Ransomware GandCrab 5.0.9

Também Conhecido Como: Vírus GandCrab 5.0.9
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware GandCrab 5.0.9

O que é GandCrab 5.0.9?

O GandCrab 5.0.9 é uma infecção do tipo ransomware de alto risco denominada GandCrab. Esta variante foi descoberta por Marcelo Rivero. Como a maioria dos vírus deste tipo, é projetada para encriptar os dados, para inutilizar os ficheiros do utilizador afetado. Renomeia todos os ficheiros encriptados, acrescentando a ID das vítimas como extensão do ficheiro (por exemplo, ".wwzaf"). Por exemplo, renomeia "1. jpg" para "1.jpg.wwzaf" e assim por diante. O GandCrab 5.0.9 também gera uma nota de resgate num ficheiro de texto denominado "WWZAF-DECRYPT.txt", o seu nome depende da ID da vítima (o mesmo da extensão anexada). Esse ficheiro de texto é colocado em cada pasta que contém ficheiros encriptados. O GandCrab 5.0.9 também altera o papel de fundo da área de trabalho.

Uma vez executado, o ransomware GandCrab 5.0.9 abre uma janela pop-up com uma mensagem "Tornaremos a voltar muito em breve;)". Isso não diz muito, as principais informações são apresentadas no "WWZAF-DECRYPT.txt" (ou outro bilhete de resgate gerado). De acordo com os desenvolvedores do GandCrab 5.0.9, todos os dados do utilizador (como fotos, vários documentos, bancos de dados) foram encriptados/bloqueados e a única maneira de recuperá-los (desencriptar/desbloquear) é comprar uma chave de desencriptação privada. Por outras palavras, para pagar um resgate. Neste caso, as vítimas GandCrab 5.0.9 são obrigadas a descarregar um navegador Tor e abra o link apresentado usando este navegador específico, em seguida, siga as instruções. As vítimas deste ransomware são exortados a não tentar modificar os ficheiros encriptados. Não se sabe quais algoritmos de encriptação (simétricos ou assimétricos) os criminosos virtuais usavam para encriptar os ficheiros usando esse vírus do tipo ransomware. De uma forma ou outra, a maioria dos criminosos virtuais usa algoritmos que geram chaves exclusivas. Guardam em servidores remotos que são só controlados por eles. Além disso, não há nenhuma ferramenta capaz de quebrar a encriptação de GandCrab 5.0.9 gratuitamente, pelo menos não de momento. Note que os criminosos virtuais não são confiáveis, muitas vezes ignoram as suas vítimas, mesmo se comprarem a ferramenta/chave de desencriptação (pagar o resgate). É por isso que a melhor solução nesses casos é usar uma cópia de segurança existente e restaurar os ficheiros de lá.

Screenshot de uma mensagem a incentivar os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

instruções de desencriptação de GandCrab 5.0.9

StevenSeagalCmdRansomware e Risk - estes são apenas alguns exemplos de outros vírus deste tipo, existem muitos outros. Regra geral, os desenvolvedores de ransomware usam estas infecções por estes dois motivos: para encriptar dados e fazer pedidos de resgate. Normalmente, as únicas diferenças entre vírus deste tipo são o algoritmo de encriptação usado para encriptar e o tamanho de um resgate (preço da ferramenta/chave de desencriptação). Na maioria das vezes, uma desencriptação livre (sem interferência de criminosos virtuais) é impossível. A menos que o ransomware esteja num estado de desenvolvimento e tenha alguns bugs não fixos ou falhas. No entanto, para evitar a perda de dados recomendamos manter cópias de segurança regularmente e armazená-las em servidores remotos ou dispositivos de armazenamento desligados.

Como é que o ransomware infectou o meu computador?

Não se sabe como os desenvolvedores do GandCrab 5.0.9 proliferam essa infecção, no entanto, existem várias maneiras mais comumente usadas para alcançá-la. Os criminosos virtuais costumam usar campanhas de e-mail spam, trojans, vários canais de descarregamento de software não confiáveis e atualizações de software falsas. Usam campanhas de spam por e-mail enviando vários e-mails que contêm um anexo malicioso. O anexo apresentado pode ser o documento do Microsoft Office, o ficheiro executável (.exe), ficheiro morto (como RAR) ficheiro PDF e assim por diante. Computadores infectados quando estes anexos infectados são abertos/é dada uma permissão para executar ações maliciosas. Várias hospedagem de ficheiros grátis, sites de descarregamento de software grátis, redes de peer-to-peer (P2P) e outro software de descarregamento de fontes confiável podem ser usadas para apresentar ficheiros infectados como legítimos. Em tais casos as pessoas estão aser enganadas para descarregar e instalar o vírus por si. Os trojans são infecções projetadas para distribuir outros vírus. Ter um trojan instalado coloca um computador em risco de várias instalações adicionais de outros vírus. Os atualizadores de software falsos causam danos ao descarregar vírus em vez de atualizações ou ao explorar bugs ou falhas de alguns softwares instalados e desatualizados.

Resumo da Ameaça:
NomeVírus GandCrab 5.0.9
Tipo de AmeaçaRansomware, Vírus Cripto, Ficheiros de bloqueio
SintomasNão é possível abrir ficheiros armazenados no seu computador, os ficheiros anteriormente funcionais agora têm uma extensão diferente, por exemplo my.docx.locked. Uma mensagem exigente de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos estão a pedir para pagar um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Métodos de distribuiçãoMétodos de distribuição Anexos de e-mail infectados (macros), sites de torrent, anúncios maliciosos.
DanosTodos os ficheiros são encriptados e não podem ser abertos sem pagar um resgate. Os trojans adicionais de roubo de palavra-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware.
Remoção

Para eliminar Vírus GandCrab 5.0.9, os nossos pesquisadores de malware recomendam que verifique o seu computador com Spyhunter.
▼ Descarregar Spyhunter
O verificador gratuito verifica se o seu computador está infectado. Para remover malware, precisa de comprar a versão completa de Spyhunter.

Como se proteger de infecções por ransomware?

Para impedir os computadores de estarem infectados com vírus de tipo ransomware (ou outros), recomendamos fortemente para navegar na Internet, instalar, descarregar e atualizar o software cuidadosamente. Não abra os anexos que são apresentados em e-mails recebidos de endereços desconhecido/não confiáveis, desconfiados. Se acha que é irrelevante para um e-mail que recebeu, simplesmente ignore-o. Atualize o seu software (ou o próprio sistema operacional), usando funções implementadas ou ferramentas fornecidas pelos desenvolvedores oficiais apenas. Evite o descarregamento de qualquer software usando alguns sites não confiáveis, não oficiais, ou alguns descarregadores de terceiros. Várias vezes o descarregamento ou instalação de terceiros contêm frequentemente aplicações maliciosas que podem causar infecções de computador de alto risco. É sempre uma boa ideia ter um anti-spyware de renome e/ou um antivírus instalado. Esses programas geralmente detectam e eliminam vários vírus antes que possam causar qualquer dano ou prejudicar os computadores de qualquer forma. Se o seu computador já está infectado com GandCrab 5.0.9, recomendamos executar uma verificação com Spyhunter e elimine este ransomware.

Texto apresentado no ficheiro de texto "(victim's_ID)-DECRYPT.txt":

---= GANDCRAB V5.0.9 =---
***********************SOB NENHUMA CIRCUNSTÂNCIA NÃO EXCLUA ESTE FICHEIRO, ATÉ QUE TODOS OS DADOS SEJAM RECUPERADOS***********************
*****FALHAR A FAZÊ-LO, IRÁ RESULTAR NA SUA CORRUPÇÃO DO SISTEMA, SE HOUVER ERROS DE DESENCRIPTAÇÃO*****
Atenção!
Todos os seus ficheiros, bases de dados, fotos, documentos e outros ficheiros importantes foram encriptados e têm a extensão: .WWZAF
O único método de recuperação dos ficheiros é a compra de um software de desencriptação e a chave privada exclusiva. Só podemos dar-lhe essa chave e só podemos recuperar os seus ficheiros.


O servidor com a sua chave está numa rede fechada de TOR. Pode chegar lá através de uma das seguintes maneiras:
----------------------------------------------------------------------------------------
| 0. Descarregue o "Navegador Tor" do hxxps://www.torproject.org/.
| 1. Instalar o navegador Tor
| 2. Abra o navegador Tor
| 3. Abra o link no navegador do TOR: hxxp://gandcrabmfe6mnef.onion/da9ad04e1e857d00
| 4. Siga as instruções nesta página
----------------------------------------------------------------------------------------
Na nossa página verá instruções de pagamento e terá a oportunidade de desencriptar 1 ficheiro gratuitamente.

