GANDCRAB v5.0.6是惡毒的GandCrab加密病毒的最新版本。該病毒將對您的文件進行加密,其背後的犯罪分子將試圖向您勒索錢,據稱將文件恢復正常,並在GandCrab被***之前將您的計算機恢復到原來的運行狀態。文件加密後,將收到[5-10隨機字母]文件擴展名。贖金票據的名稱是以大寫字母使用此擴展名並隨後添加[5-10隨機字母]-DECRYPT.txt或[5-10隨機字母]-DECRYPT.html而形成的。GandCrab加密病毒的不同版本可能存在贖金筆記的輕微變化。
名稱 | GANDCRAB v5.0.6 |
類型 | 勒索軟件,Cryptovirus |
簡短的介紹 | 該GandCrab勒索您的計算機系統上的文件進行加密,並要求贖金支付據稱恢復它們。 |
症狀 | 勒索軟件將使用[5-10隨機字母]文件擴展名加密您的文件,並留下帶有付款說明的贖金票據。 |
分配方法 | 垃圾郵件,電子郵件附件 |
GANDCRAB v5.0.6勒索病毒 - 分發策略
GANDCRAB V5.0.6勒索病毒可能通過不同的戰術本身散發。啓動此勒索軟件惡意腳本的有效負載管理器正在互聯網上傳播,研究人員已經開始研究惡意軟件樣本。如果該文件落在您的計算機系統上而您以某種方式執行它 - 您的計算機設備將被感染。
下面,您可以看到VirusTotal服務檢測到的加密病毒的有效負載文件:
GANDCRAB v5.0.6病毒 - 技術信息
GANDCRAB v5.0.6是一種勒索病毒,它會對您的文件進行加密,並在其中留下有關受損計算機設備的贖金說明。敲詐勒索者希望您支付索賠恢復文件的贖金費用。據說以前的GANDCRAB 5.0版本都使用了CVE-2018-0896漏洞。這也可以用這個新版本來利用。除上述提及之外,不排除使用其他漏洞和漏洞利用策略。
GANDCRAB v5.0.6勒索軟件在Windows註冊表中創建了各種條目以實現持久性,並可以在Windows環境中啓動或抑制進程。此類條目通常設計爲在每次啓動Windows操作系統時自動啓動病毒。您將在下面看到包含被篡改的註冊表的列表:
加密後,GANDCRAB v5.0.6病毒將保存勒索贖金。贖金票據的名稱是通過以大寫字母使用此擴展並添加[5-10隨機字母]-DECRYPT.txt或[5-10隨機字母]-DECRYPT.html形成的。贖金票據顯示如下:
上面顯示的消息由GANDCRAB v5.0.6勒索病毒病毒顯示,表明您的文件已加密。您被要求支付比特幣或DASH加密貨幣的贖金,以據稱恢復您的文件。然而,你應該不是在任何情況下支付任何贖金金額。您的文件可能無法恢復,沒有人可以爲您提供保證。甚至可能導致您在付款後再次對文件進行加密。
GANDCRAB v5.0.6勒索病毒 - 加密過程
GANDCRAB v5.0.6勒索病毒的加密過程相當簡單 - 每個加密的文件都將變得無法使用。文件將獲得由八個隨機字母組成的擴展名。新添加的擴展名將作爲輔助擴展名添加,而不會更改原始擴展名。
具有針對要加密的文件的目標擴展名的列表被認爲與原始5.0版本相同,如下所示:
→.1st,.602,.7z,.7-zip,.abw,.act,.adoc,.aim,.ans,。apkg,.apt,.arj,.asc,.asc,.ascii,.ase ,.aty,.awp,.awt,.aww,.cab,.doc,.docb,.docx,.dotm,.gzip,.iso,.lzh,.lzma,.pot,。potm,。potx ,. ppam,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.rar,.sldm,.sldx,.tar,.vbo,.vdi,.vmdk,.vmem,.vmx,.xla, .xlam,.xll,.xlm,.xls,.xlsb,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xps,.z,.zip
用戶最常使用且可能加密的文件來自以下類別:
· 音頻文件
· 視頻文件
· 文檔文件
· 圖像文件
· 備份文件
· 銀行憑證等
可以將GANDCRAB v5.0.6加密病毒設置爲藉助以下命令從Windows操作系統中清除所有Shadow Volume Copies:
→vssadmin.exe delete shadows /all /Quiet
在執行上述命令的情況下,這將使加密過程的效果更有效。這是因爲該命令消除了恢復數據的一種重要方法。如果計算機設備感染了此勒索軟件並且您的文件已被鎖定,請繼續閱讀以瞭解如何將某些文件恢復到正常狀態。
要刪除GANDCRAB v5.0.6勒索病毒並恢復文件,請執行以下步驟:
1.以安全模式啓動PC以隔離和刪除GANDCRAB v5.0.6文件和對象
手動刪除通常需要時間,如果不小心或者非專業人士,您可能會損壞您的文件!
對於Windows XP,Vista和7系統:
1.刪除所有CD和DVD,然後從“ 開始 ”菜單重新啓動PC 。
2.選擇以下兩個選項之一:
- 對於具有單個操作系統的PC:在計算機重新啓動期間出現第一個引導屏幕後,反覆按“ F8 ”。如果Windows徽標出現在屏幕上,則必須再次重複相同的任務。
- 對於具有多個操作系統的PC:箭頭鍵可幫助您選擇您希望以安全模式啓動的操作系統。按照單個操作系統所述,按“ F8 ”。
3.出現“ 高級啓動選項 ”屏幕時,使用箭頭鍵選擇所需的安全模式選項。使用管理員帳戶登錄計算機,當您的計算機處於安全模式時,屏幕的所有四個角都會出現“ 安全模式 ” 字樣。
4.修復PC上惡意軟件和PUP創建的註冊表項。某些惡意腳本可能會修改計算機上的註冊表項以更改不同的設置。這就是建議清理Windows註冊表數據庫的原因。由於有關如何執行此操作的教程有點長,如果操作不當,篡改註冊表可能會損壞您的計算機,如果您在該領域缺乏經驗,可以參照鏈接 修復由惡意病毒軟件引起的Windows註冊表錯誤
2.在PC上查找由GANDCRAB v5.0.6創建的文件
在較舊的Windows操作系統中,傳統方法應該是有效的方法:
1.單擊“ 開始菜單”圖標(通常在左下角),然後選擇“ 搜索”首選項。
2.出現搜索窗口後,從搜索助手框中選擇更多高級選項。另一種方法是單擊“ 所有文件和文件夾”。
3.之後,鍵入要查找的文件的名稱,然後單擊“搜索”按鈕。這可能需要一些時間才能顯示結果。如果您找到了惡意文件,可以通過右鍵單擊來複製或打開其位置。現在,您應該能夠在Windows上發現任何文件,只要它在您的硬盤驅動器上並且不通過特殊軟件隱藏。
3.使用高級防惡意殺毒軟件工具掃描惡意軟件和惡意程序
4.嘗試還原由GANDCRAB v5.0.6加密的文件
勒索軟件感染和GANDCRAB v5.0.6旨在使用加密算法加密您的文件,這可能很難解密。這就是爲什麼我們建議了幾種可以幫助您繞過直接解密並嘗試恢復文件的替代方法。請記住,這些方法可能不是100%有效,但也可能在不同情況下幫助您一點或多少。
方法1:使用數據恢復軟件掃描驅動器的扇區。
方法2:嘗試殺毒軟件的解密器。
方法3:在密碼病毒通過網絡通過嗅探工具發送解密密鑰時查找解密密鑰。
關注服務號,交流更多解密文件方案和恢復方案:
