Come rimuovere GandCrab ransomware e recuperare file crittografati

Suggerimenti completi per eliminare GandCrab ransomware e decrittografare i dati

GandCrab ransomware è un cryptovirus osservato per la prima volta nel 2018. Durante questo periodo, si è guadagnato il nome di malware più distruttivo al mondo. Il malware ha numerose varianti rilasciate di volta in volta. GDCB, KRB E CRAB sono alcuni di loro e anche i pericolosi Gandcrab 5.0.4 e GandCrab 5.1 appartengono a questa categoria di malware.

Il malware viene distribuito utilizzando varie pratiche di distribuzione. Questi sono kit di exploit RIG, GradSoft, Magnitude e Fullout, crack, keygen e falsi aggiornamenti. La buona notizia per te è che il team di ricerca di Bitdefender, con la collaborazione con Europol e la polizia rumena, è riuscito a creare la decrittazione di GandCrab ransomware, il terzo decrittore che funziona per le versioni 1, 4, da 5.0.1 a 5.1.

La polizia rumena ha sconfitto la prima versione del ransomware entro due settimane dalla sua attivazione. L’allora Bitfender creò un decryptor GandCrab gratuito su NoMoreRansom Project. Tuttavia, durante l’anno 2019, gli autori delle minacce hanno presentato diverse nuove versioni che richiedono 2000 USD in Dash o Bitcoin per la decrittazione completa dei file. Le versioni migliorate non sono state decrittografate poiché i criminali correggono completamente il difetto critico entro 24 ore dal rilascio di Bitdenfeder.

Al momento, il malware aggiunge un carattere casuale ai nomi dei file crittografati. Indica agli utenti di acquistare il decryptor GandCrab dagli attori malintenzionati tramite un indirizzo Tor. Gli utenti dovrebbero essere attenti quando trattano con gli hacker poiché effettuare un pagamento non garantirà che forniranno lo strumento di decrittografia di cui hai bisogno.

Azione eseguita dal virus dopo l’infiltrazione

Subito dopo l’intrusione riuscita, il malware raccoglie i dati come nome utente, nome del PC, sistema operativo e simili necessari per progettare un numero ID univoco. Successivamente, avvia il processo di crittografia dei file e rende inaccessibili tutti i file memorizzati. La codifica dei file significa bloccarli con una particolare chiave / carattere che viene salvato nel server C&C appartiene ai truffatori. Per spiegare l’intera situazione come recuperare i file in un messaggio di richiesta di riscatto che può essere trovato su ogni file crittografato contenente la cartella.

Anche i file crittografati verranno rinominati. L’estensione utilizzata potrebbe essere GDCB-DECRYPT.txt, KRAB-DECRYPT.txt o [ID vittima] -DECRYPT.txt. La richiesta di riscatto fornisce le informazioni su come recuperare i file e li rende nuovamente inaccessibili. Questo è il messaggio che le varianti GandCrab ransomware precedenti mostrano nel file di richiesta di riscatto:

– = GANDCRAB = –

Attenzione!

Tutti i tuoi file, documenti, foto, database e altri file importanti sono crittografati e hanno l’estensione:.

L’unico metodo per recuperare i file è acquistare una chiave privata. È sul nostro server e solo noi possiamo recuperare i tuoi file.

Il server con la tua chiave è in una rete chiusa TOR. Puoi arrivarci nei seguenti modi:

1. Scarica il browser Tor – https://www.torproject.org/
2. Installa il browser Tor
3. Apri Tor Browser
4. Apri il link nel browser tor: http://gdcbghvjyqy7jclk.onion/[id]
5. Seguire le istruzioni in questa pagina

Sulla nostra pagina vedrai le istruzioni per il pagamento e avrai l’opportunità di decriptare 1 file gratuitamente.

PERICOLOSO!

Non provare a modificare i file o utilizzare la tua chiave privata: questo comporterà la perdita dei tuoi dati per sempre!

Le varianti più recenti mostrano il seguente messaggio di richiesta di riscatto:

– = GANDCRAB V5.1 = –

*********************** IN NESSUN CASO NON CANCELLARE QUESTO FILE, FINO A QUANDO TUTTI I TUOI DATI NON SONO RECUPERATI ************ ***********

***** IN CASO DI INADEMPIMENTO, IL CORRUZIONE DEL SISTEMA RISULTERÀ IN CASO DI ERRORI DI DECRITTOZIONE *****

Attenzione!

