Ransomware GANDCRAB V5.0

Também Conhecido Como: Vírus GANDCRAB V5.0
Distribuição: Moderado
Nível de Estragos: Grave

Instruções de remoção do ransomware GANDCRAB V5.0

O que é GANDCRAB V5.0?

Descoberto pelo pesquisador de segurança de malware,  S!Ri, GANDCRAB V5.0 é uma variante atualizada de um ransomware de alto risco denominado GANDCRAB 3. Imediatamente após a infiltração, o GANDCRAB V5.0 encripta a maioria dos dados armazenados, impossibilitando o uso. Ao fazer isso, GANDCRAB V5.0 acrescenta nomes de ficheiros com extensão aleatória (por exemplo, "sample.jpg" poderia ser renomeado para algo como "sample.jpg.vsvdv"). Depois que a encriptação termina, GANDCRAB V5.0 altera o fundo de ambiente de trabalho da vítima e gera um html (por exemplo, "VSVDV-DECRYPT.html") e descarta uma cópia em todas as pastas existentes.

O novo fundo de ambiente de trabalho contém uma mensagem a informar que os dados são encriptados e incentivam os utilizadores a seguir as instruções de desencriptação em "VSVDV-DECRYPT.html". Este ficheiro também afirma que os dados são encriptados e que a vítima deve visitar o site do GANDCRAB V5.0 na rede Tor para receber a chave de desencriptação que é necessária para restaurar os dados. Depois de abrir o site, os utilizadores recebem uma mensagem a informar que, para receber a vítima principal, é necessário pagar um resgate de $800 em moedas encriptadas de Bitcoin ou DASH. O site também contém um cronómetro de contagem regressiva que indica a hora em que o preço dobrará. O problema é que os criminosos virtuais nunca são confiáveis. Os resultados da pesquisa demonstram que os desenvolvedores de ransomware ignoram as vítimas após isso que os pagamentos são enviados. Por esta razão, é muito provável que pagar não dará resultado positivo e os utilizadores simplesmente serão enganados. Por esse motivo, recomendamos ignorar todos os incentivos para enviar pagamentos, bem como entrar em contato com essas pessoas. Não existem ferramentas capazes de quebrar a encriptação do GANDCRAB V5.0 e restaurar dados gratuitamente. A única solução possível é restaurar tudo de um cópia de segurança.

Screenshot de uma mensagem incentivando os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de GANDCRAB V5.0

A Internet está cheia de vírus do tipo ransomware semelhantes a GANDCRAB V5.0. QinynoreRektwareSAVEfiles, e BadNews são apenas alguns exemplos de uma longa lista. Apesar do fato de que os desenvolvedores serem diferentes, todas essas aplicações comportam-se exatamente da mesma forma - encriptar dados e fazer exigências de resgate. Normalmente, existem apenas duas diferenças principais: 1) tipo de algoritmo de encriptação usado e; 2) tamanho do resgate. O problema é que a maioria desses vírus emprega RSA, AES e/ou outras encriptações que geram chaves de desencriptação exclusivas. Portanto, a menos que o vírus não esteja totalmente desenvolvido ou tenha certos bugs/falhas, o restauro de dados sem a interferência dos desenvolvedores é impossível. O ransomware é uma das principais razões pelas quais deve manter cópias de seguranças regulares de dados. Contudo, certifique-se de armazená-los num dispositivo de armazenamento desligado ou num servidor remoto. Caso contrário, serão encriptados juntamente com ficheiros regulares.

Como é que o ransomware infectou o meu computador?

O ransomware é muitas vezes proliferado a usar campanhas de spam de e-mail, trojans, fontes de descarregamento de software de terceiros e atualizadores de software falsos. As campanhas de spam exibem anexos fraudulentos (documentos do MS Office, ficheiros JavaScript ou semelhantes) que, uma vez abertos, executam comandos que descarregam e instalam malwares. Os trojans são projetados para proliferar outros vírus - causam as chamadas "infecções em cadeia". Redes P2P, sites de hospedagem de ficheiros gratuitos, sites de descarregamento gratuito e outras fontes de descarregamento não oficiais apresentam executáveis fraudulentos como software legítimo, ao enganar os utilizadores para que descarreguem e instalem malware por conta própria. Atualizadores falsos infectam o sistema ao explorar bugs/falhas do software desatualizado ou descarregar e instalar malware em vez de atualizações prometidas. Em última análise, as principais razões para as infecções por computador são o conhecimento pobre e o comportamento imprudente.

Como se proteger de infecções ransomware?

