GandCrab 5.1 ist sowohl eine ganz normale als auch eine außergewöhnliche Sorte von Ransomware. Wie Mainstream Kryptoviren verbreitet auch dieser sich hinter dem Rücken eines Opfers, verschlüsselt alle wertvollen Daten auf dem infizierten Host und verlangt dann eine bestimmte Menge an Kryptowährung zur Entschlüsselung. Dies ist eine gängige Praxis, die Cyberkriminelle seit vielen Jahren ihren Lebensunterhalt verschafft hat. Was dieses besondere Übel jedoch einzigartig macht, ist, dass es eine Familie darstellt, die von hochkarätigen Angreifern betrieben wird, die über eine herausragende Kompetenz in der Verteilung von Malware, Kryptographie und Selbst-Anonymisierung verfügen. GandCrab wurde Anfang 2018 gestartet und erlitt eine Beschlagnahmung von Befehls- und Kontrollserver und kürzlich die Veröffentlichung eines kostenfreien Decryptors durch ein renommiertes Antimalware-Labor. Dennoch hält es sich immer noch über Wasser und produziert weiterhin Ableger.
GandCrab 5.1 kann durch eine Reihe von Markenzeichen identifiziert werden. Ähnlich wie sein Vorläufer GandCrab v5.0.4, fügt es jedem verschlüsselten Element eine zufällig aussehende Erweiterung hinzu, ohne den Dateinamen selbst zu ändern. Die Länge dieses Suffixes ist unterschiedlich, aber es handelt sich hauptsächlich um eine Zeichenkette von 6-10 Zeichen. Daher wird eine Kalkulationstabelle Test.xlsx in Test.xlsx.hbenfmdmca oder ähnliches umbenannt. Außerdem lässt die Infektion eine Meldung über Lösegeld erscheinen, deren Name eine Großbuchstabenvariante der neu zugewiesenen objektspezifischen Erweiterung enthält. Es wird daher ähnlich wie HBENFMDMCA-DECRYPT.txt. aussehen. Der Schaden bringende Code ändert auch das Desktop-Hintergrundbild in eine Warnmeldung, wie Sie im Screenshot sehen.
Wenn wir gerade von dem oben genannten Entschlüsselungs-Durchbruch reden, das Tool unterstützt nicht GandCrab 5.1. Die Gauner müssen ihre Krypto-Implementierung überarbeitet haben, um den Fehler zu beseitigen, der es den ‚Guten‘ ermöglichte, die Verschlüsselung überhaupt zu überwinden. Jetzt stehen die Opfer also dem rücksichtslosen digitalen Gegner gegenüber. Die folgende Beschreibung des Vorgehens dieser Infektion ist daher sowohl für die Angreifer als auch für die Benutzer nützlich, die ihre Daten sicher aufbewahren wollen.
GandCrab 5.1 macht die Runden auf verschiedene Weise. Die dominierende Technik bleibt unverändert – es ist der bewährte Spam. Die Täter nutzen die Massen-Mailing-Funktion eines Botnets, um E-Mails der Schurken an zahlreiche Anwender zu senden. Während die eigentlichen Nachrichten sicher sind, sind die Anhänge es nicht. Das sind typischerweise Dokumente mit Sprengfallen, die zu Makros passen, deren Ziel es ist, heimlich einen JavaScript-Code zu starten. Auf diese Weise werden die Ransomware-Binärdateien und andere Komponenten auf den Computer heruntergeladen. Ein weiterer Verbreitungsmechanismus, der aufdreht, um noch eine Steigerung drauf zu legen, gefährdet Anwender, die mit der Aktivierung der App dem rutschigen Hang des Foul-Spiels auf den Leim gegangen sind. In diesem Fall ist es ein Crack-Tool, das gängige Software-Suiten wie Microsoft Office ansteckt. Der Arbeitsablauf ist simpel: Eine Person lädt Code herunter und startet ihn, der als Crack-Lösung getarnt ist, aber es ist eigentlich das GandCrab 5.1-Binary in Verkleidung. Ein paar Sekunden vergehen, und die Ransomware ist an Bord.
Nachdem das Täterprogramm den Großteil der wertvollen Daten auf der Festplatte und den Netzlaufwerken der kontaminierten Maschine entdeckt hat, sperrt es diese mit seinen erweiterten Kryptoalgorithmen. Eine große Neuerung, die in der GandCrab 5.1-Variante wirksam wurde, ist, dass die Verschlüsselungsgeschwindigkeit gestiegen ist. Als nächstes werden die Dateinamen aller persönlichen Dokumente, Datenbanken, Videos, Fotos und anderer wichtiger Dateien mit einer neuen Erweiterung versehen. Auch hier handelt es sich um eine zufällige Zeichenkette, die für das jeweilige Opfer einzigartig ist. Auf dem gruseligen Desktop-Hintergrund steht: „Encrypted by GandCrab 5.1“ (Verschlüsselt von GandCrab 5.1) und enthält einen Hinweis auf die TXT-Lösungsnotiz. Der Letztere wiederum enthält einen Tor-Link, dem das Opfer folgen soll und der zur Zahlungsseite führt. Es listet zwei Zahlungsmöglichkeiten auf (über Bitcoin oder Dash Kryptowährung), es gibt die BTC-Wallet-Adresse der Kriminellen an und zeigt zusätzlich Informationen über die Frist an, bevor sich die Höhe des Lösegeld verdoppelt.
So viel zur Taktik des GandCrab 5.1. Was sollten die Opfer tun? Leider warten wir noch darauf, dass ein kostenfreies Entschlüsselungswerkzeug veröffentlicht wird – zumindest gibt es zum Zeitpunkt dieses Artikels keins. Das Senden des Lösegeldes ist definitiv nicht im besten Interesse des Anwenders, denn das bedeutet, dass die Mistkerle gewinnen. Außerdem ist das auch eine Menge Geld. Der Betrag kann $800 im Wert von BTC oder DSH betragen, kann aber auch mehrfach diese Summe erreichen. Unter diesen Umständen ist es sicherlich empfehlenswert, zuerst einige der besten Praktiken der forensischen Datenrettung auszuprobieren.
Automatische Entfernung des GandCrab 5.1 Verschlüsselungstrojaner
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
GandCrab 5.1 Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Dateien wiederherstellen, die von der GandCrab v5.1 Ransomware verschlüsselt wurden
Es wurde bereits erwähnt, dass GandCrab 5.1 eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass GandCrab 5.1 die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von GandCrab 5.1 verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Verifizieren Sie, ob die GandCrab 5.1 Verschlüsselungstrojaner vollständig entfernt worden ist
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den GandCrab 5.1 Ransomware Scanner und Entferner herunter