Что делать, если ваш компьютер заражен программой-вымогателем GandCrab V5.0.4

Представьте, что вы загружаете свой компьютер и на рабочем столе вас приветствует это сообщение:

Вероятно, это был бы один из самых страшных кошмаров, которые могут присниться любому пользователю компьютера. Когда вы видите это сообщение или видите на своем компьютере файл с этим сообщением, написанным внутри, ваш компьютер, скорее всего, заражен криптовирусом GandCrab.

GandCrab — это программа-вымогатель с шифрованием файлов, которая шифрует все файлы и документы зараженного компьютера. Программа-вымогатель использует ключ RSA-2048 или алгоритм шифрования потока Salsa2.0 для шифрования файлов и оставляет владельцу устройства сообщение с требованием выкупа. В сообщении предлагается расшифровать файлы за отдельную плату. Сумма не одинакова для каждого случая; некоторые злоумышленники просят 500 долларов, а другие требуют до 2400 долларов в качестве оплаты за процесс расшифровки.

Злоумышленник даже усилит чувство срочности, угрожая удвоить цену через определенный период времени. Инструкции остаются в файле txt или html с набором тарабарских символов в имени файла, например, DEKSTFDERT-DECRYPT.txt ИЛИ DEKSTFDERT-DECRYPT.html.

Что нужно знать о криптовирусе GandCrab

Вирус-вымогатель GandCrab прошел долгий путь после того, как был впервые обнаружен в январе 2018 года. За первые шесть месяцев после распространения вирус заразил более 50 000 устройств и принес жертвам выкуп в размере 600 000 долларов.

GandCrab считается одним из самых активных и распространенных программ-вымогателей года и на сегодняшний день выпустил пять версий вируса-вымогателя. Его последняя версия — GandCrab v5.0.4, и хотя между этой версией и предыдущей нет какой-либо очевидной разницы, вирус-вымогатель постоянно развивается, чтобы избежать дешифраторов, созданных компаниями, занимающимися онлайн-безопасностью. Фактически, наиболее заметным изменением, произошедшим с вирусом GandCrab, является переход с алгоритма шифрования RSA-2048 на более быстрый потоковый шифр Salsa2.0.

Как распространяется программа-вымогатель GandCrab v5.0.4

GandCrab использует несколько точек входа для заражения компьютеров. Он часто распространяется через спам, наборы эксплойтов и другие вредоносные кампании. Давайте рассмотрим каждый из этих векторов распространения по одному.

С незапамятных времен известно, что спам-письма являются переносчиками всех типов вирусов и вредоносных программ. Пользователей обычно обманом заставляют открыть спам-письмо с пикантным заголовком и прикрепленным к нему ZIP-файлом. ZIP-файл содержит скрипт, который загружает криптовирус на компьютер и запускает его.

Другой способ получить криптовирус GandCrab — через наборы эксплойтов. GrandSoft и RIG — одни из наиболее широко используемых наборов эксплойтов для распространения Grancrab. Однако изначально сообщалось, что версия 5.0 программы-вымогателя доставляется с помощью набора эксплойтов Fallout, который теперь вместо этого связан с распространением программы-вымогателя Kraken.

Другие векторы проникновения включают подключения к удаленному рабочему столу со слабой защитой, зараженные троянскими программами, сценарии PowerShell и Bonnets, такие как Phorpiex.

Что делает GandCrab?

Цель GandCrab, как и всех других программ-вымогателей, — зашифровать все файлы зараженной системы и потребовать плату за их расшифровку. Оплата обычно производится с использованием криптовалют, таких как Dash или Bitcoin, потому что их трудно отследить.

Программа-вымогатель GandCrab v5.0.4 заражает все версии системы Windows, включая Windows 10/11, Windows 7 и Windows 8.1. После установки программы-вымогателя она сканирует систему в поисках файлов данных для шифрования. Документы с расширениями файлов, такими как .doc, .docx, .xls и .pdf, являются одними из наиболее распространенных целей. Как только эти файлы были обнаружены, вирус-вымогатель изменяет расширение этих файлов, чтобы их больше нельзя было открыть.

После того, как файлы были зашифрованы, GandCrab оставляет записку о выкупе с инструкциями о том, что должен сделать владелец устройства, в частности, как произвести платеж. Платить выкуп крайне не рекомендуется, потому что это только придаст уверенности злоумышленникам и побудит их к дальнейшему распространению вируса.

Если ваше устройство заражено программой-вымогателем GandCrab v5.0.4, выполните следующие действия, чтобы полностью удалить его из вашей системы и, возможно, получить некоторые из ваших файлов.

