Die neue GandCrab v5.0.4 Variante des schändlichen Verschlüsselungstrojaner-Stammes ist in schneller Folge nach dem Vorläufer in Umlauf gekommen, wobei einige Optimierungen in Kraft getreten sind.
Heutzutage müssen Kriminelle niemanden mehr entführen, um Erpressung zu betreiben. Die allgegenwärtige Konnektivität über das Internet hat es solchen Verbrechen ermöglicht, digital zu werden. Demzufolge fangen sich Tausende von Computeranwendern auf der ganzen Welt jeden Tag bösartigen Code ein, dessen Typus die Kryptographie verwendet, um Daten im Handumdrehen unzugänglich zu machen. Da es bei diesem Szenario darum geht, den Entschlüsselungsschlüssel zu bekommen, können die Gauner, die diesen geheimen Datenblock aufbewahren, einen stark Ausgangspunkt haben und verlangen Geld – meist Kryptowährung – für die Wiederherstellung der scheinbar verlorenen Dateien.
Die Autoren der GandCrab-Ransomware, einer der dominierenden Linien zu diesem Zeitpunkt, erfinden das Rad überhaupt nicht neu und bleiben diesem ausgetretenen Weg treu, der für so ziemlich jede andere Erpressungs-Malware-Familie da draußen üblich ist. Diese Infektion, einschließlich der neuesten Variante GandCrab 5.0.4, hebt sich jedoch in gewisser Weise von der Mehrheit ab.
Im Gegensatz zu vielen anderen Lösegeld-Trojanern auf der ganzen Welt erweitert GandCrab v5.0.4 den visuellen Bedrohungseffekt, indem es den Desktop-Hintergrund auf einem kontaminierten Host auswechselt. Es ersetzt einfach das vom Opfer bevorzugte durch ein dunkel gefärbtes Bild mit einem Text als Anleitung zur Wiederherstellung. Diese Taktik lässt den Angriff erschreckender erscheinen und zwingt viele Opfer, sich mit ihrer Lösegeldzahlung zu beeilen. Auch dieses Vorkommen nutzt eine Verschmelzung verschiedener Streumechanismen. Es kann Hosts durch bösartigen Spam, RDP-Brutale-Gewalt-Angriffe (Brute Force), schlechten Code, der auf kompromittierten Webseiten lauert, und sog. Exploit-Kits (Ausbeutungs-Sets) erreichen, die ungepatchte Software-Schwachstellen ausnutzen.
Sobald der Angriff stattgefunden hat, sieht sich das Opfer einer Reihe von offensichtlichen Folgen gegenüber. Zusätzlich zu den oben genannten Desktop-Hintergründen, die durch den Drecksack ausgewechselt worden sind, sperrt GandCrab 5.0.4 die persönlichen Dateien des Opfers und fügt jedem eine zufällige Erweiterung beliebiger Länge hinzu. Das Suffix kann bis zu 9 Zeichen lang sein und, obwohl es keinen Sinn zu machen scheint und keiner offensichtlichen Logik folgt, ist es für jedes Opfer einzigartig, und das ist der Trick für die Gauner, da sie die infizierten Benutzer auf diese Weise identifizieren können. Infolgedessen verwandelt sich ein Beispiel mit dem Namen 1.pdf in 1.pdf.lwgapmlcu oder ähnliches Kauderwelsch.
![[random]-DECRYPT.txt Lösegeldforderung mit Entschlüsselungsschritten aus Sicht des Angreifers](https://linkmailer.de/wp-content/uploads/2018/11/decrypt-txt-ransom-note.png "[random]-DECRYPT.txt Lösegeldforderung mit Entschlüsselungsschritten aus Sicht des Angreifers")
Das nicht übertragbare Attribut eines Ransomware-Angriffs – und GandCrab 5.0.4 bildet da keine Ausnahme – ist eine Lösegeldforderung oder eine Reihe von ihnen. In diesem Fall werden die Opfer angewiesen, in eine Datei namens [random string]-DECRYPT.txt zu schauen, in der das Segment in Klammern gleich der neu zugewiesenen Dateierweiterung ist, mit der Ausnahme, dass die Zeichen groß geschrieben sind. Im Wesentlichen ist dieses Dokument eine Anleitung, die Schritte auflistet, um mit dem Verfahren der Datenrettung zu beginnen, falls das Opfer mit dem Lösegeld überhaupt einverstanden ist. Er fordert den infizierten Benutzer auf, den Tor-Browser zu installieren und seinem persönlichen Link über dieses datenschutzorientierte Internet-Navigationstool zu folgen. Dieser Link führt zur Bezahlseite, auf der steht, wie viel und an wen man bezahlen soll. Der Betrag liegt typischerweise bei etwa 800 USD im Wert von Bitcoin oder DASH. Nun, das ist im Grunde genommen der auffällige Teil der Aktivität des Schädlings. Das ist aber nur die Spitze des Eisbergs.
Berichten der Opfer zufolge unterstützt das Entschlüsselungstool Version 5.0.4 nicht, obwohl es für Subeditionen der fünften Generation des Täters bis zur Version 5.0.3 Wunder wirkt. Darüber hinaus ist eine wirklich bizarre Sache an GandCrab 5.0.4, dass es Bilder einer bestimmten Person über das gesamte geplagte System verteilen kann. Das sind Fotos von jemandem namens Valery Sinyaev, der sich als Finanzmanager bei einem russischen Logistikunternehmen herausstellt. Die Ransomware-Schöpfer hegen wahrscheinlich einen Groll gegen dieses Individuum, was auch immer.
GandCrab v5.0.4 ist im Grunde immer noch eine ernsthafte Bedrohung und die Kriminellen haben einige Kodierungs- und kryptografische Optimierungen vorgenommen, um eine einfache Wiederherstellung zu verhindern. Obwohl die Infektion derart programmiert ist, um Volumeschattenkopien der Dateien eines Benutzers zu löschen, versucht sie dies am Ende der Angriffskette zu tun, was nicht wirklich der übliche Ansatz ist. Dies kann eine kleine Chance auf einen Fehler bei der Deaktivierung des VSS geben. Jedenfalls ist ein solcher Vektor der Datenwiederherstellung einen Versuch wert. Alle anwendbaren Wiederherstellungsmethoden, darunter dieser, werden im Folgenden ausführlich beschrieben.
Automatische Entfernung des GandCrab 5.0.4 Verschlüsselungstrojaner
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
GandCrab 5.0.4 Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Dateien wiederherstellen, die von der GandCrab v5.0.4 Ransomware verschlüsselt wurden
Es wurde bereits erwähnt, dass GandCrab 5.0.4 eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass GandCrab 5.0.4 die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von GandCrab 5.0.4 verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Verifizieren Sie, ob die GandCrab 5.0.4 Verschlüsselungstrojaner vollständig entfernt worden ist
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den GandCrab 5.0.4 Ransomware Scanner und Entferner herunter