Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus CRAB, jak odszyfrować pliki

yamall 03 Kwi 2018 18:54 9171 71
  • #1 03 Kwi 2018 18:54
    yamall
    Poziom 9  

    Cześć, u żony na lapku wysloczył jakiś wiruch, Pozamieniał wszystko na rozszerzenia .CRAB no i zapłać panie 400$ czy ileś tam.
    Wirusa już nie ma (tak mi sie wydaje przeynajmniej), no ale pliki szlag trafil...... chyba że jest jakaś metoda... pomóżcie.

    Niby kaspersky coś wymyślił z tego co czytałęm, ale mi to narzędzie w ogóle nie pomaga.

    HELP !

    0 29
  • #3 04 Kwi 2018 06:55
    yamall
    Poziom 9  

    Niestety, nic z tego

    0
  • #4 04 Kwi 2018 08:43
    Kolobos
    Spec od komputerów

    Mozesz zapomniec o plikach.

    0
  • #5 04 Kwi 2018 20:22
    yamall
    Poziom 9  

    A jeśli wiruch usunięty..... formatować i system od nowa czy wystarczy jak powywalam pliki i będzie wszystko OK ?

    0
  • #6 04 Kwi 2018 22:36
    dt1
    Moderator - Komputery Serwis

    Jeśli usunąłeś wirusa to nie musisz robić reinstalacji. Chyba że któreś krytyczne pliki związane z systemem zostały zaszyfrowane, ale większość wirusów stara się je ominąć. Jeśli nie widzisz żadnych błędów w funkcjonowaniu systemu, to nie ma powodu do reinstalacji.

    0
  • #7 05 Kwi 2018 08:42
    k45i89o98j66
    Poziom 12  

    https://blog.pointas.com.pl/ransomware-crab-drugie-grozniejsze-wydanie/

    Jeśli to ta druga wersja craba to jedyna szansa to odzyskanie kluczy deszyfrujących i odpowiedni decryptor.
    Zrobić trzeba kopię (obraz klonowanie) całego dysku na jakimś innym dysku lub dysku zewnętrznym (posektorowo) i odłożenie go do szuflady potem format całego dysku dotychczasowego i świeża instalacja systemu operacyjnego. A kopia (obraz) się przyda gdy decryptor będzie dostępny. Błąd że wirusa usuwałeś od razu bez sklonowania dysku na inny przez co ewentualne odzyskanie plików może być niemożliwe.

    Można próbować też odzyskiwać pliki np jpg przez różne programy do odzyskiwania danych ale nie robi się nigdy tego na dysku źródłowym . Koszty to na pewno zakup nowego dysku na który będziesz odzyskiwać dane + obraz. Szansa zawsze jest. Mogę spróbować pomóc. prv.

    2
  • #8 05 Kwi 2018 09:38
    pidar
    Spec od pamięci masowych

    yamall napisał:
    A jeśli wiruch usunięty.....

    Przywracanie systemu do wcześniejszego punktu sprzed "ataku" (o ile jest?) wystarczy zrobić.

    0
  • #9 05 Kwi 2018 09:42
    Kolobos
    Spec od komputerów

    Wiekszosc takich infekcje pierwsze co robi to usuwa punkty przywracania oraz kopie zapasowe.

    0
  • #10 05 Kwi 2018 10:27
    icooz
    Poziom 15  

    Jak można na przyszłość zabezpieczyć kopię zapasową przed skasowaniem?

    0
  • #11 05 Kwi 2018 12:56
    dt1
    Moderator - Komputery Serwis

    Wykonywać kopię zapasową:
    - na nośniku, z którego nie da się jej usunąć
    - na innym urządzeniu, które nie jest na stałe podłączone do komputera (dysk przenośny, pendrive)
    - w chmurze (dropbox, dysk google, onedrive, ...)
    - na serwerze NAS (tylko wypadałoby, żeby udział z tego serwera nie był na stałe zmapowany na komputerze z możliwością wykonania na nim operacji zapisu/kasowania).

    0
  • #12 29 Kwi 2018 15:45
    k45i89o98j66
    Poziom 12  

    Odkryta została nowa wersja 2.1 oprogramowania ransomware GandCrab. Ta wersja używa wtrysku kodu do svchost.exe i używa nowej domeny proxy ahnlab.com.

    Dodano po 26 [minuty]:

    nowy deszyfratot craba https://labs.bitdefender.com/wp-content/uploads/downloads/grandcrab-removal-tool/

    EDIT
    28-04-2018 pojawiła się wersja V3 GandCrab.
    Na razie pliki z rozszerzeniem z wersji v2 i v3 .crab nie są niemożliwe do odszyfrowania.Pozostaje czekać na przejęcie klucza.

