Como remover GandCrab ransomware e recuperar arquivos criptografados

Dicas completas para excluir dados GandCrab ransomware e descriptografar

GandCrab ransomware é um criptovírus observado pela primeira vez no ano de 2018. Durante esse tempo, ele ganhou o nome de malware mais destrutivo do mundo. O malware possui inúmeras variantes lançadas pontualmente. GDCB, KRB E CRAB são alguns deles e também os perigosos Gandcrab 5.0.4 e GandCrab 5.1 pertencem a esta categoria de malware.

O malware é distribuído usando várias práticas de distribuição. São os kits de exploit RIG, GradSoft, Magnitude e Fullout, cracks, keygens e atualizações falsas. A boa notícia para você é que a equipe de pesquisa do Bitdefender, com a colaboração da Europol e da polícia da Romênia, conseguiu criar a descriptografia do GandCrab ransomware – o terceiro descriptografador que funciona para as versões 1, 4, 5.0.1 a 5.1.

A polícia romena derrotou a primeira versão do ransomware duas semanas após sua ativação. O então Bitfender criou um descriptografador GandCrab gratuito no Projeto NoMoreRansom. No entanto, durante o ano de 2019, os atores da ameaça apresentaram várias novas versões que exigem 2.000 dólares em Dash ou Bitcoin para a descriptografia completa dos arquivos. As versões melhoradas não foram descriptografadas, pois os criminosos corrigem totalmente a falha crítica em 24 horas, quando o Bitdenfeder foi lançado.

No momento, o malware está acrescentando um caractere aleatório aos nomes dos arquivos criptografados. Ele instrui os usuários a comprar o descriptografador GandCrab dos agentes mal-intencionados por meio de um endereço Tor. Os usuários devem ter cuidado ao lidar com hackers, pois fazer um pagamento não garante que eles fornecerão a ferramenta de descriptografia de que você precisa.

Ação realizada pelo vírus após a infiltração

Logo após a intrusão bem-sucedida, o malware coleta dados como nome de usuário, nome do PC, sistema operacional e outros semelhantes necessários para criar um número de identificação exclusivo. Depois disso, ele inicia o processo de criptografia de arquivos e torna todos os arquivos armazenados inacessíveis. A codificação dos arquivos significa bloqueá-los com uma determinada chave / caractere que é salvo no servidor C&C pertence aos criminosos. Para explicar toda a situação como recuperar os arquivos em uma mensagem exigindo resgate que pode ser encontrada em cada pasta contendo arquivo criptografado.

Os arquivos criptografados também serão renomeados. A extensão usada pode ser GDCB-DECRYPT.txt, KRAB-DECRYPT.txt ou [ID da vítima] -DECRYPT.txt. A nota de resgate fornece informações sobre como recuperar os arquivos e torná-los inacessíveis novamente. Esta é a mensagem que as variantes GandCrab ransomware mais antigas mostram no arquivo de pedido de resgate:

– = GANDCRAB = –

Atenção!

Todos os seus arquivos, documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e possuem a extensão:.

O único método de recuperação de arquivos é comprar uma chave privada. Ele está em nosso servidor e somente nós podemos recuperar seus arquivos.

O servidor com sua chave está em um TOR de rede fechado. Você pode chegar lá das seguintes maneiras:

1. Baixe o navegador Tor – https://www.torproject.org/
2. Instale o navegador Tor
3. Abra o navegador Tor
4. Abra o link no navegador do tor: http://gdcbghvjyqy7jclk.onion/[id]
5. Siga as instruções nesta página

Em nossa página, você verá instruções sobre o pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.

PERIGOSO!

Não tente modificar arquivos ou usar sua própria chave privada – isso resultará na perda de seus dados para sempre!

