GANDCRAB v5.0.9是臭名昭着的GandCrab加密病毒的最新版本。该病毒将对您的文件进行加密,其背后的犯罪分子将试图向您勒索钱,据称将文件恢复正常,并在GandCrab被攻击之前将您的计算机恢复到原来的运行状态。文件加密后,将收到随机的6个字母的扩展名,例如.spsjhw。赎金票据的名称是通过使用此扩展并在之后添加-DECRYPT.txt或-DECRYPT.html形成的。GandCrab加密病毒的不同变体可能存在赎金笔记的轻微变化。继续阅读文章,了解如何删除病毒,并了解如何尝试可能恢复部分某些加密文件。
名称 | GANDCRAB v5.0.9 |
类型 | 勒索软件,Cryptovirus |
简短的介绍 | 该GandCrab勒索您的计算机系统上的文件进行加密,并要求赎金支付据称恢复它们。 |
症状 | 勒索软件将使用6个随机字母扩展名加密您的文件,并留下带有付款说明的勒索赎金。 |
分配方法 | 垃圾邮件,电子邮件附件 |
该GANDCRAB v5.0.9勒索软件可能通过不同的战术本身散发。启动此勒索软件恶意脚本的有效负载管理器正在互联网上传播,研究人员已经开始研究恶意软件样本。如果该文件落在您的计算机系统上而您以某种方式执行它 - 您的计算机设备将被感染。
下面,您可以看到VirusTotal服务检测到的加密病毒的有效负载文件:
在Web上找到的免费软件可以显示为有用的隐藏密码病毒的恶意脚本。下载后立即停止打开文件。您应首先使用安全工具扫描它们,同时还要检查它们的大小和签名以查找看似异常的任何内容
GANDCRAB v5.0.9是一种病毒,它会对您的文件进行加密,并在其中留下赎金信息,其中包含有关被入侵计算机设备的说明。敲诈勒索者希望您支付索赔恢复文件的赎金费用。
GANDCRAB v5.0.9勒索软件在Windows注册表中创建了各种条目以实现持久性,并且可以在Windows环境中启动或抑制进程。此类条目通常设计为在每次启动Windows操作系统时自动启动病毒。您将在下面看到包含被篡改的注册表的列表:
加密后,GANDCRAB v5.0.9病毒将保存勒索赎金。赎金票据的名称是通过使用大写字母的这个扩展并添加-DECRYPT.txt或-DECRYPT.html形成的,因此作为示例,带有说明的注释将被称为[5-10随机字母]-DECRYPT.txt。
您被要求支付比特币或DASH加密货币的赎金,以据称恢复您的文件。然而,你应该不是在任何情况下支付任何赎金金额。您的文件可能无法恢复,没有人可以为您提供保证。这甚至可能导致您在付款后再次对文件进行加密。
除此通知外,桌面墙纸将更改为以下图片:
GANDCRAB v5.0.9勒索病毒软件的加密过程相当简单 - 每个加密的文件都将变得无法使用。文件将获得由六个随机字母组成的扩展名。新添加的扩展名将作为辅助扩展名添加,而不会更改原始扩展名。
具有针对要加密的文件的目标扩展名的列表被认为与原始5.0版本相同,如下所示:
→.1st,.602,.7z,.7-zip,.abw,.act,.adoc,.aim,.ans,。apkg,.apt,.arj,.asc,.asc,.ascii,.ase ,.aty,.awp,.awt,.aww,.cab,.doc,.docb,.docx,.dotm,.gzip,.iso,.lzh,.lzma,.pot,。potm,。potx ,. ppam,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.rar,.sldm,.sldx,.tar,.vbo,.vdi,.vmdk,.vmem,.vmx,.xla, .xlam,.xll,.xlm,.xls,.xlsb,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xps,.z,.zip
用户最常使用且可能加密的文件来自以下类别:
可以使用以下命令将GANDCRAB v5.0.9加密病毒设置为从Windows操作系统中清除所有Shadow Volume Copies:
→vssadmin.exe delete shadows /all /Quiet
在执行上述命令的情况下,这将使加密过程的效果更有效。这是因为该命令消除了恢复数据的一种重要方法。如果计算机设备感染了此勒索软件并且您的文件已被锁定,请继续阅读以了解如何将某些文件恢复到正常状态。
如果您的计算机系统感染了GANDCRAB v5.0.9勒索软件病毒,您应该有一些删除恶意软件的经验。您应该尽快摆脱这种勒索软件,然后才有机会进一步传播并感染其他计算机。您应该删除勒索软件并按照下面提供的分步说明指南操作。
手动删除通常需要时间,如果不小心或者非专业人士,您可能会损坏您的文件!
