Hoe GANDCRAB V4 te verwijderen en .KRAB-bestanden te herstellen

Wat is Gandcrab v4 ransomware?

Vorige week is er een nieuwe versie van Gandcrab ransomware in het wild gespot; het zet de .KRAB-extensie om naar versleutelde bestanden en laat de decoderingsnotities met de naam KRAB-DECRYPT.txt in elke map achter. De inhoud van KRAB-DECRYPT.txt:

—= GANDCRAB V4 =—
Opgelet!
Al uw bestanden, documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld en hebben de extensie: .KRAB
De enige methode om bestanden te herstellen is door een unieke privésleutel aan te schaffen. Alleen wij kunnen u deze sleutel geven en alleen wij kunnen uw bestanden herstellen.
De server met uw sleutel bevindt zich in een gesloten netwerk TOR. Je kunt er op de volgende manieren komen:
------------------------------
| 0. Tor-browser downloaden – https://www.torproject.org/
| 1. Installeer de Tor-browser
| 2. Open Tor-browser
| 3. Open de link in de TOR-browser:
| 4. Volg de instructies op deze pagina
------------------------------
Op onze pagina ziet u betalingsinstructies en krijgt u de mogelijkheid om 1 bestand gratis te decoderen.
LET OP!
OM GEGEVENSSCHADE TE VOORKOMEN:
* WIJZIG GEEN ENCRYPTE BESTANDEN
* WIJZIG ONDERSTAANDE GEGEVENS NIET!
[...]

Ransomware is een type malware dat de toegang van slachtoffers tot hun gegevens beperkt en geld eist om het terug te geven. De meeste ransomware versleutelt tegenwoordig de belangrijke bestanden van gebruikers (documenten, afbeeldingen, databases, enz.) met een sterke versleutelingsmethode, en de enige manier om ze te ontsleutelen is door de ontsleutelingssleutel te gebruiken die is opgeslagen op de servers van de ransomware-auteurs en die voor elke persoon afzonderlijk is. slachtoffer. Soms komen er gratis decryptors beschikbaar, maar dat is geen garantie: beveiligingsonderzoekers analyseren altijd nieuwe varianten van ransomware om te proberen een kwetsbaarheid te vinden waarmee ze bestanden kunnen decoderen, maar dat lukt vaak niet. In het geval van Gandcrab bleek de allereerste variant decodeerbaar, maar in de tweede versie is die kwetsbaarheid gepatcht. Tot nu toe is er geen manier om .KRAB-bestanden gratis te decoderen, maar er zijn methoden voor bestandsherstel die in sommige gevallen succesvol kunnen zijn.

Update (30 oktober 2018): Antivirusbedrijf Bitdefender ontwikkelde en bracht een decryptor voor Gandcrab versies 1, 4 en 5.

Hoe Gandcrab v4 Ransomware te verwijderen

Als u werkende back-ups hebt van uw versleutelde bestanden of als u niet gaat proberen verloren bestanden te herstellen, scan dan uw computer met een of meerdere antivirus- en antimalwareprogramma's of installeer het besturingssysteem helemaal opnieuw.

Enkele alternatieven:

Norton (Windows, macOS, iOS, Android) De link werkt mogelijk niet correct als er momenteel sancties gelden voor uw land.
Norton (Windows, macOS, iOS, Android) De link werkt mogelijk niet correct als er momenteel sancties gelden voor uw land.

Als u echter alle mogelijke manieren wilt proberen om versleutelde bestanden te herstellen, inclusief hulpprogramma's voor gegevensherstel, dan raad ik u aan deze hulpprogramma's eerst te gebruiken en later met anti-malware te scannen. Ga naar de uitleg

Hoe bestanden te herstellen die zijn versleuteld door Gandcrab v4 Ransomware

Als u bestanden wilt herstellen die door ransomware zijn versleuteld, kunt u proberen ze te decoderen of methoden voor bestandsherstel gebruiken.
Manieren om de bestanden te decoderen:

1. Neem contact op met de ransomware-auteurs, betaal het losgeld en mogelijk de decryptor van hen krijgen. Dit is niet betrouwbaar: ze sturen je misschien helemaal geen decryptor, of het kan slecht zijn gedaan en je bestanden niet kunnen decoderen.
2. Wacht tot beveiligingsonderzoekers een kwetsbaarheid in de ransomware vinden waarmee u bestanden kunt decoderen zonder te betalen. Deze gang van zaken is mogelijk, maar niet erg waarschijnlijk: van de duizenden bekende ransomware-varianten bleken er slechts tientallen gratis te ontsleutelen. Je kan bezoeken Geen Meer Losgeld site van tijd tot tijd om te zien of er een gratis decryptor voor Gandcrab v4 bestaat.
3. Betaalde diensten gebruiken voor decodering. Bijvoorbeeld antivirusleverancier Dr. Web biedt zijn eigen decoderingsdiensten aan. Ze zijn gratis voor gebruikers van Dr.Web Security Space en sommige andere producten van Dr. Web als Dr. Web is geïnstalleerd en actief is op het moment van versleuteling (meer detail). Voor gebruikers van andere antivirusprogramma's kost de decodering, indien mogelijk, € 150. Volgens de statistieken van Dr. Web is de kans dat ze bestanden kunnen herstellen ongeveer 10%.

Andere manieren om versleutelde bestanden te herstellen:

1. Herstellen van backup. Als u regelmatig back-ups maakt naar een apart apparaat en van tijd tot tijd controleert of deze in goede staat zijn en bestanden met succes kunnen worden hersteld, zult u waarschijnlijk geen problemen hebben om uw bestanden terug te krijgen. Scan gewoon uw computer met een paar AV's en anti-malwareprogramma's of installeer het besturingssysteem opnieuw en herstel vervolgens vanaf een back-up.
2. Herstel enkele bestanden van cloudopslag (DropBox, Google Drive, OneDrive, etc.) als je er een hebt aangesloten. Zelfs als versleutelde bestanden al met de cloud zijn gesynchroniseerd, bewaren veel cloudservices oude versies van gewijzigde bestanden enige tijd (meestal 30 dagen).
3. Herstel schaduwvolume-kopieën van uw bestanden als die beschikbaar zijn, probeert ransomware ze meestal ook te verwijderen. Volume Shadow Copy Service (VSS) is een Windows-technologie die periodiek snapshots van uw bestanden maakt en waarmee u wijzigingen in die bestanden ongedaan kunt maken of verwijderde bestanden kunt herstellen. VSS is samen met Systeemherstel ingeschakeld: het is standaard ingeschakeld op Windows XP tot Windows 8 en standaard uitgeschakeld op Windows 10.
4. Gebruik software voor bestandsherstel. Dit zal waarschijnlijk niet werken voor Solid State Drives (SSD - het is een nieuwer, sneller en duurder type apparaat voor gegevensopslag), maar het is het proberen waard als u uw gegevens opslaat op een harde schijf (HDD - ouder en meer). tot nu toe gebruikelijk opslagapparaat). Wanneer u een bestand van uw computer verwijdert - en ik bedoel volledig verwijderen: gebruik Shift + Del of leeg de Prullenbak - op SSD wordt het meteen van de schijf gewist. Op HDD wordt het echter eerder gemarkeerd als verwijderd, en de ruimte die het inneemt op een harde schijf - als beschikbaar om te schrijven, maar de gegevens zijn er nog steeds en kunnen meestal worden hersteld door speciale software. Hoe meer u de computer gebruikt, vooral als u iets doet dat nieuwe gegevens op de harde schijf schrijft, hoe groter de kans dat uw verwijderde bestand wordt overschreven en voorgoed verdwenen is. Daarom zullen we in deze handleiding proberen verwijderde bestanden te herstellen (zoals u zich herinnert, maakt ransomware een versleutelde kopie van een bestand en verwijdert het het originele bestand) zonder iets op een schijf te installeren. Houd er rekening mee dat dit misschien nog steeds niet genoeg is om uw bestanden met succes te herstellen - tenslotte, wanneer ransomware gecodeerde bestanden maakt, schrijft het nieuwe informatie op een schijf, mogelijk bovenop bestanden die het zojuist heeft verwijderd. Dit hangt eigenlijk af van hoeveel vrije ruimte er op uw harde schijf is: hoe meer vrije ruimte, hoe kleiner de kans dat nieuwe gegevens de oude gegevens overschrijven.