ATENÇÃO!
PARA EVITAR DANOS DE DADOS:
* NÃO MODIFIQUE OS FICHEIROS ENCRIPTADOS
* NÃO ALTERE OS DADOS ABAIXO
---COMEÇAR A CHAVE DE GANDCRAB--
-
--- TERMINAR A CHAVE GANDCRAB---
--- INÍCIO DE DADOS DO PC ---
---- TERMINAR DADOS PC---

Screenshot do fundo de ambiente de trabalho do GandCrab 5.0.9:

Screenshot de uma nota de resgate de GandCrab 5.0.9

Texto apresentado no fundo de ambiente de trabalho do ransomware GandCrab 5.0.9:

ENCRIPTADO POR GANDCRAB 5.0.9
OS SEUS FICHEIROS ESTÃO SOB FORTE PROTEÇÃO PELO NOSSO SOFTWARE. PARA RECUPERÁ-LO, DEVE COMPRAR O DESENCRIPTADOR
Para mais passos, leia WWZAF-DECRYPT.txt que está localizado em cada pasta encriptada

Screenshot do site do ransomware GandCrab 5.0.9:

Site do ransomware GandCrab 5.0.9

Texto apresentado dentro deste site:

Se o pagamento não for efetuado até 3/8/2018, 10:45:13 AM, o custo de desencriptação dos ficheiros será dobrado
Contagem regressiva para o preço duplo: O tempo terminou. O preço dobrou!
Qual é o problema?
O seu computador foi infectado com Ransomware GandCrab.
Todos os seus ficheiros foram encriptados e não pode desencriptá-lo por conta própria.
Para desencriptar os seus ficheiros, tem de comprar o desencriptador GandCrab
O preço é - 800 USD
O que posso fazer para recuperar os meus ficheiros?
Deve comprar o software desencriptador GandCrab. Isso fará a verificação do seu PC, partilha de rede, todos os dispositivos ligados e verifique se há ficheiros encriptados e desencriptados. Valor Atual: 800 USD. Aceitamos as cripto moedas DASH e Bitcoin
Que garantias pode dar-me?
Para se certificar de que temos o desencriptador e funciona, pode usar uma desencriptação grátis e desencriptar um ficheiro gratuitamente.
Mas esse ficheiro deve ser uma imagem, porque as imagens geralmente não são importantes.
Eu não tenho Bitcoin (BTC) ou DASH (DSH). Como faço o pagamento on-line?
Fácil. A lista dos mais populares serviços de câmbio:
BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO
A lista completa dos serviços do exchange para Bitcoin aqui e para DASH aqui.
Crie uma conta
Carregue o saldo com um cartão de crédito ou paypal
Compre uma quantidade pedida de moedas (Bitcoin ou DASH)
Faça levantamento no nosso endereço

Screenshot dos ficheiros encriptador por GandCrab 5.0.9 (extensão ".wwzaf"):

screenshot dos ficheiros encriptados por GandCrab 5.0.9

Screenshot de uma janela pop-up do ransomware GandCrab 5.0.9:

Pop-up GandCrab5 indicado sempre que o ransomware é executado

Texto apresentado no pop-up do ransomware GandCrab 5.0.9:

Voltaremos muito em breve! ;)

Remoção do ransomware GandCrab 5.0.9:

Remoção imediata automática de Vírus GandCrab 5.0.9: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de Vírus GandCrab 5.0.9. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus GandCrab 5.0.9. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware GandCrab 5.0.9 no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware GandCrab 5.0.9 restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de GandCrab 5.0.9 são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por GandCrab 5.0.9 também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como GandCrab 5.0.9.

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware GandCrab 5.0.9:

Fonte: https://www.pcrisk.com/removal-guides/14138-gandcrab-5-0-9-ransomware

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
Vírus GandCrab 5.0.9 Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de Vírus GandCrab 5.0.9 no seu dispositivo móvel.
Nós recomendamos:

Livre-se de Vírus GandCrab 5.0.9 hoje:

▼ REMOVER AGORA com Spyhunter

Plataforma: Windows

Classificação do editor para Spyhunter:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter.