Viren

GandCrab v5.1 Ransomware entschlüsseln und entfernen

GandCrab v5.1 Ransomware entschlüsseln und entfernen

GandCrab 5.1 ist sowohl eine ganz normale als auch eine außergewöhnliche Sorte von Ransomware. Wie Mainstream Kryptoviren verbreitet auch dieser sich hinter dem Rücken eines Opfers, verschlüsselt alle wertvollen Daten auf dem infizierten Host und verlangt dann eine bestimmte Menge an Kryptowährung zur Entschlüsselung. Dies ist eine gängige Praxis, die Cyberkriminelle seit vielen Jahren ihren Lebensunterhalt verschafft hat. Was dieses besondere Übel jedoch einzigartig macht, ist, dass es eine Familie darstellt, die von hochkarätigen Angreifern betrieben wird, die über eine herausragende Kompetenz in der Verteilung von Malware, Kryptographie und Selbst-Anonymisierung verfügen. GandCrab wurde Anfang 2018 gestartet und erlitt eine Beschlagnahmung von Befehls- und Kontrollserver und kürzlich die Veröffentlichung eines kostenfreien Decryptors durch ein renommiertes Antimalware-Labor. Dennoch hält es sich immer noch über Wasser und produziert weiterhin Ableger.

GandCrab 5.1 kann durch eine Reihe von Markenzeichen identifiziert werden. Ähnlich wie sein Vorläufer GandCrab v5.0.4, fügt es jedem verschlüsselten Element eine zufällig aussehende Erweiterung hinzu, ohne den Dateinamen selbst zu ändern. Die Länge dieses Suffixes ist unterschiedlich, aber es handelt sich hauptsächlich um eine Zeichenkette von 6-10 Zeichen. Daher wird eine Kalkulationstabelle Test.xlsx in Test.xlsx.hbenfmdmca oder ähnliches umbenannt. Außerdem lässt die Infektion eine Meldung über Lösegeld erscheinen, deren Name eine Großbuchstabenvariante der neu zugewiesenen objektspezifischen Erweiterung enthält. Es wird daher ähnlich wie HBENFMDMCA-DECRYPT.txt. aussehen. Der Schaden bringende Code ändert auch das Desktop-Hintergrundbild in eine Warnmeldung, wie Sie im Screenshot sehen.

GandCrab 5.1 ersetzt den Desktop Hintergrund durch einen Warnhinweis

Wenn wir gerade von dem oben genannten Entschlüsselungs-Durchbruch reden, das Tool unterstützt nicht GandCrab 5.1. Die Gauner müssen ihre Krypto-Implementierung überarbeitet haben, um den Fehler zu beseitigen, der es den ‘Guten’ ermöglichte, die Verschlüsselung überhaupt zu überwinden. Jetzt stehen die Opfer also dem rücksichtslosen digitalen Gegner gegenüber. Die folgende Beschreibung des Vorgehens dieser Infektion ist daher sowohl für die Angreifer als auch für die Benutzer nützlich, die ihre Daten sicher aufbewahren wollen.

GandCrab 5.1 macht die Runden auf verschiedene Weise. Die dominierende Technik bleibt unverändert – es ist der bewährte Spam. Die Täter nutzen die Massen-Mailing-Funktion eines Botnets, um E-Mails der Schurken an zahlreiche Anwender zu senden. Während die eigentlichen Nachrichten sicher sind, sind die Anhänge es nicht. Das sind typischerweise Dokumente mit Sprengfallen, die zu Makros passen, deren Ziel es ist, heimlich einen JavaScript-Code zu starten. Auf diese Weise werden die Ransomware-Binärdateien und andere Komponenten auf den Computer heruntergeladen. Ein weiterer Verbreitungsmechanismus, der aufdreht, um noch eine Steigerung drauf zu legen, gefährdet Anwender, die mit der Aktivierung der App dem rutschigen Hang des Foul-Spiels auf den Leim gegangen sind. In diesem Fall ist es ein Crack-Tool, das gängige Software-Suiten wie Microsoft Office ansteckt. Der Arbeitsablauf ist simpel: Eine Person lädt Code herunter und startet ihn, der als Crack-Lösung getarnt ist, aber es ist eigentlich das GandCrab 5.1-Binary in Verkleidung. Ein paar Sekunden vergehen, und die Ransomware ist an Bord.

Nachdem das Täterprogramm den Großteil der wertvollen Daten auf der Festplatte und den Netzlaufwerken der kontaminierten Maschine entdeckt hat, sperrt es diese mit seinen erweiterten Kryptoalgorithmen. Eine große Neuerung, die in der GandCrab 5.1-Variante wirksam wurde, ist, dass die Verschlüsselungsgeschwindigkeit gestiegen ist. Als nächstes werden die Dateinamen aller persönlichen Dokumente, Datenbanken, Videos, Fotos und anderer wichtiger Dateien mit einer neuen Erweiterung versehen. Auch hier handelt es sich um eine zufällige Zeichenkette, die für das jeweilige Opfer einzigartig ist. Auf dem gruseligen Desktop-Hintergrund steht: “Encrypted by GandCrab 5.1” (Verschlüsselt von GandCrab 5.1) und enthält einen Hinweis auf die TXT-Lösungsnotiz. Der Letztere wiederum enthält einen Tor-Link, dem das Opfer folgen soll und der zur Zahlungsseite führt. Es listet zwei Zahlungsmöglichkeiten auf (über Bitcoin oder Dash Kryptowährung), es gibt die BTC-Wallet-Adresse der Kriminellen an und zeigt zusätzlich Informationen über die Frist an, bevor sich die Höhe des Lösegeld verdoppelt.

