本文的主要目标是帮助你了解什么是GANDCRAB V4 勒索软件,它如何进行加密、如何有效地从你的PC上删除它以及如何尝试恢复.KRAB文件。
GANDCRAB成功地推出了一个新版本,使用.KRAB文件扩展名。随着这一新版本的问世,这个要求受害者使用达世币(DASH)作为赎金支付的勒索软件已经成为了最大的勒索软件之一,堪比其他大型的勒索软件家族,如WannaCry、Dharma、CryptoWall和CryptoLocker。
这个.KRAB版本GANDCRAB的主要目的是加密你的数据。通常情况下,这个勒索软件会植入一个名为“KRAB-DECRYPT.txt”的赎金票据,其目的是为了让受害者支付赎金,以使文件恢复工作。如果你的计算机已经被GANDCRAB V4 勒索软件感染,我们强烈建议你阅读本文,并了解如何有效地删除该恶意软件以及如何尝试尽可能多地恢复被的加密文件,而无需支付赎金。
GANDCRAB V4基本信息
名称:GANDCRAB V4
类型:勒索软件(Ransomware)、加密病毒(Cryptovirus)
简介:新版本的GandCrab勒索软件,对文件进行加密,使其无法打开,并要求受害者以达世币(DASH)作为赎金支付,以使文件恢复运行。
症状:GANDCRAB V4病毒将留下.KRAB文件扩展名的文件,并植入一个名为KRAB-DECRYPT.txt的赎金票据。
分发方式:垃圾电子邮件、电子邮件附件、可执行文件
检测工具:点击这里下载工具,以查看你的系统是否受到GANDCRAB V4的影响。
数据恢复工具:Windows Data Recovery by Stellar Phoenix(注意!该产品会扫描你的驱动器扇区以恢复丢失的文件,它可能无法恢复所有被加密的文件,而只是其中的少数,具体取决于你是否重新格式化了驱动器。)
GANDCRAB V4如何感染受害者
这个.KRAB版本GANDCRAB勒索软件的感染过程与旧版本的感染过程非常相似。勒索软件作者的目标是使用恶意附件,通常是微软Office文档或. pdf文件,其主要目的是欺骗用户启用宏。这些文档常常被用来欺骗用户,除非启用,否则他们无法读取文档中的内容。研究人员Marcelo Rivero发现了这样一个文件,该文件是PDF格式的收据,会导致用户感染GANDCRAB V4。感染链如下:
研究人员发现,携带勒索软件的电子邮件正在以.7z压缩文件的形式传播附件,压缩文件的名称与包含在其中的PDF文档的名称完全相同。电子邮件中的信息本身旨在说服用户,该附件非常重要,应立即打开。在下面,你可以看到其中一封带有恶意GANDCRAB附件的电子邮件:
原文:
From: Deanna Bennett <>
Subject: Payment Invoice #93611
Attachment: DOC402942349491-PDF.7Z
Dear Customer,
To read your document please open the attachment and reply as soon as possible.
Kind regards,
TCR Customer Support
译文:
来自:Deanna Bennett <>
主题:付款发票#93611
附件:DOC402942349491-PDF.7Z
尊敬的客户:
阅读您的文件,请打开附件并尽快回复。
亲切的问候,
TCR客户支持
当然,还有其他主题和其他电子邮件,因为GANDCRAB V4背后的网络犯罪分子可能创建了大量的电子邮件模板,以避免他们的电子邮箱地址被电子邮件服务提供商的检测软件所标记。以下是你可能在电子邮件中遇到的一些主题,其中包含GANDCRAB V4勒索软件:
l Document #72170(文档#72170)
l Invoice #21613(发票#21613)
l Order #87884(订单#87884)
l Payment #72985(付款#72985 )
l Payment Invoice #58058(付款发票#58058)
l Payment Invoice #93611(付款发票#93611)
l Ticket #07009(票#07009)
l Your Document #78391(您的文档#78391)
l Your Order #16323(您的订单#16323)
l Your Ticket #23428(您的票#23428)
除了含有恶意宏的文档之外,GANDCRAB V4勒索软件还可能会通过单击.7z文件感染你。因为研究人员已经报告说,恶意软件可能会自动提取一个具有相同名称的.JS(JavaScript)文件,该文件会自动启动感染过程:
GANDCRAB V4勒索软件分析
一旦恶意.JS文件或会导致GANDCRAB V4勒索软件感染的恶意宏被执行,勒索软件就会开始其恶意活动。.JS文件会删除一个可执行文件类型的文件,它通常是随机命名的或类似于合法的Windows程序。该文件被删除的可能位置如下所示:
C:Users{Your Username}AppData{malicious file name}.exe
HASH of the file: 97a910c50171124f2cd8cfc7a4f2fa4f
然后,该勒索软件使用“RunOnce”注册表子键,在该子键中添加REG_SZ类型的注册表值。这样做的目的是让恶意文件在Windows启动时自动运行。此过程可能导致在Windows登录时自动执行勒索软件的.exe文件。你可以找到值类型字符串的RunOnce子键具有以下位置:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
GANDCRAB V4勒索软件还会确保受害者阅读其赎金票据,其中包含如何下载和安装Tor浏览器的说明,以通过访问勒索软件的网页匿名支付赎金。赎金票据有两个名称——CRAB-DECRYPT.txt或KRAB-DECRYPT.txt,并为受害者提供以下消息:
原文:
–= GANDCRAB V4 =—
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
—————————————————————————————-
| 0. Download Tor browser – https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser:
| 4. Follow the instructions on this page
—————————————————————————————-
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
—BEGIN GANDCRAB KEY—
—END GANDCRAB KEY—
—BEGIN PC DATA—
—END PC DATA—
译文:
– = GANDCRAB V4 = –
注意!
