Soft2Secure

GandCrab 5.2 ransomware: decryptor dan penghapusan virus

GandCrab 5.2 ransomware: decryptor dan penghapusan virus

Menanggapi rilisnya versi ransomware GandCrab 5.2 baru-baru ini, dapatkan wawasan tentang fitur-fitur barunya dan pelajari bagaimana cara memulihkan file yang dienkripsi.

GandCrab ransomware adalah…

Pemerasan melalui virus crypto merujuk ke semua GandCrab untuk tahun kedua pada akhirnya. Sementara beberapa orang mungkin menganggap ini berlebihan sampai batas tertentu, merajalelanya ransomware ini di medan perang pemerasan dunia maya tidak dapat disangkal dan tampaknya tidak dirusak oleh jenis lainnya. Terlebih lagi, ia terus melahirkan spin-off secara teratur. Sebulan setelah versi 5.1 ditayangkan, GandCrab 5.2 muncul, dan tampaknya didukung oleh ambisi yang bahkan lebih jahat di dalamnya. Ada latar belakang “tangkap saya jika Anda bisa” di belakang varian terbaru ini. Begini ceritanya: salah satu vendor antimalware terkemuka di dunia, Bitdefender Labs, merilis alat dekripsi otomatis sekitar pertengahan Februari 2019 yang mendukung versi 1, 4 hingga 5.1 daru infeksi ini. Ini telah menjadi stimulus yang paling mungkin bagi para operator kampanye jahat ini untuk meluncurkan edisi baru secara berurutan. Dan inilah dia – GandCrab 5.2 telah tiba di sini, dan itu tidak dapat dipecahkan menggunakan decryptor yang disebutkan di atas.

Seperti versi sebelumnya, GandCrab 5.2 menampilkan wallpaper desktop menyeramkan dengan peringatan

Jelas, perubahan mendasar pada varian saat ini adalah di bidang enkripsinya. Para penjahat menemukan cacat dalam mekanisme kripto mereka yang telah diungkapkan dan dieksploitasi oleh topi putih, dan mereka harus segera memperbaiki bagian sandi dari rutinitas buruk mereka. Sayangnya, ini telah menjadi upaya yang berhasil dan para korban masih terikat untuk bernegosiasi dengan para penjahat jika mereka ingin data berharga mereka kembali. Selain itu, serangan itu pada dasarnya terlihat sama di luar. Pucuk gunung es masih terdiri dari wallpaper desktop yang dikonfigurasi ransomware untuk ditampilkan, bukan yang disukai pengguna. Ini berisi peringatan yang mengatakan, “Dienkripsi oleh GandCrab 5.2” dan mewarisi kata-kata lama yang berbunyi, “File Anda di bawah perlindungan kuat oleh perangkat lunak kami. Untuk mengembalikannya, Anda harus membeli dekriptor ”. Secara umum, tidak ada yang berubah dalam konteks ini.

Pengguna yang terinfeksi diminta untuk membuka file bernama [RANDOM]-MANUAL.txt, yang sudah jelas untuk ditemukan karena dijatuhkan ke setiap folder terenkripsi. Ini adalah catatan tebusan yang menegaskan kembali peringatan desktop, hanya dengan formulasi yang agak diperluas, dan menginstruksikan korban untuk mengunjungi halaman dekripsi pribadi mereka menggunakan Tor Browser. Orang jahat ini cukup “murah hati” untuk menawarkan dekripsi gratis satu file sebagai bukti pemulihan yang layak. Tapi itu kenyamanan sementara. Halaman pembayaran yang dijalankan para pemeras, yang merupakan domain .onion, memaksa pengunjung untuk mengirim Dash atau Bitcoin senilai $ 1.200 mata uang kripto dengan imbalan perangkat lunak dekripsi. Ada tenggat waktu – biasanya seminggu – setelah itu jumlahnya akan menjadi dua kali lipat. GandCrab 5.2 juga menjalani perbaikan dari logika distribusi. Selain email spam biasa, atau lebih tepatnya phishing, serta alat crack perangkat lunak yang terjebak dan mengeksploitasi kit, musuh-musuh telah mulai menggunakan peretasan RDP. Mereka menggunakan solusi pemindaian Internet untuk menemukan port terbuka yang terkait dengan layanan desktop jarak jauh. Teknik semacam itu memungkinkan penjahat untuk benar-benar membobol komputer Windows yang rentan, menjatuhkan biner ransomware (rlxbp.exe atau yang serupa) dan menjalankannya tanpa disadari.

GandCrab 5.2 beraksi

Setelah aktif dan berjalan, program penyerang pertama-tama melakukan pencarian data besar-besaran pada host yang terkontaminasi. Pemindaian membandingkan semua file pengguna dengan basis data format yang populer. Dengan cara ini, GandCrab 5.2 secara akurat menemukan objek data pribadi korban. Selanjutnya, OPT memanfaatkan kombinasi cryptosystems RSA dan AES untuk mengunci setiap item yang terdeteksi. File yang dienkripsi juga berubah secara eksternal. Masing-masing mendapat ekstensi yang tampak acak ditambahkan ke nama file asli. String ini khusus untuk korban dan terdiri dari 4-10 karakter. Misalnya, spreadsheet bernama PieChart.xlsx berubah menjadi sesuatu seperti PieChart.xlsx.lbqxi. Ngomong-ngomong, ekstensi cocok dengan bagian pertama dari nama catatan tebusan, jadi dalam hal ini akan menjadi LBQXI-MANUAL.txt. Begitu banyak rantai serangan GandCrab 5.2. Seperti disebutkan di atas, korbannya tidak dapat mengandalkan dekripsi gratis untuk mendapatkan file mereka kembali. Dalam keadaan tersebut, ada dua opsi. Salah satunya adalah menyerahkan uang untuk para penjahat dan berharap mereka akan memenuhi janji mereka. Yang lain adalah mengikuti langkah-langkah di bawah ini dan mencoba mengembalikan data dengan beberapa cara alternatif. Pilihan ada di tangan Anda, tetapi pilihan terakhir patut dicoba.