A chave para a segurança de TI é de precaução e, portanto, deve estar atento ao navegar na Internet e descarregar/instalar o software. Certifique-se sempre de analisar cuidadosamente cada e-mail recebido. Ficheiros que pareçam irrelevantes e/ou foram recebidos de endereços de e-mail suspeitos/irreconhecíveis nunca devem ser abertos. É aconselhável transferir programas apenas de fontes oficiais, usando links de descarregamento direto em vez de descarregadores/instaladores. Os descarregadores/instaladores de terceiros geralmente incluem programas fraudulentos, e é por isso que tais ferramentas não devem ser usadas. Mesmo para a regras de atualizações de software. É importante manter as aplicações instaladas atualizadas. Para isso, no entanto, use apenas funcionalidades implementadas ou ferramentas fornecidas pelo desenvolvedor oficial. Ter um pacote antivírus/anti-spyware instalado e em execução é fundamental. A chave para a segurança do computador é precaução. Se o seu computador já está infectado com GANDCRAB V5.0, recomendamos fazer a verificação com Spyhunter para eliminar automaticamente.

Texto apresentado no ficheiro de texto do ransomware GANDCRAB V5.0:

---= GANDCRAB V5.0 =---
Atenção!
Todos os ficheiros, bancos de dados, documentos, fotos e outros arquivos importantes são criptografadas e ter a extensão: .VSVDV
O único método de recuperação de ficheiros é a compra de um software de desencriptar a única chave privada. Apenas podemos dar-lhe esta chave e só podemos recuperar seus arquivos.
O servidor com a sua chave está numa rede fechada TOR. Pode chegar lá das seguintes maneiras:>

---------------------------------------------------------------------------------------->

Descarregue o navegador Tor - hxxps://www.torproject.org/
Instale o navegador Tor
Abra o Navegador Tor
Abra o link no navegador TOR: hxxp://gandcrabmfe6mnef.onion/113737081e857d00
Siga as instruções nesta página

----------------------------------------------------------------------------------------

Na nossa página verá instruções de pagamento e terá a oportunidade de desencriptar 1 ficheiro gratuitamente.
ATENÇÃO!
PARA PREVENIR DANOS DE DADOS:
* NÃO RENOMEIE FICHEIROS ENCRIPTADOS
* NÃO MUDE OS DADOS ABAIXO

Screenshot do fundo de ambiente de trabalho do GANDCRAB V5.0:

Fundo de ambiente de trabalho do GANDCRAB V5.0

Screenshot do website GANDCRAB V5.0':

Website GANDCRAB V5.0

Texto apresentado neste site:

O que importa?

 

O seu computador foi infectado pelo ransomware GandCrab. Os seus ficheiros foram encriptados e não pode desencriptá-los por conta própria.

 

Na rede, provavelmente encontrará descodificadores e softwares de terceiros, mas isso não ajudará e só poderá tornar os seus ficheiros não seguros.

 

O que posso fazer para recuperar os meus ficheiros?

 

Deve comprar o GandCrab Decryptor. Este software irá ajudá-lo a desencriptar todos os seus ficheiros encriptados e a remover o Ransomware GandCrab do seu PC.

 

Preço atual: $800.00. Como pagamento, precisa de encriptação DASH ou Bitcoin

 

Que garantias pode dar-me?

 

Pode usar a desencriptação de teste e desencriptar 1 ficheiro gratuitamente

 

O que é cripto moeda e como posso comprar o GandCrab Decryptor?

 

Pode ler mais detalhes sobre cripto moeda no Google ou aqui.

 

Como pagamento, tem que comprar DASH ou Bitcoin a usar um cartão de crédito, e enviar moedas para o nosso endereço.

 

Como posso pagar?

 

Tem que comprar Bitcoin ou DASH com um cartão de crédito. Links para serviços onde pode fazer isso: Lista de trocas de traços, lista de trocas de Bitcoin

 

Depois disso, vá para a nossa página de pagamento. Compre o GandCrab Decryptor, escolha a sua forma de pagamento e siga as instruções.

Screenshot de ficheiros encriptados por GANDCRAB V5.0 ("extensão aleatória"):

Ficheiros encriptados por GANDCRAB V5.0

Remoção de ransomware GANDCRAB V5.0:

Remoção imediata automática de Vírus GANDCRAB V5.0: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de Vírus GANDCRAB V5.0. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu Rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus GANDCRAB V5.0. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware GANDCRAB V5.0 no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware GANDCRAB V5.0 restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de GANDCRAB V5.0 são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por GANDCRAB V5.0 também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como GANDCRAB V5.0.)

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware GANDCRAB V5.0:

Fonte: https://www.pcrisk.com/removal-guides/13664-gandcrab-v50-ransomware