所有文件、文档、照片、数据库和其他重要文件都已加密并具有扩展名:.KRAB
恢复文件的唯一方法是购买唯一的私钥。只有我们可以给你这个密钥,也只有我们可以恢复你的文件。
带有密钥的服务器位于封闭的网络TOR中。您可以通过以下方式到达那里:
——————————
| 0.下载Tor浏览器 – https://www.torproject.org/
| 1.安装Tor浏览器
| 2.打开Tor浏览器
| 3.在TOR浏览器中打开链接:
| 4.按照此页上的说明操作
——————————
在我们的页面上,您将看到付款说明,并有机会免费解密1个文件。
注意!
为了防止数据损坏:
*请勿修改加密文件
*请勿更改下列数据
-BEGIN GANDCRAB
KEY- -END GANDCRAB KEY-
-BEGIN PC DATA-
-END PC DATA-
当受害者在Tor浏览器中打开网页时,对于这个版本也会看到与其他GANDCRAB变种类似的网页:该网页还提供实时聊天以及如何支付赎金以获得所谓的GandCrab解密器的详细说明:
GANDCRAB V4勒索软件的加密过程
GANDCRAB勒索软件采用了一套非常复杂和成熟的加密程序,利用了以下加密算法的组合:
l AES-256(Advanced Encryption Standard算法)
l RSA-2048(Rivest-Shamir-Adleman算法)
这两种密码分别具有256位和2048位的加密强度,如果你不知道解密密钥,这些密码就不可能被解码。为了使情况进一步复杂化,GANDCRAB V4勒索软件还通过一种称为CBC模式的方式加密文件。此模式以防篡改的方式对加密文件进行链锁。为了更好地解释这一点,GANDCRAB V4按照以下方式加密文件:
步骤1:勒索软件扫描它想要加密的文件(文档、视频、图像、音频文件、归档等),同时排除Windows目录中可能会损坏PC功能的文件。
步骤2: GANDCRAB V4通过创建原始文件的副本来加密文件,原始文件包含替换的数据块。坏消息是,CBC模式将这些块连接在一起,如果文件被篡改,CBC模式将对其进行永久性破坏。
步骤3:加密后,勒索软件为每个文件生成一个唯一的解密密钥。所有文件都可能链接在一个KEY文件中,该文件也是加密的,因此如果没有解密密钥就无法解密文件。
步骤4:GANDCRAB V4勒索软件将.KRAB文件扩展添加到文件的加密副本中,并删除原始文件。这使加密文件显示如下:
步骤5:勒索软件可能在Windows命令提示符下以管理员身份触发以下命令:
→ sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:WindowsSystem32cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
这样做的目的是为了删除受感染计算机的卷影副本,以便用户无法使用Windows Recovery恢复文件。
删除GANDCRAB V4勒索软件及恢复.KRAB加密文件
删除GANDCRAB V4勒索软件可能比看起来更复杂,因为这个勒索软件可能包含多种防御技术,可能会永久性损坏你的文件和计算机。手动删除勒索软件的一种方法是如果你按照本文中提供的手动删除说明进行操作,并利用这些信息自行删除勒索软件。请记住,你必须真正了解你在做什么,因为你有永久性丢失文件的风险。
安全分析师经常建议的另一种删除方法是下载并安装有效的防病毒软件。此类程序将自动扫描并删除所有与GANDCRAB V4相关的恶意文件,并确保病毒安全地从你的计算机中删除。
如果你想恢复你的加密文件,直接尝试解密它们不是一个好主意,除非有官方的解密器可用。支付赎金是一种方法,但这不是可取的,主要是因为即使在你付款后也可能无法获得你的文件。通过支付,你相当于也支持了网络犯罪分子的运作。因此,我们建议你尝试使用在本文中提供的文件恢复替代方法来恢复由GANDCRAB V4加密的文件。它们的创建旨在帮助你尝试恢复由GANDCRAB V4删除的原始文件,并通过使用数据恢复软件来恢复一些或大部分文件,具体取决于被删除文件的情况。这些方法并不能保证100%有效地恢复你的数据,但它们的主要目标是帮助你恢复尽可能多的文件,因为它们已经帮助了我们论坛上的一些用户。
从你的计算机手动删除GANDCRAB V4
(1)启动你的计算机,在安全模式下隔离并删除GANDCRAB V4文件和对象。
l 对于Windows XP、Vista和7系统:
第1步:删除所有CD和DVD,然后从“ 开始(Start) ”菜单重新启动你的PC。
第2步:选择下面提供的两个选项之一:
l 对于使用单一操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按下“ F8 ”。如果屏幕上出现Windows图标,则必须重新执行这个操作。
l 对于具有多种操作系统的PC:方向键可以帮助你选择你希望以安全模式启动的操作系统。按照单个操作系统所述的方法,按“ F8”。
第3步:随着“ 高级启动选项(Advanced Boot Options) ”屏幕出现,请使用方向键选择所需的安全模式选项。在你做出选择时,请按“ 回车(Enter) ”。
第4步:使用管理员帐户登录到你的计算机。当你的电脑处于安全模式时,“ 安全模式(Safe Mode) ”字样将出现在屏幕的所有四个角落。
l 对于Windows 8、Vista8.1和10系统:
第1步:打开开始菜单。
第2步:点击Power按钮(对于Windows 8,它是“Shut Down”按钮旁边的小箭头),同时按住“Shift”,点击“重新启动(Restart)”。
第3步:重启后,会出现一个带选项的蓝色菜单,选择“疑难解答(Troubleshoot)”。第4步:你将看到疑难解答菜单。从这个菜单中选择“高级选项( Advanced Options)”。第5步:在高级选项菜单中点击“启动设置(Startup Settings)”。第6步:从启动设置菜单中,单击“重新启动(Restart)”。第7步:重启后会出现一个菜单。你可以通过按下相应的号码来选择三种安全模式选项中的任何一种,设备将重新启动。l 修复PC上由GANDCRAB V4创建的注册表项:
一些恶意脚本可能会修改计算机的注册表项以更改不同的设置。这就是为什么我们强烈建议手动清理Windows注册表数据库。由于关于如何进行此操作的教程有点复杂,因此我们建议参照我们关于修改注册表项的指导文章。
(2)查找由GANDCRAB V4创建的恶意文件
l 适用于Windows 8、8.1和10:
第1步:在你的键盘上按Win键+R,然后在“运行(Run)”文本框中输入explorer.exe,然后点击“确定(OK)”按钮。第2步:点击快速访问栏中的“我的电脑(My Computer)”。这通常是带有显示器的图标,其名称可以是“My Computer”、“My PC”、“This PC”或任何你自己命名的图标名称。
第3步:导航到PC屏幕右上角的搜索框并键入“fileextension:”,然后键入文件扩展名。如果你正在寻找恶意的可执行文件,一个例子可能是“fileextension:exe”。做完这些之后,请留出空格并输入你认为的恶意软件已创建的文件名。以下是文件被找到时可能会出现的形式:l 适用于Windows XP、Vista和7
第1步:点击“开始菜单(Start Menu)”图标(通常在左下角),然后选择“搜索(Search)”选项。第2步:搜索窗口出现后,从搜索助理框中选择“更多高级选项(More Advanced Options)”。另一种方法是单击“所有文件和文件夹(All Files and Folders)”。第3步:在那之后输入你想要查找的文件的名称,然后单击“搜索(Search)”按钮。这可能需要一段时间后才会出现结果。如果你发现了恶意文件,你可以通过右键复制或打开其所在的位置。
通过下载有效的防病毒软件来自动删除GANDCRAB V4
这里你可以选择自己信任的防病毒软件品牌,具体使用方法会略有不同。
恢复被GANDCRAB V4加密的文件
像GANDCRAB V4这样的勒索软件感染旨在使用加密算法加密你的文件,这可能很难直接解密。这就是为什么我们建议了几种可以帮助你绕过直接解密,并尝试恢复文件的替代方法。请记住,它们可能不是100%有效的,但在某些情况下,它们可能会或多或少地帮到你。
方法1:使用数据恢复软件扫描驱动器的扇区
恢复文件的另一种方法是尝试使用数据恢复软件。以下是首选数据恢复软件解决方案的一些建议:
l Stellar Phoenix Data Recovery Technicians License(Pro version with more features)
l Stellar Phoenix Windows Data Recovery
l Stellar Phoenix Photo Recovery
方法2:尝试卡巴斯基和EmsiSoft的解密器
如果第一种方法不起作用,我们建议尝试使用用于其他勒索软件的解密器,以防止该病毒是它们的变种。解密器的两个主要开发者是卡巴斯基和EmsiSoft,我们在下面提供了链接:
方法3:使用Shadow Explorer
你可以通过备份来恢复你的数据,前提是勒索软件尚未删除它,请使用这个软件在Windows中检查卷影副本:
方法4:通过网络嗅探器在通信时查找GANDCRAB V4解密密钥
解密文件的另一种方法是使用网络嗅探器获取加密密钥,当你系统上的文件被加密时。网络嗅探器是一种程序或设备,用于监视在网络上传输的数据,例如internet流量和internet数据包。如果你在攻击发生之前设置了嗅探器,则可能会获得有关解密密钥的信息。请参阅以下操作说明:有关如何查找被勒索软件加密的文件解密密钥的说明
审核人:yiwang 编辑:边边