Die berüchtigte GandCrab Virus hat die Version 4 erreicht, die verschlüsselte Dateien mit der .KRAB Erweiterung verunstaltet und die KRAB-DECRYPT.txt Lösegeldforderung fallen lässt.
Jede Pause der Aktivitäten der cyberkriminellen Bande hinter der GandCrab-Ransomware ist nichts anderes als eine kurze Stille vor dem Sturm. Das jüngste Erscheinen des GandCrab v4 bestätigt diese Aussage. Als Teil der brandneuen Version scheinen die Erpresser eine ganze Reihe von Dingen überarbeitet zu haben, darunter die Art und Weise, wie der Täter Daten verschlüsselt, mit Dateinamen umgeht und Geld von unglücklichen Opfern verlangt. Auch die Verteilung dieser Ausgabe weicht von den bisher verwendeten Mechanismen ab. Die derzeit umfangreichste Kampagne ist die Bereitstellung der toxischen Nutzlast über gefälschte Crack-Webseiten, die Anwender dazu ermutigen, Crack-Tools mit Sprengfallen für gängige Software wie Merging Image to PDF (Bild auf PDF umwandeln) herunterzuladen. Wenn ahnungslose Menschen auf den Download-Link klicken, springt die Lösegeldforderung hinter ihrem Rücken auf ihren Computer.
Die nächste Phase der Kontaminationskette wandert zum Zielrechner. Wenn sich der GandCrab v4 in einem Windows-Rechner befindet, löscht es Schattenkopien der Daten der Beute und startet eine massive Suche nach persönlichen Dateien. Zu diesem Zweck analysiert es sämtliche Dateien auf der geplagten Festplatte, Wechsellaufwerke sowie gemappte und ungemappte Netzwerkfreigaben auf Korrelation mit einer vordefinierten Liste von Formaten. Sobald ein passender Eintrag entdeckt wird, verschlüsselt das ausführende Programm ihn. Apropos, die neue Variante der Infektion hat die Verwendung von asymmetrischen RSA-Krypto-Standards zugunsten der Salsa20-Stream-Chiffre aufgegeben. Dies ist ein weiterer wesentlicher Unterschied zu den vorherigen Mods.
Nachdem die nicht autorisierte kryptographische Routine abgeschlossen ist, ändert die Ransomware die Dateinamen. In dieser Aktivität folgt er einem ziemlich einfachen Weg, indem er den vollständigen Original-Dateinamen nimmt und die Erweiterung .KRAB daran anhängt. Daher wird sample.jpg in sample.jpg.KRAB umgewandelt. Die gute Nachricht ist, dass das Opfer immer noch herausfinden kann, was verschlüsselt wurde. Die schlechte Nachricht ist jedoch, dass diese Objekte tabu sind und nicht mit alltäglichen Tools erreicht werden können. Die kryptographische Verkrüppelung der inneren Struktur der Daten ist die größte Geißel dieser Lösegeld-Angriffe.
An diesem Punkt wird der Benutzer wahrscheinlich anfangen, nach Hinweisen zu suchen, wie er seine Dateien tatsächlich entschlüsseln kann. Ein auf dem Desktop abgelegtes Dokument namens KRAB-DECRYPT.txt gibt Aufschluss über die Wiederherstellung aus Sicht der Kriminellen. Es heißt darin: „Achtung! Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien sind verschlüsselt und haben die Endung: .KRAB. Die einzige Möglichkeit, Dateien wiederherzustellen, ist der Kauf eines eindeutigen privaten Schlüssels.“ Dies ist ein Gartensortenkonzept – die Kriminellen weisen das Opfer an, eine bestimmte Tor-Seite zu besuchen, die den Rest des Wiederherstellungs-Workflows abdeckt.
Die Tor-Seite, die von den Übeltätern gebilligt wird, trägt den Titel Zahlseite (Payment Page). Sie enthält Informationen über die Höhe des Lösegeldes und die verbleibende Zeit bis zur Verdoppelung des Kaufpreises. Die Lösegelder werden in Dash oder Bitcoin akzeptiert. Letztendlich wird dem Opfer gesagt, dass es eine Kryptowährung im Wert von $1.200 an seine Adresse schicken soll. Wenn diese Summe nicht innerhalb von drei Tagen bezahlt wird, steigt sie auf den Gegenwert von 2.400 Dollar. Dies ist ein zusätzliches Druckelement, das bei Lösegeld-Autoren weit verbreitet ist. Leider gibt es momentan keine universelle freie Lösung, die .KRAB-Dateien entschlüsselt. Unter diesen Umständen ist es empfehlenswert, die untenstehenden Alternativen zu probieren.
Automatische Entfernung des GandCrab v4 Ransomware
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
GandCrab v4 Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Methoden zum Wiederherstellen von verschlüsselten .KRAB-Dateien
Es wurde bereits erwähnt, dass GandCrab v4 eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass GandCrab v4 die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von GandCrab v4 verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Verifizieren Sie, ob die GandCrab v4 Ransomware vollständig entfernt worden ist
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den GandCrab v4 Ransomware Scanner und Entferner herunter