As variantes mais recentes mostram a seguinte mensagem de pedido de resgate:

– = GANDCRAB V5.1 = –

************************* EM NENHUMA CIRCUNSTÂNCIA, NÃO EXCLUA ESTE ARQUIVO, ATÉ TODOS OS SEUS DADOS SEREM RECUPERADOS ************ ***********

***** NÃO ASSISTIR, RESULTARÁ NA CORRUPÇÃO DO SEU SISTEMA, SE HOUVER ERROS DE DESCRIPTAÇÃO *****

Atenção!

Todos os seus arquivos, documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e têm a extensão:

O único método de recuperação de arquivos é comprar uma chave privada exclusiva. Somente nós podemos dar a você esta chave e somente nós podemos recuperar seus arquivos.

O servidor com sua chave está em um TOR de rede fechado. Você pode chegar lá das seguintes maneiras:

——————————————————————————————-

| 0. Baixe o navegador Tor – https://www.torproject.org/

| 1. Instale o navegador Tor

| 2. Abra o navegador Tor

| 3. Abra o link no navegador TOR: [link]

| 4. Siga as instruções nesta página

——————————————————————————————-

Em nossa página, você verá instruções sobre o pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.

ATENÇÃO!

PARA EVITAR DANOS AOS DADOS:

* NÃO MODIFICAR ARQUIVOS CRIPTOGRAFADOS

* NÃO ALTERE OS DADOS ABAIXO

—BEGIN GANDCRAB KEY—

******

—END GANDCRAB KEY—

—BEGIN PC DATA—

******

—ENVIAR DADOS DO PC—

Quando as vítimas baixam o navegador Tor e clicam no link fornecido na nota de resgate, são direcionadas para o site dos atacantes. Lá, os usuários são solicitados a fazer upload de sua nota de resgate. É por isso que os bandidos estão dizendo para não apagar a nota de resgate em hipótese alguma. O site aberto apresenta as instruções de pagamento. O valor do resgate pedido aos usuários é de $ 1200. O dinheiro é frequentemente solicitado em criptomoeda Bitcoin ou DASH. Os hackers alertam os usuários que adiar o plano de pagamento pode dobrar o preço da quantia exigida.

Aconselhamos vivamente que não siga as regras dos cibercriminosos. Eles nunca fornecerão a ferramenta de descriptografia em nenhuma circunstância. A melhor opção para lidar com essa situação é remover GandCrab ransomware e recuperar os arquivos usando os backups que você possui. Se não houver backup, verifique nossa seção de recuperação de dados abaixo, onde você encontrará mais de dois métodos para a recuperação de arquivos com seu guia passo a passo completo. Lá, você também encontrará o guia passo a passo fácil para remover GandCrab ransomware do sistema.

Os kits de exploração são frequentemente usados na distribuição de vírus

Os hackers usam diferentes técnicas para distribuir suas criações maliciosas. No entanto, o uso do kit de exploração tem sido comumente observado sendo praticado para a distribuição desse malware. Os kits de exploração são considerados os mais sofisticados, pois frequentemente detectam e identificam as vulnerabilidades do sistema e, em seguida, usam essas falhas para se infiltrar no malware. De acordo com os especialistas, os kits de exploração comuns usados para esta distribuição de malware são Rig EK, GrandSoft Ek, Magnitude EK e Fallout Ek.

 É importante saber que os kits de exploração não são a única forma de distribuição do ransomware. Os criminosos podem usar e-mails de spam enganosos com anexos infecciosos. Esses anexos costumam ser disfarçados como destinatários de compras, faturas ou documentos semelhantes de marcas e empresas conhecidas. Os usuários abrem o arquivo malicioso e permitem a entrada da ciberameaça. Para proteger o sistema, você nunca deve clicar em anexos cujos endereços de remetentes sejam suspeitos. Além disso, mantenha o sistema e os aplicativos instalados atualizados para que o sistema não tenha nenhuma vulnerabilidade a ser explorada.