对于Windows XP,Vista和7系统:
1.删除所有CD和DVD,然后从“ 开始 ”菜单重新启动PC 。
2.选择以下两个选项之一:
- 对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“ F8 ”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
- 对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“ F8 ”。
3.出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。使用管理员帐户登录计算机,当您的计算机处于安全模式时,屏幕的所有四个角都会出现“ 安全模式 ” 字样。
4.修复PC上恶意软件和PUP创建的注册表项。某些恶意脚本可能会修改计算机上的注册表项以更改不同的设置。这就是建议清理Windows注册表数据库的原因。由于有关如何执行此操作的教程有点长,如果操作不当,篡改注册表可能会损坏您的计算机,如果您在该领域缺乏经验,可以参照链接 修复由恶意病毒软件引起的Windows注册表错误
在较旧的Windows操作系统中,传统方法应该是有效的方法:
1.单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项。
2.出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
3.之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置。现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
勒索软件感染和GANDCRAB v5.0.9旨在使用加密算法加密您的文件,这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住,这些方法可能不是100%有效,但也可能在不同情况下帮助您一点或多少。
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试杀毒软件的解密器。
方法3:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
手动删除通常需要时间,如果不小心,您可能会损坏您的文件!
第1步:按⇧+⌘+ U键打开Utilities。另一种方法是单击“ 转到 ”,然后单击“ 工具 ”,像下面显示的图像:
第2步:查找活动监视器并双击它:
第3步:在活动监视器中查找属于或与GANDCRAB v5.0.9相关的任何可疑进程:
要完全退出进程,请选择“ 强制退出 ”选项。
第4步:点击“ 进入试”按钮,但这次选择的应用程序。另一种方法是使用⇧+⌘+ A按钮。
第5步:在“应用程序”菜单中,查找任何可疑应用程序或名称与GANDCRAB v5.0.9类似或相同的应用程序。如果找到它,请右键单击该应用程序并选择“ 移至废纸篓 ”。
第6步:选择Accounts,然后单击Login Items首选项。然后,您的Mac将显示您登录时自动启动的项目列表。查找与GANDCRAB v5.0.9相同或类似的任何可疑应用程序。检查要停止的应用程序自动运行,然后选择减号(“ - ”)图标将其隐藏。
第7步:按照以下子步骤手动删除可能与此威胁相关的所有遗留文件:
1.转到Finder。
2.在搜索栏中,键入要删除的应用程序的名称。
3.在搜索栏上方将两个下拉菜单更改为“系统文件”和“包含”,以便您可以查看与要删除的应用程序关联的所有文件。请记住,某些文件可能与应用程序无关,因此请务必小心删除哪些文件。
4.如果所有文件都相关,请按住⌘+ A按钮选择它们,然后将它们驱动到“废纸篓”。
启动Google Chrome并打开下拉菜单
将光标移到“ 工具 ”上,然后从扩展菜单中选择“ 扩展 ”
从打开的“ 扩展 ”菜单中找到附加组件,然后单击右侧的垃圾箱图标。
之后扩展被删除,请重新启动谷歌浏览器从红色的“关闭它X在右上角的”,并再次启动它。
当您因不需要的脚本和程序(如GANDCRAB v5.0.9)而在Mac上遇到问题时,消除威胁的推荐方法是使用反恶意软件程序。Combo Cleaner提供高级安全功能以及其他模块,可以提高Mac的安全性并在将来保护它。
关注服务号,交流更多解密文件方案和恢复方案: