GandCrab v5.1 Ransomware Entschlüsselungs- und Entfernungsverfahren – MySpyBot wie man Bitcoins kauft

GandCrab 5.1 ist sowohl eine außergewöhnliche als auch eine außergewöhnliche Ransomware-Technik. Wie herkömmliche kryptografische Viren verbreitet es sich hinter dem Rücken eines Opfers, verschlüsselt alle wertvollen Daten auf dem infizierten Host und fordert dann eine bestimmte Menge an Kryptowährung zur Entschlüsselung. Dies ist eine übliche Praxis, die Cyberkriminelle seit vielen Jahren ernährt. Was diese Krankheit jedoch in ihrem Genre einzigartig macht, ist die Tatsache, dass sie eine Familie darstellt, die von hochrangigen Angreifern betrieben wird, die über hervorragende Kompetenz in der Verbreitung von Malware, Kryptographie und Selbst-Anonymisierung verfügen. Gandcrab wurde Anfang 2018 auf den Markt gebracht. Inzwischen wurde Gandcrab von Befehls- und Steuerungs-Servern beschlagnahmt. Vor kurzem wurde ein Bitcoin-etf-Ticker-Symbol-Decoder von einem renommierten Anti-Malware-Labor eingeführt.


Es ist jedoch immer noch flott und produziert weiterhin Splits.

GandCrab 5.1 kann durch eine Reihe von Unterscheidungsmarken identifiziert werden. Wie sein Vorgänger gandcrab v5.0.4 fügt es jedem verschlüsselten Element eine zufällige Erscheinungsbilderweiterung hinzu, ohne den Namen der Datei selbst zu ändern. Die Länge dieses Suffixes ist unterschiedlich, es handelt sich jedoch hauptsächlich um eine Zeichenfolge von 6 bis 10 Zeichen. Daher wird ein Austausch von Testbitcoins für Kalkulationstabellen in nigeria.Xlsx in test.Xlsx.Hbenfmdmca oder ähnliches umbenannt. Außerdem hinterlässt die Infektion eine Rettungsnachricht, deren Name eine Großbuchstabenvariante der spezifischen Erweiterung für das neu zugewiesene Opfer enthält. Daher wird es ähnlich aussehen wie HBENFMDMCA-DECRYPT.Txt. Der anstößige Code ändert auch den Desktop-Hintergrund in eine Warnmeldung (siehe Abbildung). GandCrab 5.1 ersetzt den Desktop-Hintergrund durch ein Warnbild

Apropos Entschlüsselung: Das Tool ist nicht mit Gandcrab 5.1 kompatibel. Die Diebe müssen ihre Verschlüsselungsimplementierung überarbeitet haben und den Fehler beseitigen, durch den weiße Hüte die Verschlüsselung überhaupt überwinden konnten. Jetzt stehen die Opfer dem rücksichtslosen digitalen Gegner gegenüber. Die folgende Beschreibung des Modus operandi dieser Infektion ist daher sowohl für die Angreifer als auch für Benutzer nützlich, die ihre Daten schützen möchten.

GandCrab 5.1 führt die Runden auf verschiedene Arten durch. Die vorherrschende Technik bleibt unverändert, sie wird auf Spam getestet und nachgewiesen. Die Täter sind der Massenmails eines Botnetzes verpflichtet, unehrliche E-Mails an zahlreiche Benutzer zu senden. Die Nachrichten sind zwar sicher, die Bitcoin-Aktienkurs-Chart-Anhänge jedoch nicht: Im Allgemeinen handelt es sich um explosive Fallen, die zu Makros gehören, deren Ziel es ist, einen Javascript-Code auf verdeckte Weise zu aktivieren. Auf diese Weise werden die binäre Ransomware und andere Komponenten auf den Computer heruntergeladen. Ein weiterer Ausbreitungsmechanismus, der sich auf einen Aufstieg vorbereitet, gefährdet Benutzer, die mit der Aktivierung der Anwendung den rutschigen Abhang des schmutzigen Spiels durchlaufen. In diesem Fall ist Ansteckung ein Crack-Tool für gängige Software-Suites wie Microsoft Office. Der Arbeitsablauf ist trivial: Eine Person lädt einen maskierten Code herunter und startet ihn als Crack-Lösung. Dabei handelt es sich tatsächlich um die binäre Gandcrab 5.1, die getarnt ist. Ein paar Sekunden vergehen und die Ransomware ist an Bord.