    Dodano po 6 [minuty]:

    Gdy komputer zostanie zainfekowany crabem nie usuwajmy go od razu!!!.
    Robimy na dysku zewnętrznym kopie posektorową całego zarażonego dysku.
    Pliki z końcówką .CRAB zgrywamy oddzielnie do jednego katalogu na innym dysku.
    Okno komunikatu o zaszyfrowaniu plików i plik txt z listą plików zaszyfrowanych też zgrywamy na inny dysk.
    Potem można odwirusować komputer i czekać na dekoder lub sukces organów ścigania.

    Dodano po 3 [minuty]:

    pliki z końcówką .GDCB można już uratować.

    EDIT
    Wygląd komunikatu o zaszyfrowaniu plików GandCrab v2.1
    Wirus CRAB, jak odszyfrować pliki

    Wygląd komunikatu o zaszyfrowaniu plików GandCrab v3.0
    Wirus CRAB, jak odszyfrować pliki

    Dodano po 2 [minuty]:

    Po zaszyfrowaniu wirus GandCrab 3 zmienia sekwencję rozruchową, eliminując kopie woluminów w tle, korzystając z wiersza poleceń i PowerShell jako administrator, a następnie rozszyfrowuje algorytm szyfrowania AES-256 (tryb CBC) + RSA-2048. W tle systemu złośliwe oprogramowanie uruchamia random.exe. Może również przejąć plik explorer.exe i zmusić system do ponownego uruchomienia, aby zakończyć szyfrowanie.

    Dodano po 2 [minuty]:

    instrukcja jak odszyfrować pliki .GDCB
    https://www.nomoreransom.org/uploads/GANDCRAB%20RANSOMWARE%20DECRYPTION%20TOOL.pdf





    Dodano po 50 [minuty]:

    Inne nazwy tego zagrożenia w zależności od programów antywirusowych:
    Eset
    Win32/Filecoder.GandCrab
    Win32/Filecoder.GandCrab.A
    Win32/Filecoder.GandCrab.B
    Win32/Filecoder.GandCrab.C

    Trojan.Win32.Jorik.sbs (Kaspersky)
    Trojan.Encoder.24386 (Dr.Web)

    EDIT
    GandCrab Wersja 3 wydana z funkcją Autorun i tłem pulpitu.

    V3 została wydana na początku tego tygodnia z kilkoma zauważalnymi zmianami. Najbardziej zauważalną zmianą jest dodanie tła pulpitu i autorun, który powoduje, że oprogramowanie ransomware uruchamia się automatycznie po ponownym uruchomieniu komputera.

    Fortinet zauważył także, że GandCrab v3 jest dystrybuowany w kampaniach malspam. Te wiadomości e-mail zawierające spam zawierają tematy takie jak "Zamówienie nr 65121" i zawierają załączniki z programem do pobierania VBS, który instaluje GandCrab v3.

    Karta okupu nadal nosi nazwę CRAB-DECRYPT.txt, a zaszyfrowane pliki nadal mają rozszerzenie .CRAB.


    Wprowadzono także klucz RunOnce, który spowoduje, że GandCrab uruchomi się automatycznie po zalogowaniu użytkownika. Po instalacji GandCrab zaszyfruje komputer, ustawi tło, a następnie automatycznie zrestartuje komputer. W przypadku użytkowników Windows 7 występuje problem z metodą, ponieważ autorun powoduje otwarcie przeglądarki TOR i wyświetlanie tła pulpitu, ale nie wyświetla pulpitu.

    Naukowcy Fortinet uważają, że może to być błąd w programie dla tych, którzy używają Windows 7, który powoduje, że prezentuje to zachowanie ekranu. W pewnym sensie to zachowanie może faktycznie przynieść korzyść deweloperom oprogramowania ransomware, ponieważ może spowodować dalszą panikę i więcej płatności za okup.

    Wreszcie, ta wersja wprowadza domenę "carder.bit" jako serwer, z którym komunikuje się oprogramowanie ransomware. Twórcy GandCrab mają poczucie humoru, gdy nazywają powiązane domeny jako hasła do firm ochroniarskich, stron internetowych takich jak BC i naukowców. Ten jest odniesieniem do tych, którzy dokonują oszustw związanych z kartami kredytowymi.

    Ponownie, niestety ta wersja nie może zostać odszyfrowana za darmo.

    EDIT
    Podobno:
    Istnieje możliwość odszyfrowania plików .CRAB przy użyciu LABORATORIUM Dr.Web ANTI-VIRUS. Ta metoda jest bezpłatna dla użytkowników, którzy mają aktualną subskrypcję dowolnego produktu Dr.Web, w przeciwnym razie będzie kosztować 150 EURO (Ta cena obejmuje usługę odszyfrowywania i dwuletnią licencję Dr.Web Security Space na 1 komputer).

    Dodano po 9 [minuty]:

    Czemu mnie to nie dziwiże akurat u Rosjan jest ta usługa?

    Posty scaliłem w jeden. RADU23

    0
  • #13 28 Maj 2018 20:16
    matig7
    Poziom 10  

    Wiadomo może czy coś ruszyło do przodu w temacie?
    Czy na chwilę obecną nadal nie ma możliwości nic zrobić?

    1
  • #14 31 Maj 2018 21:46
    Kossowski13
    Poziom 2  

    Witam
    Proszę o informację, mam problem Wirus CRAB zaszyfrować mi jeden folder na dysku D oraz jeden na C, na nim również miałem wirusa trojana (tyle że nie pamiętam nazwy wiem że kończył się " .A "). Zrobiłem przywrócenie wersji fabrycznej Windows'a (sformatowanie partycji C oraz ponowną instalacje Windows'a).
    Na dysku D nadal mam jeden folder zaszyfrowany reszta folderów działa.

    Prosze o informacje czy CRAB jest wirusem i nadal będzie mi szyfrował pozostałe foldery na dysku D ?? Czy zaszyfruje mi znów foldery na dysku C ?
    Co zrobić by się pozbyć tego dziadostwa ??

    Przeskanowałem cały komputer, oraz osobno także dysk D programem McAfee, nic nie znalazł w obu przypadkach.
    Czyli mam rozumieć że wirusa się pozbyłem?

    Bardzo dziękuję za odpowiedź i wszelką pomoc. Pozdrawiam.

    0
  • #15 01 Cze 2018 22:37
    k45i89o98j66
    Poziom 12  

    wirus ten szyfruje pliki nie katalogi.
    co to był za trojan na A na końcu to jasnowidzem nie jestem więc trudno coś doradzić.
    więc czy to crab czy inny to tak naprawdę nie wiadomo.
    najpewniejszy sposób:
    1.format i zerowanie całego dysku ,nie przywracać z kopii fabrycznej.
    2.czysta instalacja windowsa
    3. 3 niezależne testy antywirusami innymi niż :McAfee, Kaspersky , Drweb ,Avast. Polecam
    Eset Nod, Bitdefender, Comodo Antywirus.
    poproszę o 5 próbnych zaszyfrowanych plików kończących się na .A

    Dodano po 30 [minuty]:

    Win32/Filecoder.GandCrab.B
    Win32/Filecoder.GandCrab.C
    obecnie tylko wersja A jest dekodowalna
    pozostałe wersje nie.
    Nieoficjalnie jest to możliwe ale klucze posiadają Rosyjscy specjaliści z Drweb

    Dodano po 22 [minuty]:

    koduje pliki z ogonkiem : PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAVCADFiles .DWG .DXFGISFiles .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML.DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCDSDF .TAR .TAX2014 .TAX2015 .VCF .XMLAudioFiles .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMAVideoFiles .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG

    Dodano po 24 [minuty]:

    Ciekawy artykuł z publikacji www.fortinet.com
    link poniżej
    https://www.fortinet.com/blog/threat-research/gandcrab-honor-among-thieves.html
    wszelkie ślady prowadzą do Rosjan nawet pada konkretny numer telefonu +380668846667
    może spróbować zadzwonić do "producentów"

    0
  • #16 01 Cze 2018 22:49
    pidar
    Spec od pamięci masowych
  • #17 02 Cze 2018 18:38
    Kossowski13
    Poziom 2  

    Dziękuję za informację.

    Prawdopodobnie były dwa wirusy. Jeden, którego nie pamiętam nazwy (ten z zakończeniem .A) oraz Filecoder GandCrab.
    O pierwszym, tym którym nazwę zapomniałem poinformował mnie Windows Defender.

    Zrobiłem formatowanie dysku C (z całkowitym wymazem danych, aby nie można było ich przywrócić).
    Dysk D zostawiłem bo mam na nim mnóstwo cennych danych.

    Przeskanowałem system: Windows Defender oraz Windows Defender Offline (po kontakcie z Microsoftem)
    McAfee
    Microsoft Safety Scanner
    Windows Malicious Software Removal Tool (MSRT)
    ESET Online Scanner
    Malwarebytes

    Windows oraz McAfee nic nie znalazły (skanowałem pierw cały system (dysk C oraz D), później również sam dysk D).
    Eset znalazł na dysku D, 3 pliki zarażone, dwa ogólno dostępne dla mnie pliki w notatniku z okupem (.txt) oraz jeden ukryty w $recycle.bin/s-1-5-18 również plik tekstowy (.txt). Usunąłem również cały folder $recycle.bin/s-1-5-18.
    Malwarebytes nic również nie znalazło.

    Mam nadzieję, że pozbyłem się tego świństwa.
    Proszę o informację w jaki sposób Filecoder GandCrab szyfruje pliki ? Robi to aplikacja, którą otworzyłem (pobrany przez email plik pdf z końcówką .pdf.js) czy zdalnie ktoś przejmuje mój komputer ??

    Z góry dziękuję za odpowiedź.
    Pozdrawiam.

    0
  • #18 11 Cze 2018 09:51
    k45i89o98j66
    Poziom 12  

    W dalszym ciągu nikt nie wstawił 5-ciu plików zaszyfrowanych crabem. Można prosić o próbki.?

    1
  • #20 15 Cze 2018 07:02
    k45i89o98j66
    Poziom 12  

    Dziękuje za pliki.
    Po analizie wersja v2 i v3 CRAB-a dalej nie jest możliwe odszyfrowanie plików.Trzeba czekać może coś się wyjaśni za rok, 2 lata, a może nigdy.

    0
  • #21 20 Cze 2018 09:59
    k45i89o98j66
    Poziom 12  

    Odpowiedź nadeszła z Doctor Web:

    Zidentyfikowany jako przypadek Trojan.Encoder.24384
    Niestety, odszyfrowywanie nie jest możliwe.
    Nie możemy odszyfrować plików zaszyfrowanych przez to złośliwe oprogramowanie.
    pozdrawiam, Bogdan Czugunow,
    dział wsparcia, Doctor Web, Ltd.

    0
  • #22 20 Cze 2018 11:28
    lover78
    Poziom 2  

    Może trzebaby napisac do Kaspersky Lab, Norton, Bitdefender i zobaczyć która firma pierwsza da rade ??

    0
  • #23 20 Lip 2018 11:13
    k45i89o98j66
    Poziom 12  

    Pojawiły się 2 nowe wersje Gandcrab v4 i Gandcrab v4.1 (20.07.2018)
    Stan na 20-07-2018

    nie do odszyfrowania :
    Gandcrab v2
    Gandcrab v3
    Gandcrab v4
    Gandcrab v4.1

    Dodano po 2 [minuty]:

    Ten kryptograficzna ransomware szyfruje dane użytkownika i serwerów za pomocą algorytmu Salsa20 i RSA-2048 służy do wspierania kluczy szyfrujących . Następnie żąda okupu w wysokości $ 1200 w DASH lub BTC, aby przywrócić pliki. Tytuł oryginalny: GandCrab ransomware v4
    Istnieją dowody na to, że oszuści są z Rumunii, ponieważ język rumuński jest na białej liście. Wśród dystrybutorów szyfr nie znając języka rosyjskiego. Widocznie to jest międzynarodową grupą z więzów w różnych krajach. Kontynuują tradycję i do podjęcia działań zmierzających do użytkowników komputerów PC z Rumunii, Rosji i niektórych krajach byłego Związku Radzieckiego (z wyjątkiem Łotwa, Litwa, Estonia), nie są szyfrowane. Ale środek ten jest ważny tylko dla komputerów z lokalizacji językowej białej listy.

    Dodano po 50 [sekundy]:

    https://id-ransomware.blogspot.com/2018/07/gandcrab-4-ransomware.html
    https://youtu.be/1_PdU4sJDlc

    1
  • #26 03 Wrz 2018 11:30
    k45i89o98j66
    Poziom 12  

    Aktualizacja : Pojawiła się nowa wersja GandCrab v4.4
    Obecnie nie ma żadnego narzędzia do odszyfrowywania
    Infekuje przez cracki do programów np. takiego jak SysTools PST Merge i strony oparte na Wordpress.

    0
  • #27 25 Wrz 2018 09:11
    k45i89o98j66
    Poziom 12  

    Aktualizacja 25-09-2018
    Nowa wersja v5 wydana.
    Źródło :https://www.bleepingcomputer.com/news/security/gandcrab-v5-released-with-random-extensions-and-new-html-ransom-note/

    Opis:
    GandCrab V5 został wydany z losowymi rozszerzeniami i nowymi zwyczajami związanymi z zabezpieczeniami związanymi z okupem HTML,
    które w wielu przypadkach są najważniejszymi krokami wszystkich:
    GandCrab v5 został wydany z kilkoma zauważalnymi zmianami.
    Pierwsza zmiana polega na tym, że oprogramowanie ransomware używa teraz losowego rozszerzenia o długości 5 znaków do zaszyfrowanych
    plików i nowego hasła do okupu HTML.
    Obecnie nie wiadomo, w jaki sposób dystrybuowany jest GandCrab v5.
    Poprzednie wersje wykorzystywały zestawy exploitów i cracky do dystrybucji oprogramowania ransomware,
    ale nie wydaje się, że zestawy exploitów obecnie dystrybuują tę wersję.
    Podobnie jak poprzednie wersje, nie da się odszyfrować ofiar GandCrab v5 za darmo.

    Jak GandCrab v5 szyfruje komputer
    Kiedy GandCrab v5 zostanie wykonany, skanuje komputer i wszelkie udziały sieciowe w poszukiwaniu plików do zaszyfrowania.
    Podczas skanowania udziałów sieciowych wylicza wszystkie udziały w sieci,
    a nie tylko zmapowane dyski.
    Dlatego ważne jest, aby upewnić się, że wszystkie udziały sieciowe są zablokowane w sieci.
    Gdy napotka docelowy plik, zaszyfruje plik, a następnie doda losowe 5-znakowe rozszerzenie.
    Na przykład, kiedy przetestowałem oprogramowanie ransomware, dołączyło rozszerzenie .lntps do nazwy zaszyfrowanego pliku.
    Spowoduje to, że plik o nazwie test.doc zostanie zaszyfrowany i zmieniony na test.doc.lntps.
    Poniżej znajduje się przykładowy folder z zaszyfrowanymi plikami.
    Podczas szyfrowania plików ransomware tworzy również notatki okupu o nazwie [rozszerzenie] -DECRYPT.html.
    Na przykład w naszym teście rozszerzeniem było lntps, więc nota okupu nosi nazwę LNTPS-DECRYPT.html.
    Ta notatka dotycząca okupu zawiera informacje o tym, co stało się z twoimi plikami i instrukcje, jak uzyskać dostęp do witryny płatności TOR,
    która jest obecnie pod adresem http://gandcrabmfe6mnef.onion..
    Poniżej znajduje się przykładowa wzmianka o okupie.
    Kwota okupu wynosi obecnie 800 USD do zapłaty w kryptowalutie DASH (DSH), co widać poniżej.
    Strona płatności TOR zawiera również darmowy deszyfrator testów i stronę wsparcia, gdzie można wysyłać i odbierać wiadomości z programistami ransomware.
    Jak już wspomniano, nie ma sposobu, aby odszyfrować pliki zaszyfrowane przez GandCrab v5 za darmo.

    Wirus CRAB, jak odszyfrować plikiWirus CRAB, jak odszyfrować plikiWirus CRAB, jak odszyfrować pliki

    Dodano po 1 [minuty]:

    Lepiej zrobić kopie wszystkiego bo potem "nie będzie niczego"

    1
  • #28 15 Paź 2018 11:43
    k45i89o98j66
    Poziom 12  

    Wyszły nowe wersje 5.0.2 i 5.0.3
    Źródło:
    https://securingtomorrow.mcafee.com/mcafee-la...artners-with-crypter-service-for-obfuscation/

    oraz

    https://www.bleepingcomputer.com/news/securit...october-12th-2018-notpetya-gandcrab-and-more/

    cytat" Autorzy GandCrab szybko przeprowadzili się, aby ulepszyć kod i dodali komentarze, aby sprowokować społeczność bezpieczeństwa, organy ścigania i organizację NoMoreRansom. Pomimo zwinnego podejścia programistów, kodowanie nie jest profesjonalne, a błędy zazwyczaj pozostają w złośliwym oprogramowaniu (nawet w wersji 5.0.2), ale szybkość zmian jest imponująca i zwiększa trudność w jej zwalczaniu.

    Grupa stojąca za GandCrab osiągnęła kultowy status na podziemnych forach; Autorzy są niewątpliwie pewni siebie i mają silne umiejętności marketingowe, ale bezbłędne programowanie nie jest ich mocną stroną."


    Dalej bez zmian nie można nic odkodować.

    1
  • #29 15 Paź 2018 12:16
    PRL
    Poziom 34  

    Tak sobie czytam ten wątek i brak w nim opisu metody infekcji.

    0
  • #30 15 Paź 2018 12:18
    Kolobos
    Spec od komputerów

    @PRL zazwyczaj jest taka sama, sciagasz lub dostajesz mailem zainfekowany plik, uruchamiasz i gotowe.

    0