什么是 GANDCRAB V5.0 勒索软件
GANDCRAB V5.0 是臭名昭著的 GandCrab 勒索软件的最新变种。 下载到计算机上后,GandCrab 会使用强大的加密方法加密所有可能重要的文件,并为这些文件添加新的扩展名。 与以前的版本不同,GandCrab 5 不会对所有用户使用相同的文件扩展名,而是为每个用户生成一个随机的 5 个字母的扩展名。 Gandcrab 5 创建名为 [加密文件扩展名]-DECRYPT.txt 和 [加密文件扩展名]-DECRYPT.html 的赎金票据。 它们的内容是:
—= GANDCRAB V5.0 =-
注意!
您所有的文件、文档、照片、数据库和其他重要文件都经过加密并具有扩展名:.[加密文件的扩展名]
恢复文件的唯一方法是购买唯一的私钥。 只有我们可以为您提供此密钥,也只有我们可以恢复您的文件。
带有您的密钥的服务器位于封闭网络 TOR 中。 您可以通过以下方式到达那里:>
———————————————————————————————————>
下载 Tor 浏览器 – hxxps://www.torproject.org/
安装 Tor 浏览器
打开 Tor 浏览器
在 TOR 浏览器中打开链接:hxxp://gandcrabmfe6mnef.onion/[…]
按照此页面上的说明进行操作------------------------------
在我们的页面上,您将看到付款说明并有机会免费解密 1 个文件。
注意!
为了防止数据损坏:
* 不要修改加密文件
* 请勿更改以下数据
Gandcrab 5 还会更改受感染计算机上的墙纸:
由 GANDCRAB 5.0 加密
亲爱的 [用户名]
您的文件受到我们软件的严格保护。 为了恢复它,你必须购买解密器
有关进一步的步骤,请阅读位于每个加密文件夹中的 [加密文件扩展名]-DECRYPT.html
到目前为止,还没有免费的解密器。 只有第一个 GandCrab 被安全研究发现可以解密; 在下一个变体中,该漏洞已得到修复。 您可以尝试一些文件恢复方法:有时它们允许用户恢复部分甚至大部分加密文件。 本指南介绍了如何从计算机中删除 GANDCRAB V5.0 并列出可能恢复文件的方法。
更新(30 年 2018 月 XNUMX 日): 防病毒公司 Bitdefender 开发并发布了一个 解密 适用于 Gandcrab 版本 1、4 和 5。
更新(11 年 2019 月 XNUMX 日): Gandcrab 5.0.4 和更新版本不能被 Bitdefender 的工具解密。
更新(20 年 2019 月 XNUMX 日): Bitdefender 的解密器现在可以解密 Gandcrab 版本 1 以及从 4 到 5.1 的版本。
更新(17 年 2019 月 XNUMX 日): Bitdefender 的解密器现在也可以解密 Gandcrab 5.2。
如何移除 GANDCRAB V5.0 Ransomware
如果您有加密文件的有效备份,或者您不打算尝试恢复丢失的文件,请使用一个或多个防病毒和反恶意软件程序扫描您的计算机,或者完全重新安装操作系统。
但是,如果您想尝试所有可能的方法来恢复加密文件,包括数据恢复工具,那么我建议您先使用这些工具,然后再使用反恶意软件进行扫描。 跳到解释
如何恢复被 GANDCRAB V5.0 Ransomware 加密的文件
如果您想恢复被勒索软件加密的文件,您可以尝试解密它们或使用文件恢复方法。
解密文件的方法:
- 联系勒索软件作者, 支付赎金 并可能从他们那里获得解密器。 这是不可靠的:他们可能根本不会向您发送解密器,或者可能做得不好并且无法解密您的文件。
- 等待安全研究人员在勒索软件中找到一些漏洞 这将允许您无需付费即可解密文件。 这种事件的转变是可能的,但可能性不大:在数百种已知的勒索软件变体中,只有数十种可以免费解密。 你可以拜访 NoMoreRansom 不时查看是否存在 GANDCRAB V5.0 的免费解密器。
- 使用付费服务进行解密. 例如,防病毒供应商 博士 卷筒纸 提供自己的解密服务。 如果在加密时已经安装并运行了Dr.Web安全空间和其他一些Dr.Web产品的用户,它们是免费的(更多详情)。 对于其他防病毒软件的用户,如果认为可能,解密可能需要花费 150 欧元或更多。 根据Dr. Web 的统计,他们能够恢复文件的概率大约为10%。
恢复加密文件的其他方法:
- 从备份中恢复。 如果您定期备份到单独的设备,并不时检查这些设备是否处于工作状态并且文件可以成功恢复 - 那么,您可能不会在恢复文件时遇到任何问题。 只需使用几个 AV 和反恶意软件程序扫描您的计算机或重新安装操作系统,然后从备份中恢复。