Nachdem das Täterprogramm die meisten der wertvollen Daten aus dem 2017er apk auf der Festplatte und den Netzlaufwerken der kontaminierten Maschine gesehen hat, blockiert es es mit seinen verbesserten kryptographischen Algorithmen. Eine große Änderung, die sich auf die Variante von Gandcrab 5.1 auswirkte, ist die erhöhte Verschlüsselungsgeschwindigkeit. Als Nächstes wissen Sie, dass die Namen aller persönlichen Dokumente, Datenbanken, Videos, Fotos und anderen wichtigen Dateien mit einer neuen Erweiterung versehen sind. Auch hier handelt es sich um eine zufällige Zeichenfolge, die für das jeweilige Opfer eindeutig ist. Der gruselige Desktop-Hintergrund sagt “von Gandcrab 5.1 verschlüsselt” und enthält einen Hinweis auf den TXT-Rettungsbrief. Letztere enthält wiederum einen Link für das Opfer, der zur Zahlungsseite führt. Es listet zwei Zahlungsoptionen auf (durch Bitcoin oder Strich-Kryptowährung), gibt die BTC-Brieftaschenadresse der Kriminellen an und außerdem zeigt Bitcoin plus News Informationen über den Termin, bevor die Rettungsgröße verdoppelt wird.

Soviel zur Taktik der Gandcrab 5.1. Was sollen die Opfer tun? Leider ist ein kostenloses Entschlüsselungs-Tool noch nicht veröffentlicht worden, zumindest ist es zum Zeitpunkt der Erstellung dieses Artikels nicht verfügbar. Das Versenden des Lösegelds ist definitiv nicht das Beste für den Benutzer, denn es bedeutet, dass die Bösen gewinnen. Das ist auch viel Geld. Der Betrag kann in BTC oder DSH $ 800 betragen, er kann jedoch auch um ein Vielfaches höher liegen. Unter diesen Umständen wird empfohlen, zunächst einige der besten forensischen Datenwiederherstellungsmethoden in Bitcoins online auszuprobieren.

Ein positives Ergebnis der Verwendung dieser Technik hängt davon ab, ob die Volumesnapshots der Dateien auf Ihrem PC von der Ransomware gelöscht wurden. Diese Windows-Funktion führt automatisch Sicherungskopien der Datenelemente auf der Festplatte aus, wenn die Systemwiederherstellung aktiviert ist. Die fragliche Cryptoware ist so programmiert, dass der Volume Snapshot Service (VSS) heruntergefahren wird. In einigen Fällen war dies jedoch möglicherweise nicht möglich.

Es gibt zwei Möglichkeiten, die eigenen Optionen in Bezug auf diese alternative Lösung zu überprüfen: über das Menü “Eigenschaften” jeder Datei oder über das außergewöhnliche Open-Source-Tool “Shadow Explorer”. Wir empfehlen die softwarebasierte Methode, da sie automatisch und somit schneller und einfacher ist. Installieren Sie einfach die Anwendung und verwenden Sie die intuitiven Steuerelemente, um frühere Versionen der verschlüsselten Objekte wiederherzustellen.

Alternativ können Sie die Funktionen früherer Versionen nutzen, die im Windows-Betriebssystem enthalten sind. Diese Methode ist umständlicher als die Verwendung von shadowexplorer, kann jedoch dabei helfen, die wichtigsten einzelnen Dateien wiederherzustellen, mit der Bedingung, dass die Ransomware die Extraktion von Bitcoins mit dem PC und den Volume-Snapshot-Dienst auf dem Computer nicht deaktivieren kann. Klicken Sie mit der rechten Maustaste auf eine Datei Ihrer Wahl und wählen Sie Eigenschaften aus. Gehen Sie dann zur Registerkarte der vorherigen Versionen, wie unten dargestellt.