Verwijder GandCrab 3 virus (Verwijdering Instructies) - jul 2018 update
GandCrab 3 virus Verwijdering Handleiding
Wat is GandCrab 3-gijzelsoftware?
GandCrab v3 – gevaarlijk gijzelsoftware-virus dat onderdeel uitmaakt van de beruchte GandCrab-familie
GandCrab 3 is een crypto-virus dat functioneert als een derde versie van de beruchte GandCrab-gijzelsofware. Eind april 2018, slechts een paar maanden na de release van GandCrab2, sloegen de hackers opnieuw toe met nieuwe kracht en richtten zich op met name Rusland, Wit-Rusland, Kazachstan en de pc-gebruikers in Oekraïne. GandCrab v3 geeft de AES-256 (CBC-modus) + RSA-2048-codering weer om persoonlijke bestanden te definiëren en vervolgens te markeren met de .CRAB-bestandsextensie. Het bestand CRAB-DECRYPT.txt staat voor een losgeldbrief met een expliciete handleiding over hoe het slachtoffer het losgeld moet betalen. Er worden alleen Bitcoins geaccepteerd.
Naam | GandCrab 3 |
---|---|
Versies | GandCrab, GandCrab 2 |
Classificatie | Gijzelsoftware |
Bestands extensie | .CRAB |
Losgeldbrief | CRAB-DECRYPT.txt |
Belangrijkste symptomen | Persoonlijke bestanden ontoegankelijk, losgeldbrief gemaakt op de desktop, trage pc, gecompromitteerde bureaublad-achtergrond, browser omleidingen naar betalingswebsite |
Voornaamste gevaren |
Het brengt het systeem in gevaar en kan een crash van uw computersysteem veroorzaken. Persoonlijke bestanden kunnen permanent worden verwijderd. Kost geld |
Het handmatig verwijderen van gijzelsoftware is niet mogelijk. Om er vanaf te komen, zou u een professionele anti-malware moeten gebruiken zoals FortectIntego |
Eind april 2018 hebben cybersecurity-experts een voorbeeld van de GandCrab v3-gijzelsoftware gedetecteerd. Genealogisch gezien zijn zijn voorgangers GandCrab en GandCrab 2-versies, die beide uiterst succesvol bleken te zijn gezien vanuit het perspectief van de oplichters. De eerste release slaagde erin om binnen minder dan vier maanden meer dan 600.000 USD te verzamelen.
Hoewel de eerste variant al kan worden gedecodeerd, is dat bij de v2 niet mogelijk. De GandCrab 3-decryptor is ook nog niet beschikbaar.
Momenteel is het nog niet honderd procent duidelijk welke distributietechnieken cybercriminelen gebruiken om deze malware te verspreiden. Op basis van de verzamelde informatie over deze malware kunnen de volgende methoden worden toegepast:
- Magnitude Exploit Kit;
- Rig Exploit Kit;
- GrandSoft Exploit Kit;
- Naadloze malvertisingcampagne;
- Ontvangst Feb-21310 [willekeurige nummers] bijlage van spam e-mail;
- Fake Hoefler tekstlettertype-updates;
- Externe bureaubladdiensten gehackt, enz.
Na de codering verwijdert het GandCrab 3-virus de opstartvolgorde van de Volume Schaduwkopieën met behulp van de opdracht Prompt en PowerShell als beheerder en worden de AES-256 (CBC-modus) + RSA-2048-versleutelingsalgoritmen ongedaan gemaakt. Op de achtergrond van het systeem voert de malware random.exe uit. Het kan ook het bestand explorer.exe kapen en het systeem dwingen opnieuw op te starten om de codering te beëindigen.
Net als de vorige versie voegt het de .CRAB-bestandsextensie toe aan de gecodeerde bestanden. Het is gericht op meer dan 250 bestandstypen, waaronder de meest populaire (.jpg, .png, .doc, .pdf, .avi, .docx, enz.). Zodra de bestanden zijn gecodeerd, genereert het virus een losgeldbrief genaamd CRAB-DECRYPT.txt. De tekst daarvan is als volgt:
—= GANDCRAB V3 =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter “username”: 21b1a2d1729f0695
1) Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!
In tegenstelling tot de vorige twee versies die DASH-cryptocurrency accepteerden, eist de nieuwste versie dat slachtoffers het losgeld betalen in Bitcoins. Bovendien ontdekten malware-onderzoekers dat de herkomst van de GandCrab-3 Roemenië is.
Als u ook maar het minste vermoeden hebt dat uw systeem is geïnfecteerd met deze gijzelsoftware, zorg er dan voor dat u GandCrab 3 zo snel mogelijk uit het systeem verwijdert. Daarvoor raden we aan om FortectIntego, SpyHunter 5Combo Cleaner of Malwarebytes antivirusprogramma's te gebruiken. Zolang u het geïnstalleerd houdt, kunt u uw bestanden niet herstellen zonder het losgeld te betalen.
Na het verwijderen van GandCrab v3 moet u proberen bestanden op te halen die zijn vergrendeld met de extensie .CRAB met behulp van hulpprogramma's voor gegevensherstel van derden of proberen om een eerdere Windows-versie in te schakelen. U vindt een volledige gids over het herstellen van bestanden die zijn gecodeerd door de gijzelsoftware aan het einde van dit artikel.
GandCrab 3 - een nieuwe versie van de GandCrab-gijzelsoftware die de .CRAB-bestandsextensie gebruikt en losgeld eist in Bitcoins
Criminelen kunnen meerdere technieken gebruiken om de malware te verspreiden
Het Bedynet.ru -team beweert dat het niet erg waarschijnlijk is dat deze specifieke gijzelsoftware zich zal beperken tot één distributiemethode. Hoewel het tot nu toe de mainstream-distributie bereikte, is het moeilijk om de hele lijst met technieken precies te noemen.
Desondanks moeten mensen voorzichtig zijn met de Kwitantie Feb-21310 [willekeurig genummerd] bijlage verzonden van [willekeurige naam]@cdkconstruction.org. Zodra u een verdachte e-mail van de onbekende afzender ontdekt, raden we u ten zeerste aan om dit onmiddellijk als spam te melden.
Exploit Kits, waaronder Magnitude, RIG en GrandSoft staan ook bekend als veelgebruikte gijzelsoftwaredragers. Om te voorkomen dat schadelijke software misbruik maakt van de kwetsbaarheden van uw pc, moet u ervoor zorgen dat alle updates en patches van het systeem worden geïnstalleerd.
Niet te vergeten, wees voorzichtig met een gratis download op het net. Het is gebleken dat veel verdachte en illegale websites nep-software-updatedownloads bevatten. Een van de voorbeelden die wordt gebruikt om de voorouder van deze gijzelsoftware te verspreiden, is nep Hoefler TextFont. Het potentiële slachtoffer wordt omgeleid naar een gehackte website die gecodeerde tekst weergeeft en een pop-upmelding weergeeft waarin wordt gevraagd om de nieuwste lettertype-update te downloaden om de inhoud te bekijken.
GandCrab-3-verwijderingsopties
Er is maar één mogelijkheid om de GandCrab v3-gijzelsoftware van het systeem te verwijderen. Het wordt automatisch genoemd omdat het het gebruik van een professioneel anti-malware programma vereist. Handmatige verwijdering, wanneer u uzelf probeert te ontdoen van kwaadaardige bestanden, is praktisch onmogelijk tenzij u het niet erg vindt om het systeem en de gecodeerde bestanden permanent te beschadigen.
In plaats daarvan raden we u ten zeerste aan om een professioneel beveiligingsprogramma te gebruiken, bijvoorbeeld FortectIntego, voor het handmatig verwijderen van schadelijke bestanden. Na de succesvolle verwijdering van Gandcrab 3, probeert u uw bestanden te herstellen met behulp van de methoden voor gegevensherstel die hieronder worden vermeld.
Manuele GandCrab 3 virus Verwijdering Handleiding
Gijzelsoftware: handmatig gijzelsoftware verwijderen in veilige modus
De gijzelsoftware kan u ervan weerhouden de gijzelsoftware te verwijderen. In dit geval moet u uw pc opnieuw opstarten in de veilige modus met netwerkmogelijkheden. Hiervoor doet u het volgende:
Belangrijk! →
Een handmatige verwijdering gids zou te ingewikkeld kunnen zijn voor occasionele computergebruikers. Het vereist dat geavanceerde IT-kennis correct worden uitgevoerd (als vitale systeembestanden worden verwijderd of beschadigd, kan dit leiden tot een volledige aantasting van Windows), en het kan ook uren duren om te voltooien. Daarom raden wij je aan de automatische methode hierboven te gebruiken.
