Ransomware GrandCrab 5.1

Também Conhecido Como: Vírus GrandCrab 5.1
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware GrandCrab 5.1

O que é GrandCrab 5.1?

GrandCrab 5.1 é uma nova variante da família de ransomware GANDCRAB que foi descoberta por TMMalAnalyst. É um vírus de alto risco projetado para encriptar dados e exibir notas de resgate num ficheiro "[victim's_ID] -DECRYPT.txt" e num ambiente de trabalho alterado. O ficheiro de texto gerado está a ser colocado em todas as pastas existentes. Renomeia cada ficheiro encriptado ao adicionr uma nova extensão, que é uma ID exclusiva da vítima. Por exemplo, se a ID da vítima for ".hjnakliq", o GrandCrab 5.1 renomeia um ficheiro chamado "1.jpg" para "1.jpg.hjnakliq" e assim por diante.

Como avançado no fundo do ambiente de trabalho modificado pelo ransomware GrandCrab 5.1, os ficheiros da vítima foram encriptados usando um algoritmo de encriptação forte. Para restaurar os ficheiros, é necessário comprar um 'desencriptador' (ferramenta de desencriptação). As instruções sobre como comprá-lo são fornecidas no ficheiro de texto "[victim's_ID] -DECRYPT.txt". Como mencionamos na nossa introdução, esse ficheiro de texto pode ser encontrado em todas as pastas existentes (e encriptadas). De acordo com a nota de resgate, não deve ser excluída até que os dados sejam recuperados/a ferramenta de desencriptação seja adquirida. Também é mencionado que os criminosos virtuais que desenvolveram este ransomware sejam os únicos que podem fornecer essa ferramenta. Para obtê-la, as vítimas de GrandCrab 5.1 devem descarregar o navegador Tor e abrir o link fornecido usando-a. Mais instruções são exibidas nesse site. Primeiro, abre o site "Autenticação" que requer a localização e o carregamento de um ficheiro "* -DECRYPT.txt" ou "* -DECRYPT.html" ("*" é a extensão, uma ID exclusiva do ficheiro encriptado). É mencionado que nenhum dos ficheiros encriptados deve ser renomeado. Depois de concluído, exibe outra página que contém mais detalhes de pagamento e assim por diante. Como afirmado neste site, o preço da ferramenta de desencriptação ("desencriptador GandCrab") é de $1200. No entanto, se o pagamento não for feito até a data e hora indicadas (pode ser encontrado no topo do site), o preço será dobrado. O resgate deve ser pago através da transferência da quantidade equivalente de criptomoedas (Bitcoin ou DASH) para um endereço de carteira fornecido. Não está claro qual algoritmo de encriptação (simétrica ou assimétrica) os desenvolvedores do ransomware GrandCrab 5.1 usam para encriptar os dados da vítima, no entanto, a maioria dos criminosos virtuais usa encriptações fortes que não podem ser 'quebradas'. Isso significa que as alegações de que são os únicos que possuem a ferramenta necessária para uma desencriptação provavelmente serão verdadeiras. A maioria dos criminosos virtuais usa encriptações que geram chaves exclusivas, essas chaves geralmente são armazenadas em servidores remotos e não podem ser acedidas por qualquer outra pessoa, mas por desenvolvedores de ransomware específicos. No entanto, isso não significa que os criminosos virtuais possam ser confiáveis. Pelo contrário, a maioria ignora as suas vítimas quando recebem a quantia de resgate exigida. Como não existe uma ferramenta que possa ajudar as vítimas do GrandCrab 5.1 com a desencriptação, a única solução livre é usar uma cópia de segurança de dados criado e restaurar ficheiros a partir daí.

Screenshot de uma mensagem a incentivar os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

instruções de desencriptação de GrandCrab 5.1

GrandCrab 5.1 é semelhante a outras infecções de computador desse tipo, como Anatova, Ppam, Jundmd@cock.li  e muitas outras. Esses programas geralmente são projetados para encriptar dados e chantagear as suas vítimas (fazer exigências de resgate). As diferenças mais comuns entre elas são apenas o preço de uma chave/ferramenta de desencriptação e um algoritmo de encriptação usado para encriptação. Infelizmente, na maioria das vezes uma desencriptação sem interferência de criminosos virtuais é impossível, a menos que o ransomware tenha alguns bugs, falhas e ainda esteja num estado de desenvolvimento. De uma forma ou de outra, recomendamos criar cópias de segurança de dados regularmente e mantê-las armazenadas em servidores remotos ou em dispositivos de armazenamento desligados.

