу: .GDCB
  • Починається з: —= GANDCRAB =—
  • Розширення: .GDCB

Версія 3:

  • Розширення файлу: .CRAB
  • Починається з: —= GANDCRAB V3 =—
  • Розширення: .CRAB

Версія 4:

  • Розширення файлу: .KRAB
  • Починається з: —= GANDCRAB V4 =—
  • Розширення: .KRAB

Версія 5:

  • Розширення файлу: .([A-Z]+)
  • Починається з: —= GANDCRAB V5.0 =—
  • Розширення: .UKCZA

Версія 5.0.1:

  • Розширення файлу: .([A-Z]+)
  • Починається з: —= GANDCRAB V5.0.1 =—
  • Розширення: .YIAQDG

Версія 5.0.2:

  • Розширення файлу: .([A-Z]+)
  • Починається з: —= GANDCRAB V5.0.2 =—
  • Розширення: .CQXGPMKNR

Версія 5.0.3:

  • Розширення файлу: .([A-Z]+)
  • Починається з: —= GANDCRAB V5.0.3 =—
  • Розширення: .HHFEHIOL

Версія 5.0.4:

  • Розширення файлу: .([A-Z]+)
  • Починається з: —= GANDCRAB V5.0.4 =—
  • Розширення: .BYACZCZI

Версія 5.0.5:

  • Розширення файлу: .([A-Z]+)
  • Починається з: —= GANDCRAB V5.0.5 =—
  • Розширення: .KZZXVWMLI

Версія 5.1:

  • Розширення файлу: .([A-Z]+)
  • Починається з: —= GANDCRAB V5.1 =—
  • Розширення: .IJDHRQJD

Записка про викуп GandCrab

Зверніть увагу, що фактичний вміст повідомлення про викуп може відрізнятися в різних версіях GandCrab, і зловмисники можуть налаштувати повідомлення. Викинута записка зазвичай містить інструкції для жертви про те, як сплатити викуп і отримати ключ розшифровки. Нижче наведено приклад того, як може виглядати записка про викуп GandCrab:

Якщо ви розумієте, що стали жертвою програм-вимагачів, зв’яжіться з експертами SalvageData з видалення програм-вимагачів, які нададуть вам безпечну послугу відновлення даних і видалення програм-вимагачів після атаки.

Як працює програма-вимагач GandCrab

Програма-вимагач GandCrab виконує ряд кроків, використовуючи різні методи проникнення, шифрування файлів і вимагання викупу. Ось огляд того, як зазвичай працює GandCrab:

Зараження та пологи

GandCrab часто доставляється через зловмисні вкладення електронної пошти, набори експлойтів на скомпрометованих веб-сайтах або як корисне навантаження, скинуте іншим зловмисним програмним забезпеченням. Корисне навантаження відноситься до шкідливого компонента або коду в кібератаці, який зазвичай призначений для виконання шкідливих дій у цільовій системі. Корисне навантаження програм-вимагачів GandCrab складається зі шкідливого виконуваного файлу, який часто доставляється через вкладення електронної пошти або використаних уразливостей. Після зараження системи GandCrab може створити свої копії в певних місцях на комп’ютері жертви.

Більше читання:LockBit Green Ransomware: повний посібник

Автозапуск і наполегливість

Щоб переконатися, що він запускається під час кожного запуску системи, GandCrab змінює реєстр Windows, додаючи записи, які дозволяють автоматичне виконання.

Ухилення

GandCrab використовує різні методи ухилення, щоб уникнути виявлення програмним забезпеченням безпеки та аналізу дослідниками. Він може припинити певні процеси, пов’язані з антивірусним програмним забезпеченням і програмним забезпеченням безпеки, запущеним у системі жертви.

Зв'язок із серверами командування та управління (C2).

GandCrab спілкується з віддаленими серверами, контрольованими зловмисниками. Цей зв’язок використовується для надсилання інформації про заражену систему та, у деяких випадках, для отримання подальших інструкцій.

Шифрування файлів

GandCrab ідентифікує та шифрує широкий спектр файлів у системі жертви, використовуючи надійний алгоритм шифрування, такий як RSA та Salsa20, для шифрування файлів у системі жертви. Він додає певне розширення файлу (наприклад, GDCB) до зашифрованих файлів, вказуючи, що вони зараз недоступні.

Падіння записки про викуп

Після завершення процесу шифрування GandCrab скидає записку про викуп у кожну заражену папку. Записка зазвичай містить інструкції про те, як сплатити викуп, щоб отримати ключ розшифровки. Записка про викуп може також містити такі деталі, як сума викупу, кінцевий термін платежу та адреса криптовалютного гаманця для платежу. Жертвам пропонують заплатити викуп у криптовалюті (зазвичай біткойнах), щоб отримати ключ розшифровки. Розробники GandCrab часто погрожують назавжди видалити ключ розшифровки або збільшити суму викупу, якщо потерпілі затримують виплату.

Як протистояти атаці програм-вимагачів GandCrab

Першим кроком до відновлення після атаки GandCrab є ізоляція зараженого комп’ютера, від’єднання від Інтернету та видалення всіх підключених пристроїв. Потім необхідно звернутися до місцевої влади. У випадку з резидентами та підприємствами США цеФБРіЦентр скарг на злочини в Інтернеті (IC3).Щоб повідомити про атаку програм-вимагачів, ви повинні зібрати всю можливу інформацію про неї, зокрема:

  • Скріншоти записки про викуп
  • Зв'язок із загрозливими суб'єктами (якщо вони у вас є)
  • Зразок зашифрованого файлу

Однак, якщо ви віддаєте перевагузверніться до професіоналів, тоді нічого не робити.Залиште кожну інфіковану машину такою, як вона єі попроситислужба екстреного видалення програм-вимагачів. Перезапуск або завершення роботи системи може порушити роботу служби відновлення. Захоплення оперативної пам’яті живої системи може допомогти отримати ключ шифрування, а перехоплення файлу-дропера, тобто файлу, який виконує зловмисне корисне навантаження (програмний код або програми, які виконують неавторизовані дії в цільовій системі), може бути оброблено назад і призвести до дешифрування даних або розуміння того, як він працює. Ви повинніне видаляти програму-вимагач, і зберігати всі докази нападу. Це важливо дляцифрова криміналістикащоб експерти могли відстежити хакерську групу та ідентифікувати їх. Органи влади можуть використовувати дані вашої зараженої системирозслідувати напад і знайти відповідальних.Розслідування кібератак не відрізняється від будь-якого іншого кримінального розслідування: воно потребує доказів, щоб знайти зловмисників.

1. Зверніться до свого постачальника служби реагування на інциденти

Реагування на кіберінциденти – це процес реагування на інциденти кібербезпеки та управління ними. Incident Response Retainer — це угода про надання послуг із постачальником кібербезпеки, яка дозволяє організаціям отримувати зовнішню допомогу щодо інцидентів кібербезпеки. Він надає організаціям структурований досвід і підтримку через партнера з безпеки, що дозволяє їм швидко й ефективно реагувати під час кіберінциденту. Фіксатор реагування на інцидент забезпечує спокій для організацій, пропонуючи експертну підтримку до та після інциденту кібербезпеки. Специфічний характер і структура служби реагування на інциденти залежатимуть від постачальника та вимог організації. Хороший механізм реагування на інциденти має бути надійним, але гнучким, надавати перевірені послуги для підвищення довгострокової безпеки організації.Якщо ви зв’яжетеся зі своїм постачальником ІЧ-послуг, він негайно візьме на себе роботу та проведе вас на кожному етапі відновлення програми-вимагача.Однак якщо ви вирішите самостійно видалити програму-вимагач і відновити файли разом зі своєю командою ІТ, ви можете виконати наступні кроки.

2. Визначте зараження програмою-вимагачем

Визначити програму-вимагач, яка заразила ваш комп’ютер, можна за допомогою перевірки розширення файлу (деякі програми-вимагачі використовують розширення файлу як назву),використання інструменту ідентифікації програм-вимагачів, або це буде на записці про викуп. Маючи цю інформацію, ви можете шукати відкритий ключ дешифрування. Ви також можете перевірити тип програми-вимагача за її IOC.

3. Видаліть програми-вимагачі та ліквідуйте набори експлойтів

Перш ніж відновлювати свої дані, ви повинні переконатися, що ваш пристрій вільний від програм-вимагачів і що зловмисники не зможуть здійснити нову атаку за допомогою наборів експлойтів або інших уразливостей. Служба видалення програм-вимагачів може видалити програми-вимагачі, створити документ криміналістики для дослідження, усунути вразливості та відновити ваші дані.

4. Використовуйте резервну копію для відновлення даних

Важливість резервного копіювання для відновлення даних важко переоцінити, особливо в контексті різних потенційних ризиків і загроз для цілісності даних. Резервне копіювання є критично важливим компонентом комплексної стратегії захисту даних. Вони забезпечують засоби для відновлення після різноманітних загроз, забезпечуючи безперервність операцій і збереження цінної інформації. Перед лицем атак програм-вимагачів, коли зловмисне програмне забезпечення шифрує ваші дані та вимагає плату за їх оприлюднення, наявність резервної копії дає змогу відновити вашу інформацію, не піддаючись вимогам зловмисника. Обов’язково регулярно перевіряйте й оновлюйте процедури резервного копіювання, щоб підвищити їхню ефективність у захисті від можливих сценаріїв втрати даних. Існує кілька способів створення резервної копії, тому ви повинні вибрати правильний носій резервної копії та мати принаймні одну копію ваших даних, збережену за межами сайту та в автономному режимі.

5. Зверніться до служби відновлення програм-вимагачів

Якщо у вас немає резервної копії або вам потрібна допомога з видаленням програми-вимагача та усуненням уразливостей, зверніться до служби відновлення даних. Сплата викупу не гарантує повернення ваших даних. Єдиний гарантований спосіб відновлення кожного файлу – це наявність резервної копії. Якщо ви цього не зробите, служби відновлення даних програм-вимагачів можуть допомогти вам розшифрувати та відновити файли. Експерти SalvageData можуть безпечно відновити ваші файли та запобігти повторним атакам програм-вимагачів GandCrab на вашу мережу. Зв’яжіться з нашими експертами з відновлення цілодобово.

Запобігайте атаці програм-вимагачів GandCrab

Запобігання програмам-вимагачам є найкращим рішенням для безпеки даних. легше і дешевше, ніж відновлюватися після них. Програмне забезпечення-вимагач GandCrab може коштувати майбутнього вашому бізнесу та навіть закрити його двері. Ось кілька порад, які допоможуть вамуникнути атак програм-вимагачів:

  • Підтримуйте програмне забезпечення в актуальному стані, щоб запобігти вразливостям, якими можуть скористатися програми-вимагачі.
  • Використовуйте надійні паролі та двофакторну автентифікацію, щоб запобігти несанкціонованому доступу до систем.
  • Регулярно створюйте резервні копії важливих файлів і зберігайте їх у безпечному місці.
  • Будьте обережні, відкриваючи вкладення електронної пошти або натискаючи посилання з невідомих джерел.
  • Використовуйте перевірене антивірусне програмне забезпечення та оновлюйте його.

Related Posts

Як вимкнути та перезапустити Samsung Galaxy A56 & A36

Як вимкнути та перезапустити Samsung Galaxy A56 & A36

2025-07-11
Як виправити Resident Evil 4 Remake Crashing на ПК при запуску/запуску

Як виправити Resident Evil 4 Remake Crashing на ПК при запуску/запуску

2023-03-26
Як виправити помилку магазину Microsoft 0x80073cf9 у Windows 10 та 11

Як виправити помилку магазину Microsoft 0x80073cf9 у Windows 10 та 11

2025-05-04
Як виправити мережеві проблеми в Windows 11 за допомогою вбудованих усунення несправностей

Як виправити мережеві проблеми в Windows 11 за допомогою вбудованих усунення несправностей

2025-04-23
Вичерпний посібник з очищення кешу DNS [однієї статті достатньо]

Вичерпний посібник з очищення кешу DNS [однієї статті достатньо]

2025-04-30
Як повернутись на відсутність перегляду фотографій Windows у Windows 10

Як повернутись на відсутність перегляду фотографій Windows у Windows 10

2025-04-30
Як відновити видалений користувач Microsoft 365

Як відновити видалений користувач Microsoft 365

2024-06-27
Екран паузи на Chromecast при перехідному телевізорі

Екран паузи на Chromecast при перехідному телевізорі

2025-04-25
Перевірка мертвих пікселів і монітора

Перевірка мертвих пікселів і монітора

2025-03-01
Різні способи перевірити версію Centos та версію ядра Linux, яку ви використовуєте

Різні способи перевірити версію Centos та версію ядра Linux, яку ви використовуєте

2019-11-10
Нова мандрівка з повним екраном Windows у Windows 10

Нова мандрівка з повним екраном Windows у Windows 10

2024-05-26
Порада: Увімкніть або вимкніть автофільт кредитної картки в Mozilla Firefox

Порада: Увімкніть або вимкніть автофільт кредитної картки в Mozilla Firefox

2025-02-16
Поглиблені практичні посібники, поради та підказки для Windows 11/10!

Поглиблені практичні посібники, поради та підказки для Windows 11/10!

2024-11-30
Як працює Tinder Location? Алгоритм і 5 способів підробити місцезнаходження

Як працює Tinder Location? Алгоритм і 5 способів підробити місцезнаходження

2024-10-29
Топ

Топ

2025-09-17