So viel zur Taktik des GandCrab 5.1. Was sollten die Opfer tun? Leider warten wir noch darauf, dass ein kostenfreies Entschlüsselungswerkzeug veröffentlicht wird – zumindest gibt es zum Zeitpunkt dieses Artikels keins. Das Senden des Lösegeldes ist definitiv nicht im besten Interesse des Anwenders, denn das bedeutet, dass die Mistkerle gewinnen. Außerdem ist das auch eine Menge Geld. Der Betrag kann $800 im Wert von BTC oder DSH betragen, kann aber auch mehrfach diese Summe erreichen. Unter diesen Umständen ist es sicherlich empfehlenswert, zuerst einige der besten Praktiken der forensischen Datenrettung auszuprobieren.

Automatische Entfernung des GandCrab 5.1 Verschlüsselungstrojaner

Die Ausrottung dieser Verschlüsselungstrojaner kann mit zuverlässiger Sicherheitssoftware effizient erreicht werden. Wenn Sie sich an die automatische Reinigungstechnik halten, wird sichergestellt, dass alle Komponenten der Infektion gründlich von Ihrem System ausgelöscht werden.

1. Laden Sie das empfohlene Sicherheitsprogramm herunter und lassen Sie Ihren PC auf böswillige Objekte überprüfen, indem Sie die Option Computer Jetzt Scannen auswählen

2. Der Scan zeigt eine Liste der erkannten Objekte. Klicken Sie auf Bedrohungen Beheben, um den Virus und die damit verbundenen Infektionen von Ihrem System zu entfernen. Diese Phase des Säuberungsprozesses fertig zu stellen wird höchstwahrscheinlich zur vollständigen Beseitigung der eigentlichen Pest führen. Jetzt stehen Sie vor einer größeren Herausforderung – versuchen Sie Ihre Daten zurück zu bekommen.

Dateien wiederherstellen, die von der GandCrab v5.1 Ransomware verschlüsselt wurden

Problemlösung 1: Verwenden Sie Datei Wiederherstellungs-Software

Es ist wichtig zu wissen, dass der GandCrab 5.1 Virus Kopien Ihrer Dateien erstellt und verschlüsselt. Inzwischen werden die Originaldateien gelöscht. Es gibt Anwendungen da draußen, welche die entfernten Daten wiederherstellen können. Hierzu können Sie Tools wie Data Recovery Pro nutzen. Die neueste Version der besagten Ransomware neigt dazu, sichere Löschung mit mehreren Überschreibungen anzuwenden, aber auf jeden Fall ist diese Methode einen Versuch wert.

DownloadLaden Sie Data Recovery Pro herunter

Problemlösung 2: Nutzen Sie Backups

In erster Linie ist dies eine gute Möglichkeit, Ihre Dateien wiederherzustellen. Es ist jedoch nur anwendbar, wenn Sie die auf Ihrem Computer gespeicherten Informationen gesichert haben. Wenn ja, versäumen Sie nicht, von Ihrer Voraussicht zu profitieren.

Problemlösung 3: Verwenden Sie Shadow Volume Kopien

Falls Sie es nicht wissen, das Betriebssystem erstellt so genannte Shadow Volume Kopien jeder Datei, solange die Systemwiederherstellung auf dem Computer aktiviert ist. Da Wiederherstellungspunkte in bestimmten Intervallen erstellt werden, werden Schnappschüsse von Dateien, die zu diesem Zeitpunkt erscheinen, ebenfalls erzeugt. Sie sollten aber wissen, diese Methode sichert nicht die Wiederherstellung der neuesten Versionen Ihrer Dateien. Es ist jedoch sicherlich einen Versuch wert. Dieser Weg einer Problemlösung ist auf zwei Arten möglich: manuell und durch die Verwendung einer automatischen Lösung. Werfen wir zunächst einen Blick auf den manuellen Prozess.

  • Verwenden Sie die Funktion Vorgängerversionen

    Das Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.vorherige-versionen

  • Nutzen Sie das Shadow Explorer-Werkzeug

    Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.shadow-explorer-export

Verifizieren Sie, ob die GandCrab 5.1 Verschlüsselungstrojaner vollständig entfernt worden ist

Noch einmal, Malware Entfernung allein führt nicht zur Entschlüsselung Ihrer persönlichen Dateien. Die oben genannten Methoden zur Datenwiederherstellung können zum gewünschten Ergebnis führen oder auch nicht, aber die Verschlüsselungstrojaner selbst gehört nicht auf Ihren Computer. Übrigens kommt es oft zusammen mit anderer Malware, weshalb es definitiv Sinn macht, Ihr System mit automatischer Sicherheitssoftware wiederholt zu scannen, um sicherzustellen, dass keine schädlichen Überreste dieses Virus und damit verbundenen Bedrohungen in der Windows Registrierung und anderen Stellen bleiben.

Laden Sie GandCrab v5.1 Scanner und Entferner herunter

Leave a Comment (0) ↓

Leave a Comment