Detalhes sobre antimalware e guia do usuário

Clique aqui para Windows
Clique aqui para Mac

Etapa 1: Remover GandCrab ransomware através do “Modo de segurança com rede”

Etapa 2: Excluir GandCrab ransomware usando a “Restauração do sistema”

Etapa 1: Remover GandCrab ransomware através do “Modo de segurança com rede”

Para usuários do Windows XP e Windows 7: Inicialize o PC no “Modo de Segurança”. Clique na opção “Iniciar” e pressione F8 continuamente durante o processo de inicialização até que o menu “Opções avançadas do Windows” apareça na tela. Escolha “Modo de segurança com rede” na lista.

Agora, um windows homescren aparece na área de trabalho e a estação de trabalho agora está trabalhando no “Modo de segurança com rede”.

Para usuários do Windows 8: Vá para a “Tela inicial”. Nos resultados da pesquisa, selecione configurações, digite “Avançado”. Na opção “Configurações gerais do PC”, escolha a opção “Inicialização avançada”. Mais uma vez, clique na opção “Reiniciar agora”. A estação de trabalho é inicializada no “Menu de opções de inicialização avançada”. Pressione o botão “Solucionar problemas” e, em seguida, o botão “Opções avançadas”. Na “Tela de opções avançadas”, pressione “Configurações de inicialização”. Mais uma vez, clique no botão “Reiniciar”. A estação de trabalho agora será reiniciada na tela “Configuração de inicialização”. Em seguida, pressione F5 para inicializar no modo de segurança em rede

Para usuários do Windows 10: Pressione no logotipo do Windows e no ícone “Energia”. No menu recém-aberto, escolha “Reiniciar” enquanto mantém pressionado continuamente o botão “Shift” no teclado. Na nova janela aberta “Escolha uma opção”, clique em “Solucionar problemas” e depois em “Opções avançadas”. Selecione “Configurações de inicialização” e pressione “Reiniciar”. Na próxima janela, clique no botão “F5” no teclado.

Etapa 2: Excluir GandCrab ransomware usando a “Restauração do sistema”

Faça login na conta infectada com GandCrab ransomware. Abra o navegador e baixe uma ferramenta anti-malware legítima. Faça uma verificação completa do sistema. Remova todas as entradas detectadas maliciosamente.

Caso não consiga iniciar o PC no “Modo de Segurança com Rede”, tente usar a “Restauração do Sistema”

1. Durante a “Inicialização”, pressione continuamente a tecla F8 até que o menu “Opção avançada” apareça. Na lista, escolha “Modo de segurança com prompt de comando” e pressione “Enter”

2. No novo prompt de comando aberto, digite “cd restore” e pressione “Enter”.

3. Digite: rstrui.exe e pressione “ENTER”

4. Clique em “Next” nas novas janelas

5. Escolha qualquer um dos “Pontos de restauração” e clique em “Avançar”. (Esta etapa restaurará a estação de trabalho para sua data e hora anteriores à infiltração de GandCrab ransomware no PC.

6. Nas janelas recém-abertas, pressione “Sim”.

Depois que o PC for restaurado para a data e hora anteriores, faça o download da ferramenta anti-malware recomendada e faça uma varredura profunda para remover os arquivos GandCrab ransomware, se eles permanecerem na estação de trabalho.

Para restaurar cada arquivo (separado) por este ransomware, use o recurso “Versão anterior do Windows”. Este método é eficaz quando a “Função de restauração do sistema” está ativada na estação de trabalho.

Nota importante: Algumas variantes do GandCrab ransomware excluem as “Cópias de volume de sombra”, portanto, esse recurso pode não funcionar o tempo todo e é aplicável apenas a computadores seletivos.

Como restaurar um arquivo criptografado individual:

Para restaurar um único arquivo, clique com o botão direito do mouse e vá para “Propriedades”. Selecione a guia “Versão anterior”. Selecione um “Ponto de restauração” e clique na opção “Restaurar”.