Verder gaand, moeten we 1) voorkomen dat ransomware bestanden versleutelt die we herstellen, als malware nog steeds actief is; 2) probeer de door ransomware verwijderde bestanden niet te overschrijven. De beste manier om dit te doen, is door uw harde schijf los te koppelen en op een andere computer aan te sluiten. U kunt door al uw mappen bladeren, ze scannen met antivirusprogramma's, software voor bestandsherstel gebruiken of gegevens herstellen van Shadow Volume Copies. Hoewel het voor de zekerheid beter is om alle tools die je nodig hebt vooraf te downloaden en de computer los te koppelen van het internet voordat je de geïnfecteerde harde schijf aansluit.
Nadelen van deze methode:

• Hierdoor kan uw garantie komen te vervallen.
• Het is moeilijker om te doen met laptops en je hebt een speciale hoes (schijfbehuizing) nodig om een ​​harde schijf in te plaatsen voordat je deze op een andere machine aansluit.
• Het is mogelijk om de andere computer te infecteren als u een bestand van de geïnfecteerde schijf opent voordat u de schijf scant met AV's en alle gevonden malware verwijdert; of als alle AV's de malware niet kunnen vinden en verwijderen.

Een andere, gemakkelijkere manier is om in de veilige modus te laden en vanaf daar alle maatregelen voor het herstellen van bestanden uit te voeren. Dat betekent echter dat u de harde schijf moet gebruiken en mogelijk sommige gegevens moet overschrijven. In dit geval verdient het de voorkeur om alleen draagbare versies van herstelsoftware te gebruiken (degenen die geen installatie vereisen), deze naar een extern apparaat te downloaden en eventuele herstelde bestanden ook op een extern apparaat op te slaan (externe harde schijf, USB-stick, cd , dvd, enz.).

Opstarten in veilige modus:

Windows XP, Windows Vista, Windows 7:

1. Herstart de computer.
2. Zodra je een opstartscherm ziet, tik je op F8 ingedrukt totdat er een lijst met opties verschijnt.
3. Selecteer met de pijltoetsen Veilige modus met netwerkmogelijkheden.
4. Media Enter.

Windows 8, Windows 8.1, Windows 10:

1. Houd Dakramen en raamkozijnen sleutel en druk op X sleutel.
2. kies Afsluiten of uitloggen.
3. Media Shift toets en klik op Herstart.
4. Wanneer u wordt gevraagd een optie te kiezen, klikt u op geavanceerde opties => Startup Settings.
5. Klik Herstart in de rechter benedenhoek.
6. Nadat Windows opnieuw is opgestart en u een lijst met opties biedt, drukt u op F5 te selecteren Schakel Veilige modus in met netwerken.

Maak een back-up van uw versleutelde bestanden

Het is altijd raadzaam om een ​​kopie van de versleutelde bestanden te maken en deze op te bergen. Dat kan je helpen als er in de toekomst gratis ransomware-decryptor beschikbaar komt, of als je besluit te betalen en de decryptor te krijgen, maar er gaat iets mis en bestanden worden onherstelbaar beschadigd tijdens het decryptieproces.

Gebruik hulpprogramma's voor bestandsherstel om bestanden te herstellen

Stellar Windows Data Recovery Professional is een eenvoudig te gebruiken Windows-software voor gegevensherstel om verloren documenten, e-mails, foto's, video's en nog veel meer terug te krijgen van de harde schijf, USB, geheugenkaart, enz.
Stellar Data Recovery downloaden

Screenshot:


Over Stellar Data Recovery

R-verwijderen


Puran Bestandsherstel


Herstel versleutelde bestanden van schaduwkopieën.

De gemakkelijkste manier om toegang te krijgen tot Shadow Volume Copies is met behulp van een gratis tool genaamd Shadow Explorer. Download gewoon de nieuwste versie en installeer deze (of download de draagbare versie).

1. Start Shadow Explorer.
2. Linksboven in het venster kunt u een schijf selecteren (C:\, D:\, enz.) en een datum waarop een momentopname van bestanden is gemaakt.
3. Om een ​​bestand of map te herstellen, klikt u er met de rechtermuisknop op en selecteert u Exporteren….
4. Kies waar u de bestanden wilt plaatsen.

Gandcrab v4 Ransomware verwijderen

Nu je je herstelde of nog steeds versleutelde bestanden op een extern apparaat hebt staan, is het tijd om je computer te scannen met AV- en anti-malwaresoftware of, beter nog, het besturingssysteem opnieuw te installeren, om mogelijke ransomware-sporen volledig te verwijderen. Vergeet niet om ook uw externe apparaat te scannen voordat u bestanden terugzet op uw computer!

SpyHunter downloaden