Tutti i tuoi file, documenti, foto, database e altri file importanti sono crittografati e hanno l’estensione:

L’unico metodo per ripristinare i file è acquistare una chiave privata univoca. Solo noi possiamo darti questa chiave e solo noi possiamo recuperare i tuoi file.

Il server con la tua chiave è in una rete chiusa TOR. Puoi arrivarci nei seguenti modi:

—————————————————————————————-

| 0. Scarica il browser Tor – https://www.torproject.org/

| 1. Installa Tor browser

| 2. Apri Tor Browser

| 3. Apri il link nel browser TOR: [link]

| 4. Seguire le istruzioni in questa pagina

—————————————————————————————-

Sulla nostra pagina vedrai le istruzioni per il pagamento e avrai l’opportunità di decriptare 1 file gratuitamente.

ATTENZIONE!

PER PREVENIRE IL DANNEGGIAMENTO DEI DATI:

* NON MODIFICARE I FILE CRITTOGRAFATI

* NON MODIFICARE I DATI SOTTO

—BEGIN GANDCRAB KEY—

******

—ENDI CHIAVE GANDCRAB—

—BEGIN PC DATA—

******

—ENDI DATI DEL PC—

Quando le vittime scaricano il browser Tor e fanno clic sul collegamento fornito nella richiesta di riscatto, vengono indirizzate al sito Web degli aggressori. Lì, gli utenti sono invitati a caricare la loro richiesta di riscatto. Questo è il motivo per cui i truffatori stanno dicendo di non cancellare la richiesta di riscatto in nessuna circostanza. Il sito web aperto presenta le istruzioni per il pagamento. L’importo del riscatto richiesto agli utenti è di $ 1200. I soldi vengono spesso richiesti in criptovaluta Bitcoin o DASH. Gli hacker avvertono gli utenti che posticipare il piano del pagamento può raddoppiare il prezzo della somma richiesta.

Ti consigliamo vivamente di non seguire le regole dei criminali informatici. Non forniranno mai lo strumento di decrittazione in nessuna circostanza. L’opzione migliore per affrontare questa situazione è rimuovere GandCrab ransomware e ripristinare i file utilizzando i backup che hai. Se non è presente alcun backup, controlla la nostra sezione di ripristino dei dati di seguito, dove troverai più di due metodi per il ripristino dei file con la loro guida passo passo completa. Lì troverai anche la semplice guida passo passo per rimuovere GandCrab ransomware dal sistema.

I kit di exploit vengono spesso utilizzati nella distribuzione dei virus

Gli hacker utilizzano diverse tecniche per distribuire le loro creazioni dannose. Tuttavia, l’uso di kit di exploit è stato comunemente osservato per la distribuzione di questo malware. I kit di exploit sono considerati i più sofisticati in quanto spesso rilevano e identificano le vulnerabilità del sistema e quindi usano impropriamente questi buchi per infiltrarsi nel malware. Secondo gli esperti, i kit di exploit comuni utilizzati per questa distribuzione di malware sono Rig EK, GrandSoft Ek, Magnitude EK e Fallout Ek.

 Vale la pena sapere che gli exploit kit non sono l’unico modo attraverso il quale viene distribuito il ransomware. I criminali possono utilizzare e-mail di spam ingannevoli con allegati infettivi. Tali allegati sono spesso camuffati da destinatari di acquisti, fatture o documenti simili di marchi e aziende ben noti. Gli utenti aprono il file dannoso e lasciano entrare la minaccia informatica. Per proteggere il sistema, non dovresti mai fare clic su allegati i cui indirizzi dei mittenti siano sospetti. Inoltre, mantieni aggiornato il sistema e le app installate in modo che il sistema non abbia vulnerabilità da sfruttare.