Stap 1. Toegang tot veilige modus met netwerken
Handmatige verwijdering van malware kan het beste worden uitgevoerd in de veilige modus.
Windows 7 / Vista / XP
- Klik Start > Afsluiten > Herstart > OK
- Wanneer je computer actief wordt, druk dan op de F8 toets (als dat niet werkt, probeer dan F2, F12, Del, enz. – het hangt allemaal af van je moederbord model) meerdere malen totdat je het Advanced Boot Options venster ziet.
- Selecteer Veilige Modus met Netwerk in de lijst.
Windows 10 / Windows 8
- Klik met de rechtermuisknop op Start en selecteer Instellingen.
- Scroll naar beneden en kies Update & Security.
- Kies Herstel aan de linkerkant van het venster.
- Scroll nu naar beneden naar het onderdeel Geavanceerd opstarten.
- Klik op Nu opnieuw heropstarten.
- Selecteer Probleemoplossing
- Ga naar Geavanceerde opties.
- Selecteer Opstartinstellingen.
- Klik op Herstarten.
- Klik nu op 5 of klik op 5) Veilige modus met Netwerken inschakelen.
Stap 2. Sluit verdachte processen af
Windows Taakbeheer is een handig hulpmiddel dat alle processen toont die op de achtergrond draaien. Als malware een proces uitvoert, moet je het afsluiten:
- Klik op Ctrl + Shift + Esc op je toetsenbord om Windows Taakbeheer te openen.
- Klik op Meer details.
- Scroll naar beneden naar het gedeelte Achtergrond processen en kijk of er iets verdachts is.
- Klik met de rechtermuisknop en selecteer Open bestandslocatie.
- Go back to the process, right-click and pick End Task.
- Verwijder de inhoud van de schadelijke map.
Stap 3. Controleer programma Opstarten
- Klik op Ctrl + Shift + Esc op je toetsenbord om Windows Taakbeheer te openen.
- Ga naar tabblad Opstarten.
- Klik met de rechtermuisknop op het verdachte programma en kies Uitschakelen.
Stap 4. Verwijder virusbestanden
Malware-gerelateerde bestanden kunnen op verschillende plaatsen in je computer worden gevonden. Hier zijn instructies die je kunnen helpen ze te vinden:
- Typ in Windows Zoeken Schijfopruiming in en klik op Enter.
- Selecteer de schijf die je wilt opschonen (C: is standaard je hoofdschijf en is waarschijnlijk de schijf met de schadelijke bestanden).
- Blader door de lijst met te verwijderen bestanden en selecteer het volgende:
Temporary Internet Files
Downloads
Recycle Bin
Temporary files - Kies systeembestanden opschonen.
- Je kunt ook zoeken naar andere schadelijke bestanden die verborgen zijn in de volgende mappen (typ deze items in Windows Zoeken en klik op Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Herstart de pc in normale modus wanneer je klaar bent.
Verwijder GandCrab 3 door System Restore te gebruiken
-
Stap 1: Herstart je computer in Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klik op Start → Shutdown → Restart → OK.
- Als je pc actief wordt begin dan meerdere keren te drukken op F8 tot je het Advanced Boot Options venster ziet
- Selecteer Command Prompt uit de lijst
Windows 10 / Windows 8- Druk op de Power knop in het Windows aanmeld scherm. Druk nu op Shift op je toetsenbord en hou ingedrukt, en klik dan op Restart.
- Selecteer nu Troubleshoot → Advanced options → Startup Settings en tenslotte druk op Restart
- Zodra je pc actief wordt, selecteer je Enable Safe Mode with Command Prompt in het Startup Settings venster
-
Stap 2: Herstel je systeembestanden en instellingen
- Zodra het Command Prompt venster verschijnt, geef je cd restore in en klik op Enter
- Typ nu rstrui.exe en klik opnieuw op Enter.
- Als een nieuw venster verschijnt, klik je op Next en seleteer het herstelpunt dat voor de infiltratie van GandCrab 3 is. Klik nadien op Next
- Klik nu op Yes om het systeemherstel te starten
Bonus: Herstel je data
De handleiding hierboven wordt verondersteld je te helpen bij het verwijderen van GandCrab 3 van je computer. Om je gecodeerde bestanden te herstellen, raden we je aan om de gedetailleerde handleiding te gebruiken die opgesteld werd door zondervirus.nl beveiliging expertenHelaas worden uw bestanden niet hersteld na verwijdering van GandCrab 3. Na het elimineren van virussen moet u hulpprogramma's voor gegevensherstel van derden gebruiken. Onze aanbevolen opties worden hier verstrekt:
Als je bestanden gecodeerd werden door GandCrab 3, kan je verschillende methodes gebruiken om ze te herstellen
Gebruik Data Recovery Pro
De Data Recovery Pro is een betrouwbaar softwareprogramma dat gegevens kan herstellen die verloren zijn gegaan door een gijzelsoftware-aanval, per ongeluk wissen of door een systeemcrash.
- Download Data Recovery Pro;
- Volg de stappen in de Data Recovery Setup en installeer het programma op je computer;
- Start het en scan je computer op bbestanden gecodeerd door de GandCrab 3 ransomware;
- Herstel ze.
Vorige Windows-versie inschakelen
In het geval dat u de SystemRestore-functie gebruikt, moet het systeem automatisch systeemherstelpunten maken. U kunt deze herstelpunten natuurlijk zelf instellen. Ga als volgt te werk om te controleren of het mogelijk is om bestanden te herstellen met de functie vorige versie:
- Zoek een gecodeerd bestand dat je moet herstellen en rechter muisklik erop
- Selecteer “Properties” en ga naar de “Previous versions” tab;
- Controleer hier alle beschikbare kopieën van het bestand in “Folder versions”. Selecteer de versie die je wil herstellen en klik op “Restore”.
ShadowExplorer
ShadowExplorer helpt niet omdat de gijzelsoftware de Volume Schaduwkopieën verwijdert.
- Download Shadow Explorer (http://shadowexplorer.com/);
- Volg de Shadow Explorer Setup Wizard en installeer deze toepassing op je computer;
- Start het programma en doorloop het drop down menu in de linker bovenhoek om de schijf van je gecodeerde data te selecteren. Kijk welke mappen er zich bevinden;
- Rechter muisklik op de map die je wilt herstellen en selecteer “Export”. Je kan ook selecteren waar je het wilt bewaren.
Er is geen decryptor beschikbaar voor Gandcrab v3
Tenslotte zou je er steeds moten aan denken om je pc te beschermen tegen crupto-ransomware. Om je pc tegen GandCrab 3 en andere ransomwares te beschermen, gebruik je best een betrouwbare anti-spyware zoals FortectIntego, SpyHunter 5Combo Cleaner of Malwarebytes
Aanbevolen voor jou
Laat u niet bespioneren door de overheid
De overheid heeft veel problemen met het bijhouden van gebruikersgegevens en het bespioneren van burgers, dus u moet hier rekening mee houden en meer leren over dubieuze informatieverzamelingspraktijken. Vermijd ongewenste tracering door de overheid of spionage door volledig anoniem op het internet te surfen.
U kunt een andere locatie kiezen wanneer u online gaat en toegang krijgen tot eender welk gewenst materiaal, zonder bijzondere inhoudelijke beperkingen. Door gebruik te maken van Private Internet Access VPN, kunt u eenvoudig genieten van een internetverbinding zonder risico's op hacken.
Controleer de informatie die toegankelijk is voor de overheid of elke andere ongewenste partij en surf online zonder bespioneerd te worden. Ook als u niet betrokken bent bij illegale activiteiten of vertrouwen heeft in uw selectie van diensten en platformen, dient u voor uw eigen veiligheid achterdochtig te zijn en voorzorgsmaatregelen te nemen door gebruik te maken van een VPN-dienst.
Back-upbestanden voor later gebruik, in het geval van een malware-aanval
Softwareproblemen als gevolg van malware of direct gegevensverlies door versleuteling kunnen leiden tot problemen met uw apparaat of permanente schade. Als u over goede, actuele back-ups beschikt, kunt u na een dergelijke gebeurtenis gemakkelijk herstellen en weer aan het werk gaan.
Het is van essentieel belang om updates te maken van uw back-ups na eventuele wijzigingen op het apparaat, zodat u terug kunt keren naar het punt waar u aan werkte wanneer malware iets verandert of problemen met het apparaat gegevens- of prestatiecorruptie veroorzaken. Vertrouw op dergelijk gedrag en maak een dagelijkse of wekelijkse back-up van uw bestanden.
Als u beschikt over de vorige versie van elk belangrijk document of project, kunt u frustratie en problemen voorkomen. Het komt goed van pas wanneer malware uit het niets opduikt. Gebruik Data Recovery Pro voor systeemherstel doeleinden.