Как удалить программу-вымогатель GandCrab V5.0.4

К сожалению, для GandCrab V5.0.4 дешифратора пока нет. Bitdefender смог создать программу дешифрования для первой версии вымогателя, но она оказалась бесполезной, когда авторы обновили GandCrab до версии 2.0. Другие охранные компании также пытались выпустить свои собственные дешифраторы, но пока ни один из них не работает.

Итак, если ваш компьютер, к сожалению, содержит GandCrab V5.0.4, вот что вам нужно сделать:

Шаг 1. Создайте копию всех зараженных файлов.

Это позволяет сохранить все зашифрованные данные и обеспечить их сохранность до тех пор, пока в будущем не будет разработана бесплатная программа расшифровки. Гораздо лучше, если вы сможете создать образ всего жесткого диска, потому что вы также сможете сохранить все, что связано с вымогателем, включая зашифрованные файлы, сообщение о выкупе, ключевые файлы данных и записи реестра.

Шаг 2. Удалите GandCrab V5.0.4 с вашего компьютера.

Что вам нужно сделать, так это попытаться сначала удалить программу-вымогатель из вашей системы, прежде чем она нанесет еще больший ущерб. Чтобы удалить программу-вымогатель из Windows, выполните следующие действия:

1. Загрузитесь в безопасном режиме, щелкнув меню «Пуск».
2. Нажмите кнопку питания, удерживая нажатой клавишу Shift, затем нажмите «Перезагрузить».
3. Ваш компьютер перезагрузится и появится синее меню. Выберите «Устранение неполадок» в этом окне.
4. В меню «Устранение неполадок» выберите «Дополнительные параметры» > «Параметры запуска» > «Перезагрузить».
5. Выберите любой из трех доступных вариантов безопасного режима.
6. В безопасном режиме найдите зараженные файлы, введя расширение файла: в поле поиска, а затем тип расширения, которое вы ищете.
7. Удалите все зараженные файлы и затем очистите корзину. Вы можете использовать такой инструмент, как Ремонт ПК Outbyte чтобы убедиться, что все ненужные файлы удалены и что в вашей системе не осталось зараженных файлов.
8. Запустите антивирус или средство защиты от вредоносных программ, чтобы полностью избавиться от инфекции.

Шаг 3: Попробуйте восстановить зашифрованные файлы.

Поскольку для GandCrab V5.0.4 нет официального дешифратора, вы можете попытать счастья со сторонним программным обеспечением для дешифрования, и, возможно, одно из них подойдет вам. Вы также можете попробовать восстановить свои файлы с помощью программного обеспечения для восстановления файлов, хотя нет гарантии, что файлы действительно будут восстановлены. Некоторые пользователи, испробовавшие этот метод, сообщили, что большинство файлов были возвращены поврежденными.

Другим вариантом может быть откат вашей системы до предыдущей точки восстановления до того, как произошло заражение. Это, вероятно, лучший вариант для вас прямо сейчас.

Выполните следующие действия, чтобы откатить изменения на вашем ПК с помощью точки восстановления:

1. Нажмите «Пуск» и введите Создать точку восстановления в поле поиска.
2. Щелкните Свойства системы в результатах.
3. Нажмите «Восстановление системы» > «Далее», затем выберите самую последнюю работающую точку восстановления до того, как произошло заражение.
4. Нажмите Сканировать на наличие уязвимых программ, чтобы удалить приложения и процессы, которые были установлены после создания точки восстановления.
5. Щелкните Закрыть > Далее > Готово.

Теперь ваше устройство вернется в то время, когда была создана точка восстановления, и все работало правильно.

Резюме

Увидев, что ваш компьютер заражен программой-вымогателем GandCrab V5.0.4, на первый взгляд может вызвать панику — все ваши файлы зашифрованы, и на данный момент нет возможности их расшифровать. У некоторых пользователей возникает соблазн заплатить выкуп, думая, что это самый простой способ решить проблему и вернуть свои файлы. Но можете ли вы действительно доверять этим преступникам, чтобы они выполнили свою часть работы после того, как деньги будут переведены? Скорее всего, нет. Они не заботятся о вас или ваших файлах; они заботятся только о деньгах, которые вы готовы им дать.

Поэтому, если ваш компьютер заражен программой-вымогателем GandCrab V5.0.4, не бегите к злоумышленникам со своими деньгами. Воспользуйтесь приведенным выше пошаговым руководством, чтобы удалить зараженные файлы с компьютера и восстановить данные другими способами. Кроме того, вам, вероятно, не придется долго ждать выпуска официальной программы расшифровки для противодействия этим атакам.