Dettagli e guida dell’utente di Antimalware

Clicca qui per Windows
Clicca qui per Mac

Passaggio 1: rimuovere GandCrab ransomware tramite “Modalità provvisoria con rete”

Passaggio 2: eliminare GandCrab ransomware utilizzando “Ripristino configurazione di sistema”

Passaggio 1: rimuovere GandCrab ransomware tramite “Modalità provvisoria con rete”

Per utenti di Windows XP e Windows 7: avviare il PC in “Modalità provvisoria”. Fare clic sull’opzione “Start” e premere continuamente F8 durante il processo di avvio fino a quando il menu “Opzione avanzata di Windows” appare sullo schermo. Scegli “Modalità provvisoria con rete” dall’elenco.

Ora, un desktop di Windows appare sul desktop e la stazione di lavoro sta lavorando su “Modalità provvisoria con rete”.

Per utenti di Windows 8: vai alla “Schermata iniziale”. Nei risultati della ricerca selezionare le impostazioni, digitare “Avanzate”. Nell’opzione “Impostazioni PC generali”, selezionare l’opzione “Avvio avanzato”. Ancora una volta, fai clic sull’opzione “Riavvia ora”. La stazione di lavoro avvia il “Menu Opzioni di avvio avanzate”. Premere il pulsante “Risoluzione dei problemi” e quindi “Opzioni avanzate”. Nella “Schermata Opzioni avanzate”, premere su “Impostazioni di avvio”. Ancora una volta, fai clic sul pulsante “Riavvia”. La stazione di lavoro ora si riavvierà nella schermata “Impostazioni di avvio”. Il prossimo è premere F5 per avviare in modalità provvisoria in rete

Per utenti di Windows 10: premere sul logo di Windows e sull’icona “Accensione”. Nel menu appena aperto, selezionare “Riavvia” tenendo premuto il pulsante “Maiusc” sulla tastiera. Nella nuova finestra aperta “Scegli un’opzione”, fai clic su “Risoluzione dei problemi” e quindi su “Opzioni avanzate”. Selezionare “Impostazioni di avvio” e premere su “Riavvia”. Nella finestra successiva, fare clic sul pulsante “F5” sulla tastiera.

Passaggio 2: eliminare GandCrab ransomware utilizzando “Ripristino configurazione di sistema”

Accedi all’account infetto da GandCrab ransomware. Apri il browser e scarica uno strumento antimalware legittimo. Esegui una scansione completa del sistema. Rimuovi tutte le voci dannose rilevate.

Nel caso in cui non sia possibile avviare il PC in “Modalità provvisoria con rete”, provare a utilizzare “Ripristino configurazione di sistema”

1. Durante “Avvio”, premere continuamente il tasto F8 fino a visualizzare il menu “Opzioni avanzate”. Dall’elenco, selezionare “Modalità provvisoria con prompt dei comandi” e quindi premere “Invio”

2. Nel nuovo prompt dei comandi aperto, immettere “cd restore”, quindi premere “Enter”.

3. Digitare: rstrui.exe e premere “INVIO”

4. Fai clic su “Avanti” nella nuova finestra

5. Scegliere uno dei “Punti di ripristino” e fare clic su “Avanti”. (Questo passaggio ripristinerà la stazione di lavoro alla sua data e ora precedenti prima dell’infiltrazione GandCrab ransomware nel PC.

6. Nelle finestre appena aperte, premere su “Sì”.

Una volta ripristinato il tuo PC alla data e all’ora precedenti, scarica lo strumento anti-malware consigliato ed esegui una scansione approfondita per rimuovere i file GandCrab ransomware se lasciati sul posto di lavoro.

Per ripristinare ciascun file (separato) da questo ransomware, utilizzare la funzione “Versione precedente di Windows”. Questo metodo è efficace quando la “Funzione di ripristino del sistema” è abilitata nella stazione di lavoro.

Nota importante: alcune varianti di GandCrab ransomware eliminano anche le “copie del volume ombra”, quindi questa funzione potrebbe non funzionare in qualsiasi momento ed è applicabile solo a computer selettivi.

Come ripristinare singoli file crittografati:

Per ripristinare un singolo file, fai clic destro su di esso e vai su “Proprietà”. Seleziona la scheda “Versione precedente”. Selezionare un “Punto di ripristino” e fare clic sull’opzione “Ripristina”.

Per accedere ai file crittografati da GandCrab ransomware, puoi anche provare a utilizzare “Shadow Explorer“. (Http://www.shadowexplorer.com/downloads.html). Per ottenere maggiori informazioni su questa applicazione, premere qui. (Http://www.shadowexplorer.com/documentation/manual.html)

Importante: il ransomware di crittografia dei dati è altamente pericoloso ed è sempre meglio prendere precauzioni per evitare il suo attacco alla propria postazione di lavoro. Si consiglia di utilizzare un potente strumento antimalware per ottenere protezione in tempo reale. Con questo aiuto di “SpyHunter”, “registri di gruppo” vengono impiantati nei registri per bloccare infezioni dannose come GandCrab ransomware.

Inoltre, in Windows 10, ottieni una funzionalità davvero unica chiamata “Fall Creators Update” che offre la funzione “Accesso controllato alle cartelle” al fine di bloccare qualsiasi tipo di crittografia dei file. Con l’aiuto di questa funzione, tutti i file archiviati in posizioni come “Documenti”, “Immagini”, “Musica”, “Video”, “Preferiti” e “Desktop” sono al sicuro per impostazione predefinita.

È molto importante installare questo “Windows 10 Fall Creators Update” sul PC per proteggere file e dati importanti dalla crittografia ransomware. Maggiori informazioni su come ottenere questo aggiornamento e aggiungere un modulo di protezione aggiuntivo attacco rnasomware sono state discusse qui. (Https://blogs.windows.com/windowsexperience/2017/10/17/get-windows-10-fall-creators-update/)

Come recuperare i file crittografati da GandCrab ransomware?

Fino ad ora, avresti capito che cosa era successo ai tuoi file personali che sono stati crittografati e come puoi rimuovere gli script e i payload associati a GandCrab ransomware al fine di proteggere i tuoi file personali che non sono stati danneggiati o crittografati fino ad ora. Al fine di recuperare i file bloccati, le informazioni sulla profondità relative a “Ripristino configurazione di sistema” e “Copie del volume ombra” sono già state discusse in precedenza. Tuttavia, nel caso in cui non sia ancora possibile accedere ai file crittografati, è possibile provare a utilizzare uno strumento di recupero dati.

Utilizzo dello strumento di recupero dati

Questo passaggio è per tutte quelle vittime che hanno già provato tutto il processo sopra menzionato ma non hanno trovato alcuna soluzione. Inoltre è importante poter accedere al PC e installare qualsiasi software. Lo strumento di recupero dati funziona sulla base dell’algoritmo di scansione e ripristino del sistema. Cerca nelle partizioni di sistema per individuare i file originali che sono stati eliminati, danneggiati o danneggiati dal malware. Ricorda che non devi reinstallare il sistema operativo Windows, altrimenti le copie “precedenti” verranno eliminate in modo permanente. Devi prima pulire la postazione di lavoro e rimuovere l’infezione GandCrab ransomware. Lascia i file bloccati così come sono e segui i passaggi indicati di seguito.

Passaggio 1: scaricare il software nella workstation facendo clic sul pulsante “Scarica” in basso.

Passaggio 2: eseguire il programma di installazione facendo clic sui file scaricati.

Passaggio 3: sullo schermo viene visualizzata una pagina del contratto di licenza. Fai clic su “Accetta” per concordare i termini e l’uso. Seguire le istruzioni sullo schermo come indicato e fare clic sul pulsante “Fine”.

Passaggio 4: Una volta completata l’installazione, il programma viene eseguito automaticamente. Nell’interfaccia appena aperta, selezionare i tipi di file che si desidera ripristinare e fare clic su “Avanti”.

Passaggio 5: È possibile selezionare le “Unità” su cui si desidera eseguire il software ed eseguire il processo di ripristino. Il prossimo è fare clic sul pulsante “Scansione”.

Passaggio 6: in base all’unità selezionata per la scansione, inizia il processo di ripristino. L’intero processo può richiedere del tempo a seconda del volume dell’unità selezionata e del numero di file. Una volta completato il processo, sullo schermo viene visualizzato un esploratore di dati con un’anteprima dei dati da recuperare. Seleziona i file che desideri ripristinare.

Passaggio 7. Successivamente è individuare la posizione in cui si desidera salvare i file recuperati.