Penghapusan otomatis virus ransomware GandCrab 5.2

Pemusnahan ransomware ini dapat secara efisien dicapai dengan menggunakan perangkat lunak keamanan yang handal. Berpegang pada teknik pembersihan yang otomatis akan memastikan bahwa semua komponen dari infeksi tersebut bisa benar-benar dihapus dari sistem Anda.

1. Download utilitas keamanan yang direkomendasikan dan memeriksa PC Anda dari obyek-obyek berbahaya dengan memilih opsi Start Computer Scan.

Unduh penghilang virus GandCrab v5.2

2. Scan akan muncul dengan daftar item yang terdeteksi. Klik Fix Threats untuk menghapus virus dan infeksi yang terkait dari sistem Anda. Melengkapi fase proses pembersihan ini adalah hal yang paling mungkin dilakukan untuk menyelesaikan pemberantasan yang tepat wabah. Sekarang Anda menghadapi tantangan yang lebih besar – mencoba dan mendapatkan data Anda kembali.

Metode untuk mengembalikan file yang dienkripsi oleh GandCrab v5.2

Solusi 1: Gunakan software perbaikan file

Sangat penting untuk diketahui bahwa virus GandCrab 5.2 menciptakan salinan file Anda dan mengenkripsinya. Sementara itu, file asli bisa dihapus. Ada aplikasi di luar sana yang dapat mengembalikan data yang sudah terhapus. Anda dapat menggunakan tool seperti Data Recovery Pro untuk tujuan ini. Versi terbaru dari ransomware di bawah pertimbangan cenderung menerapkan penghapusan yang aman dengan beberapa banyak tulisan, tetapi dalam hal apapun metode ini patut untuk dicoba.

Unduh Data Recovery Pro

Data Recovery Pro

Solusi 2: Memanfaatkan backup

Yang pertama dan terpenting, ini adalah cara yang bagus untuk memulihkan file Anda. Ini hanya berlaku, meskipun, jika Anda sudah membuat cadangan informasi yang tersimpan di komputer Anda. Jika demikian, jangan ragu untuk mendapatkan keuntungan dari pemikiran Anda.

Solusi 3: Gunakan Shadow Volume Copies

Dalam kasus yang tidak Anda ketahui, sistem operasi ini menciptakan apa yang disebut Shadow Volume Copies dari setiap file selama System Restore diaktifkan pada komputer. Ketika poin pemulihan dibuat dengan selang waktu tertentu, snapshot dari file seperti akan muncul pada saat bersamaan. Metode ini tidak menjamin pemulihan versi terbaru dari file Anda. Ini tentu layak dicoba meskipun demikian. Alur kerja ini dapat dilakukan dalam dua cara: manual dan melalui penggunaan solusi otomatis. Mari pertama-tama kita lihat proses manualnya.

  • Pakai fitur Versi Sebelumnya

    OS Windows menyediakan pilihan bawaan untuk memulihkan versi file sebelumnya. Hal ini juga dapat diterapkan untuk folder. Cukup klik kanan file atau folder, pilih Properties dan tekan tab Previous Versions. Dalam area versi, Anda akan melihat daftar salinan file/folder, dengan waktu dan indikasi tanggal masing-masing. Pilih entri terbaru dan klik Copy jika Anda ingin mengembalikan objek ke lokasi baru yang bisa Anda tentukan. Jika Anda klik tombol Restore, item tersebut akan dikembalikan ke lokasi semula.
    Previous versions

  • Gunakan alat Shadow Explorer

    Alur kerja ini memungkinkan untuk memulihkan versi file dan folder sebelumnya secara otomatis, tidak manual dan satu-persatu. Untuk melakukan hal ini, unduh dan instal aplikasi ShadowExplorer. Setelah Anda menjalankannya, pilih nama drive dan tanggal saat versi file diciptakan. Klik kanan folder atau file yang diinginkan dan pilih opsi Export. Lalu tentukan lokasi pemulihan data.
    ShadowExplorer

Memverifikasi apakah ransomware GandCrab 5.2 sudah sepenuhnya terhapus

Sekali lagi, penghapusan malware saja tidak mengarah pada dekripsi dari file pribadi Anda. Metode pegembalian data yang disorot di atas tersebut mungkin atau tidak mungkin melakukan trik, tapi ransomware sendiri bukanlah milik dalam komputer Anda. Sekali-kali sering datang dengan malware yang lainnya, yang mengapa hal tersebut sungguh masuk akal untuk dilakukannya pemindaian sistem berulang kali dengan perangkat lunak keamanan otomatis untuk memastikan tidak ada sisa-sisa berbahaya dari virus ini dan ancaman terkait yang tersisa di dalam Windows Registry dan lokasi-lokasi yang lainnya.

Unduh pemindai dan penghilang ransomware GandCrab 5.2