Para acessar os arquivos criptografados pelo GandCrab ransomware, você também pode tentar usar o “Shadow Explorer”. (http://www.shadowexplorer.com/downloads.html). Para obter mais informações sobre este aplicativo, pressione aqui. (http://www.shadowexplorer.com/documentation/manual.html)

Importante: O Ransomware de criptografia de dados é altamente perigoso e é sempre melhor que você tome precauções para evitar o ataque à estação de trabalho. É recomendável usar uma poderosa ferramenta anti-malware para obter proteção em tempo real. Com essa ajuda do “SpyHunter”, “objetos de política de grupo” são implantados nos registros para bloquear infecções prejudiciais como o GandCrab ransomware.

Além disso, no Windows 10, você obtém um recurso muito exclusivo chamado “Atualização de criadores de conteúdo inédito” que oferece o recurso “Acesso controlado a pastas” para bloquear qualquer tipo de criptografia nos arquivos. Com a ajuda desse recurso, todos os arquivos armazenados nos locais, como pastas “Documentos”, “Imagens”, “Música”, “Vídeos”, “Favoritos” e “Área de trabalho”, são seguros por padrão.

É muito importante que você instale esta “Atualização do Windows 10 Fall Creators Update” no seu PC para proteger seus arquivos e dados importantes da criptografia de ransomware. Mais informações sobre como obter essa atualização e adicionar um formulário adicional de proteção ao ataque do rnasomware foram discutidas aqui. (https://blogs.windows.com/windowsexperience/2017/10/17/get-windows-10-fall-creators-update/))

Como recuperar os arquivos criptografados por GandCrab ransomware?

Até agora, você entenderia o que aconteceu com seus arquivos pessoais que foram criptografados e como pode remover os scripts e cargas associadas ao GandCrab ransomware para proteger seus arquivos pessoais que não foram danificados ou criptografados até agora. Para recuperar os arquivos bloqueados, as informações detalhadas relacionadas a “Restauração do sistema” e “Cópias de volume de sombra” já foram discutidas anteriormente. No entanto, se você ainda não conseguir acessar os arquivos criptografados, tente usar uma ferramenta de recuperação de dados.

Uso da ferramenta de recuperação de dados

Esta etapa é para todas as vítimas que já tentaram todo o processo mencionado acima, mas não encontraram nenhuma solução. Além disso, é importante que você possa acessar o PC e instalar qualquer software. A ferramenta de recuperação de dados funciona com base no algoritmo de verificação e recuperação do sistema. Ele pesquisa as partições do sistema para localizar os arquivos originais que foram excluídos, corrompidos ou danificados pelo malware. Lembre-se de que você não deve reinstalar o sistema operacional Windows, caso contrário as cópias “anteriores” serão excluídas permanentemente. Você precisa limpar a estação de trabalho primeiro e remover a infecção por GandCrab ransomware. Deixe os arquivos bloqueados como estão e siga as etapas mencionadas abaixo.

Etapa 1: Faça o download do software na estação de trabalho clicando no botão “Download” abaixo.

Etapa 2: Execute o instalador clicando nos arquivos baixados.

Etapa 3: Uma página de contrato de licença é exibida na tela. Clique em “Aceitar” para concordar com seus termos e uso. Siga as instruções na tela conforme mencionado e clique no botão “Concluir”.

Etapa 4: Depois que a instalação for concluída, o programa será executado automaticamente. Na interface recém-aberta, selecione os tipos de arquivo que deseja recuperar e clique em “Avançar”.

Etapa 5: você pode selecionar as “Unidades” nas quais deseja que o software execute e execute o processo de recuperação. Em seguida, clique no botão “Digitalizar”.

Etapa 6: com base na unidade selecionada para a digitalização, o processo de restauração é iniciado. Todo o processo pode demorar, dependendo do volume da unidade selecionada e do número de arquivos. Depois que o processo é concluído, um explorador de dados aparece na tela com uma visualização dos dados que devem ser recuperados. Selecione os arquivos que você deseja restaurar.

Step7. Em seguida, localize o local em que deseja salvar os arquivos recuperados.