- 从云存储中恢复一些文件 (DropBox、Google Drive、OneDrive 等)如果您已连接。 即使加密文件已经同步到云端,许多云服务仍会将更改文件的旧版本保留一段时间(通常为 30 天)。
- 恢复文件的卷影副本 如果这些可用 - 勒索软件通常也会尝试删除它们。 卷影复制服务 (VSS) 是一种 Windows 技术,可定期创建文件快照,并允许您回滚对这些文件所做的更改或恢复已删除的文件。 VSS 与系统还原一起启用:它在 Windows XP 到 Windows 8 上默认打开,在 Windows 10 上默认禁用。
- 使用文件恢复软件。 这可能不适用于固态驱动器(SSD - 它是一种更新、更快且更昂贵的数据存储设备类型),但如果您将数据存储在硬盘驱动器(HDD - 更旧和更多)上,则值得一试迄今为止常见的存储设备)。 当您从计算机中删除文件时 - 我的意思是完全删除:使用 Shift + Del 或清空回收站 - 在 SSD 上它会立即从驱动器中擦除。 然而,在 HDD 上,它会被标记为已删除,并且它在硬盘驱动器上占用的空间 - 可用于写入,但数据仍然存在并且通常可以通过特殊软件恢复。 但是,您使用计算机的次数越多,尤其是在硬盘驱动器上写入新数据的操作时,您删除的文件被覆盖并永久消失的可能性就越大。 这就是为什么在本指南中,我们将尝试恢复已删除的文件(您可能知道,勒索软件会创建文件的加密副本并删除原始文件),而无需在磁盘上安装任何内容。 要知道这仍然可能不足以成功恢复您的文件——毕竟,当勒索软件创建加密文件时,它会在磁盘上写入新信息,可能是在它刚刚删除的文件之上。 这实际上取决于您的硬盘驱动器上有多少可用空间:可用空间越多,新数据覆盖旧数据的可能性就越小。
- 这可能会使您的保修失效。
- 用笔记本电脑做起来比较困难,在将硬盘驱动器连接到另一台机器之前,您需要一个特殊的外壳(磁盘盒)来放入硬盘驱动器。
- 如果您在使用 AV 扫描驱动器并删除所有发现的恶意软件之前打开受感染驱动器中的文件,则可能感染另一台计算机; 或者如果所有 AV 都无法找到并删除恶意软件。
- 重新启动计算机。
- 一旦你看到启动屏幕点击 F8 键,直到出现选项列表。
- 使用箭头键,选择 带网络连接的安全模式.
- 媒体 输入.
- 按住 Windows 键 并击中 X 键。
- 选择 关机或退出.
- 媒体 转移 键,然后单击 重新启动.
- 当要求选择一个选项时,单击 高级选项 => 启动设置.
- 点击 重新启动 在右下角。
- 在 Windows 重新启动并为您提供选项列表后,按 F5 选择 通过网络启用安全模式.
- 启动影子资源管理器。
- 在窗口的左上角,您可以选择磁盘(C:\、D:\ 等)和拍摄文件快照的日期。
- 要恢复文件或文件夹,请右键单击它并选择导出...。
- 选择您想要放置文件的位置。
更进一步,我们需要 1) 阻止勒索软件对我们恢复的文件进行加密,如果恶意软件仍然处于活动状态; 2) 尽量不要覆盖被勒索软件删除的文件。 最好的方法是断开硬盘驱动器并将其连接到另一台计算机。 您将能够浏览所有文件夹、使用防病毒程序对其进行扫描、使用文件恢复软件或从卷影副本中恢复数据。 尽管最好事先下载您需要的所有工具,并在连接受感染的硬盘驱动器之前断开计算机与 Internet 的连接,但为了安全起见。
此方法的缺点:
另一种更简单的方法是加载到安全模式并从那里执行所有文件恢复措施。 但是,这将意味着使用硬盘驱动器并可能覆盖一些数据。 在这种情况下,最好只使用便携式版本的恢复软件(不需要安装的软件),将它们下载到外部设备上,并将所有恢复的文件也保存到外部设备上(外部硬盘驱动器、拇指驱动器、 CD、DVD 等)。
启动进入安全模式:
Windows XP中 Windows Vista中, Windows的7:
的Windows 8, 的Windows 8.1, Windows的10:
备份您的加密文件
始终建议创建加密文件的副本并将其收起。 如果将来可以使用免费的勒索软件解密器,或者如果您决定付费购买解密器但出现问题并且文件在解密过程中受到无法挽回的损坏,这可能会对您有所帮助。
使用文件恢复工具恢复文件
截图:
关于恒星数据恢复
R-取消删除
如何使用 R-Undelete 恢复已删除的文件
Puran文件恢复
关于如何使用 Puran File Recovery 的视频指南
从卷影副本中恢复加密文件。
访问卷影副本的最简单方法是使用名为 影浏览器. 只需下载最新版本并安装(或下载便携式版本)。
移除 GANDCRAB V5.0 Ransomware
现在您在外部设备上拥有已恢复或仍然加密的文件,是时候使用 AV 和反恶意软件扫描您的计算机,或者更好的是重新安装操作系统,以完全消除可能的勒索软件痕迹。 在将文件放回计算机之前,请记住还要扫描您的外部设备!