Como é que o ransomware infectou o meu computador?

Sabe-se que um dos métodos de distribuição usados para distribuir GrandCrab 5.1 são as campanhas de email spam. Ao usá-las, os criminosos virtuais enviam e-mails que contêm anexos maliciosos, geralmente um ficheiro que contém um ficheiro malicioso do JavaSript. O principal objetivo é enganar os destinatários de email para abrir o anexo. A abertura resulta no descarregamento e instalação de uma infecção específica no computador. Se aberto, este ficheiro JavaScript aciona o processo de instalação do ransomware GrandCrab 5.1. Os criminosos virtuais geralmente usam atualizações de software falsas, trojans e fontes de descarregamento de software não confiáveis para proliferar infecções do tipo ransomware também. Os atualizadores de software falsos oferecem aos seus utilizadores corrigir vários bugs de software, no entanto, em vez disso,  descarregam e instalam infecções de computador. Noutros casos, exploram erros ou falhas de software desatualizado instalado. Os trojans são programas fraudulentos que causam infecções em cadeia. Os trojans instalados são capazes de instalar outras infecções, como o ransomware. Várias fontes de descarregamento de software de terceiros, como redes peer-to-peer (torrents, eMule etc.), sites de descarregamento gratuito, sites de hospedagem de ficheiros gratuitos, descarregadores de software não oficiais podem ser usados para enganar as pessoas, como se fossem legítimos. Por outras palavras, ao usar essas fontes, os criminosos virtuais geralmente induzem os utilizadores a instalar vírus por conta própria.

Como se proteger de infecções por ransomware?

Evite abrir anexos ou links da Web apresentados em emails recebidos de endereços desconhecidos e suspeitos ou/e quando o email em si for irrelevante. Faça o descarregamento de software usando fontes oficiais e confiáveis e links diretos sobre várias fontes não confiáveis mencionadas anteriormente. Actualize o software usando apenas funções ou ferramentas implementadas pelos desenvolvedores oficiais apenas. Se um software anti-spyware ou antivírus de boa reputação for instalado e ativado, as ferramentas desse tipo geralmente são capazes de detectar e remover vírus antes que possam causar danos ao sistema operacional. Se o seu computador já está infectado com GrandCrab 5.1, recomendamos executar uma verificação com Spyhunter e elimine este ransomware.

Texto apresentado no ficheiro de texto do ransomware GrandCrab 5.1 ("[victim's_ID] -DECRYPT.txt"):

---= GANDCRAB V5.1 =---
***********************SOB NENHUMA CIRCUNSTÂNCIA NÃO EXCLUA ESTE FICHEIRO, ATÉ QUE TODOS OS DADOS SEJAM RECUPERADOS***********************
*****FALHAR A FAZÊ-LO, IRÁ RESULTAR NA SUA CORRUPÇÃO DO SISTEMA, SE HOUVER ERROS DE DESENCRIPTAÇÃO*****
Atenção!
Todos os seus ficheiros, bases de dados, fotos, documentos e outros ficheiros importantes foram encriptados e têm a extensão: .HJNAKLIQ
O único método de recuperação dos ficheiros é a compra de um software de desencriptação e a chave privada exclusiva. Só podemos dar-lhe essa chave e só podemos recuperar os seus ficheiros.


O servidor com a sua chave está numa rede fechada de TOR. Pode chegar lá através de uma das seguintes maneiras:
----------------------------------------------------------------------------------------
| 0. Descarregue o "Navegador Tor" do hxxps://www.torproject.org/
| 1. Instalar o navegador Tor
| 2. Abra o navegador Tor
| 3. Abra o link no navegador do TOR: hxxp://gandcrabmfe6mnef.onion/da9ad04e1e857d00
| 4. Siga as instruções nesta página
----------------------------------------------------------------------------------------
Na nossa página verá instruções de pagamento e terá a oportunidade de desencriptar 1 ficheiro gratuitamente.


ATENÇÃO!
PARA EVITAR DANOS DE DADOS:
* NÃO MODIFIQUE OS FICHEIROS ENCRIPTADOS
* NÃO ALTERE OS DADOS ABAIXO
---COMEÇAR A CHAVE DE GANDCRAB--
******
--- TERMINAR A CHAVE GANDCRAB---
--- INÍCIO DE DADOS DO PC ---
******
--- TERMINAR DADOS PC---

Screenshot do fundo de ambiente de trabalho do GandCrab 5.1:

Fundo do ambiente de trabalho de GrandCrab 5,1

Texto apresentado no fundo do ambiente de trabalho:

ENCRIPTADO POR GANDCRAB 5.1
DEAR [username]
OS SEUS FICHEIROS ESTÃO SOB FORTE PROTEÇÃO PELO NOSSO SOFTWARE. PARA RECUPERÁ-LO, DEVE COMPRAR O DESENCRIPTADOR
Para mais passos, leia [victim's_ID] -DECRYPT.txt que está localizado em cada pasta encriptada

Screenshot do site GrandCrab 5.1 (Autenticação):

website de autenticação do ransomware grandcrab 5.1

Texto apresentado na página de Autenticação:

Autenticação
Para obter a autorização, localize e carregue * -DECRYPT.txt ou * -DECRYPT.html.
* - é a extensão de ficheiros encriptados.
O nome do ficheiro e conteúdo não devem ser alterados

Screenshot da página principal do ransomware GrandCrab 5.1:

parte do pagamento do website de grandcrab5.1

Texto apresentado nesta página:

Se o pagamento não for efetuado até 1/18/2019, 11:11:06 AM, o custo de desencriptação dos ficheiros será dobrado
Contagem regressiva para o dobro do preço: 1 dia, 00:44:24
Qual é o problema?
O seu computador foi infectado com Ransomware GandCrab.
Todos os seus ficheiros foram encriptados e não pode desencriptá-lo por conta própria.
Para desencriptar os seus ficheiros, tem de comprar o desencriptador GandCrab
O preço é - 1200 USD
O que posso fazer para recuperar os meus ficheiros?
Deve comprar o software desencriptador GandCrab. Isso fará a verificação do seu PC, partilha de rede, todos os dispositivos ligados e verifique se há ficheiros encriptados e desencriptados. Valor Atual: 1200 USD. Aceitamos as cripto moedas DASH e Bitcoin
Que garantias pode dar-me?
Para se certificar de que temos o desencriptador e funciona, pode usar uma desencriptação grátis e desencriptar um ficheiro gratuitamente.
Mas esse ficheiro deve ser uma imagem, porque as imagens geralmente não são importantes.
Eu não tenho Bitcoin (BTC) ou DASH (DSH). Como faço o pagamento on-line?
Fácil. A lista dos mais populares serviços de câmbio:
BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO
A lista completa dos serviços do exchange para Bitcoin aqui e para DASH aqui.
Crie uma conta
Carregue o saldo com um cartão de crédito ou paypal
Compre uma quantidade pedida de moedas (Bitcoin ou DASH)
Faça levantamento no nosso endereço
Atenção
Não elimine o ficheiro * -DECRYPT.txt antes do restauro completo do seu PC.

Screenshot dos ficheiros encriptados por GrandCrab 5.1 (no nosso exemplo com a extensão ".hjnakliq"):

Ficheiros encriptados por GrandCrab 5.1

Remoção do ransomware GrandCrab 5.1:

Remoção imediata automática de Vírus GrandCrab 5.1: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de Vírus GrandCrab 5.1. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus GrandCrab 5.1. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware GrandCrab 5.1 no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware GrandCrab 5.1 restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de GrandCrab 5.1 são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por GrandCrab 5.1 também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como GrandCrab 5.1.

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware GrandCrab 5.1:

Fonte: https://www.pcrisk.com/removal-guides/14320-grandcrab-51-ransomware