Remover GandCrab 3 vírus (Instruções de remoção) - Jun 2018 actualização
Guia de remoção de virus GandCrab 3
O que é Ransomware GandCrab 3?
GandCrab v3 – perigoso vírus ransomware proveniente da famosa família GandCrab
GandCrab 3 é um cripto-vírus que funciona como uma terceira versão do famoso ransomware GandCrab. No final de abril de 2018, apenas alguns meses antes do lançamento do GandCrab2, os hackers atacaram novamente com uma nova força visando os utilizadores da Rússia, Bielorrússia, Cazaquistão e Ucrânia em particular. O GandCrab v3 usa a encriptação AES-256 (modo CBC) + RSA-2048 para codificar ficheiros pessoais e subsequentemente marcá-los com a extensão de ficheiro .CRAB. O ficheiro CRAB-DECRYPT.txt é uma nota de resgate que contém um guia explícito para a vítima pagar o resgate. São apenas aceites Bitcoins.
Nome | GandCrab 3 |
---|---|
Versões | GandCrab, GandCrab 2 |
Classificação | Ransomware |
Extensão de ficheiro | .CRAB |
Nota de Resgate | CRAB-DECRYPT.txt |
Principais sintomas | Ficheiros pessoais inacessíveis, nota de resgate criada no ambiente de trabalho, PC lento, fundo de ecrã do ambiente de trabalho comprometido, redireccionamentos do navegador para o website de pagamento |
Principais perigos | Compromete o sistema e pode causar uma falha grave. Os ficheiros pessoais podem ser eliminados permanentemente. Perda de dinheiro |
Remover ransomware manualmente não é possível. Para se livrar do mesmo deve obter um anti-malware profissional como o FortectIntego |
No final de abril de 2018 os peritos em ciber-segurança detetaram um exemplo do ransomware GandCrab v3. Genealogicamente, os seus predecessores são as versões GandCrab e GandCrab 2, ambas parecendo ser extremamente bem sucedidas da perspectiva dos bandidos. O lançamento inicial conseguiu recolher mais de 600,000 USD em menos de quatro meses.
Embora a variante inicial possa já ser desencriptada, a v2 não pode. O desencriptador para o GandCrab 3 também ainda não está disponível. De momento ainda não é cem por cento claro que técnicas de distribuição são exploradas para propagar este malware. Todavia, baseado na informação recolhida sobre este malware, os seguintes métodos podem ser aplicados:
- Magnitude Exploit Kit;
- Rig Exploit Kit;
- GrandSoft Exploit Kit;
- Campanha de malvertising;
- Recibo Feb-21310 [número aleatórios] como anexo de e-mail spam;
- Falsas atualizações da fonte de texto Hoefler;
- Serviços Remotos no Ambiente de Trabalho pirateados, etc.
Aquando da encriptação, o vírus GandCrab 3 altera a sequência de iniciação e elimina as Cópias de Volume Sombra usando o Command Prompt e PowerShell como administrador, revelando depois o algoritmo de encriptação AES-256 (CBC mode) + RSA-2048. Em segundo plano no sistema, o malware corre o random.exe. Poderá também sequestrar o ficheiro explorer.exe e forçar o sistema a reiniciar para terminar a encriptação.
Tal como a versão anterior, anexa a extensão de ficheiro .CRAB aos ficheiros codificados. Visa mais de 250 tipos de ficheiros, incluindo os mais populares (.jpg, .png, .doc, .pdf, .avi, .docx, etc.). Assim que os ficheiros são encriptados, o vírus gera uma nota de resgate chamada CRAB-DECRYPT.txt. Diz:
—= GANDCRAB V3 =—
Atenção!
Todos os seus documentos, fotografias, bases de dados e outros ficheiros importantes estão encriptados e têm a extensão: .CRAB
O único método para recuperar os ficheiros é comprar uma chave privada. Está no nosso servidor, e apenas nós podemos recuperar os seus ficheiros.
O servidor com a sua chave está numa rede fechada TOR. Pode lá chegar das seguintes formas:
0. Descarregar o navegador Tor – https://www.torproject.org/
1. Instalando o navegador Tor
2. Abrir o Navegador Tor
3. Abrir o atalho no navegador TOR:
4. Siga as instruções nessa página
Na nossa página verá instruções sobre o pagamento e obterá a oportunidade de desencriptar 1 ficheiro gratuitamente.
A forma alternativa de nos contactar é usando o mensageiro Jabber. Leia como:
0. Descarregue o Psi-Plus Jabber Client: https://psi-im.org/download/
1. Registe uma nova conta: http://sj.ms/register.php
0) Insira o “nome de utilizador”: 21b1a2d1729f0695
1) Insira a “palavra-passe”: a sua palavra-passe
2. Adiciona uma nova conta no Psi
3. Adicione e escreva o ID do Jabber: [email protected] qualquer mensagem
4. Siga o bot das instruções
ATENÇÃO!
É um bot! É um sistema artificial completamente automatizado sem controlo humano!
Para nos contactar use os atalhos do TOR. Podemos providenciar-lhe todas as provas requeridas para a desencriptação a qualquer altura. Estamos abertos a conversações.
Pode ler as instruções para instalar e usar o jabber aqui http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CUIDADO!
Não tente modificar os ficheiros ou usar a sua própria chave privada. Irá resultar na perda dos seus dados para sempre!
Ao contrário das duas versões anteriores que aceitavam a cripto-moeda DASH, a versão mais recente exige que as vítimas paguem o resgate em Bitcoins. Além disso, os investigadores de malware descobriram que a proveniência do GandCrab-3 é a Roménia.
Se tiver a mais pequena suspeita de estar infetado(a) por este ransomware, certifique-se que remove o GandCrab 3 do sistema assim que possível. Para tal, recomendamos que use as ferramentas antivírus FortectIntego, SpyHunter 5Combo Cleaner ou Malwarebytes. Enquanto o mantiver instalado não será capaz de recuperar os seus ficheiros sem pagar o resgate.
Aquando da remoção do GandCrab v3 deve tentar recuperar os ficheiros bloqueados com a extensão de ficheiro .CRAB com o auxílio de ferramentas de recuperação de dados de terceiros ou tentar ativar a versão Windows anterior. Pode encontrar um guia completo para recuperar os ficheiros encriptados pelo ransomware no final deste artigo.
GandCrab 3 - uma nova versão do ransomware GandCrab que usa a extensão de ficheiro .CRAB e exige um resgate em Bitcoins
Os criminosos poderão usar múltiplas técnicas para propagar malware
A equipa do Bedynet.ru alega que ransomware específico pouco provavelmente se confinará a um único método de distribuição. Embora tenha usado a distribuição convencional, é difícil nomear toda a lista de técnicas precisamente. Não obstante, as pessoas devem ter cuidado com o anexo Recibo Feb-21310 [numerado aleatoriamente] enviado por [nome aleatório]@cdkconstruction.org. Assim que detetar um e-mail suspeito do remetente desconhecido, recomendamos vivamente que o reporte como spam imediatamente.
Os kits de exploração, incluindo o Magnitude, RIG e GrandSoft são também conhecidos por serem amplamente usados como transportadores de ransomware. Para prevenir que software malicioso explore as vulnerabilidades dos PC, certifique-se que instala todas as atualizações e patches do sistema.
Por último, mas não menos importante, tenha cuidado com as descargas gratuitas na rede. Foi descoberto que muitos websites suspeitos e ilegais contêm falsas descargas de atualização de software. Um dos exemplos usados para propagar o antecessor deste ransomware é o Hoefler TextFont. A potencial vítima está a ser redirecionada para um website pirateado que exibe texto aleatório e exibe um pop-up de alerta incitando a descarga da última atualização do tipo de letra para ver o conteúdo.
Opções de remoção do GandCrab-3
Existe apenas uma possibilidade de remover o ransomware GandCrab v3 do sistema. A automática, uma vez que requer a utilização de um programa anti-malware profissional. A remoção manual, quando tenta livrar-se dos ficheiros maliciosos por sua conta, é praticamente impossível a não ser que não se importe em danificar o sistema e os ficheiros encriptados permanentemente.
Ao invés, recomendamos vivamente que use um programa de segurança profissional, por exemplo, o FortectIntego, para a eliminação automática dos ficheiros manuais. Após a remoção do Gandcrab 3 tente recuperar os seus ficheiros usando os métodos de recuperação de dados listados abaixo.
Guia de remoção manual de virus GandCrab 3
Remoção manual de GandCrab 3 ransomware
O ransomware pode impedir que o remova. Neste caso, deve reiniciar o seu PC no Modo de Segurança com Rede. Para este propósito, faça o seguinte:
Importante! →
O guia de eliminação manual pode ser demasiado complicado para utilizadores normais. Requer conhecimento informático avançado para ser executada corretamente (se danificar ou remover ficheiros de sistema importantes, pode comprometer todo o sistema operativo Windows), e pode demorar algumas horas. Portanto, aconselhamos que utilize o método automático providenciado acima.
Passo 1. Aceda ao Modo de Segurança com Rede
A eliminação manual de malware é mais eficaz no ambiente do Modo de Segurança.
Windows 7 / Vista / XP
- Clique em Iniciar > Encerrar > Reiniciar > OK.
- Quando o computador se tornar ativo, comece a pressionar repetidamente na tecla F8 (se não funcionar, experimente as teclas F2, F12, Del, etc. – tudo depende do modelo da sua motherboard) até ver a janela com as Opções de Arranque Avançadas.
- Selecione Modo de Segurança com Rede na lista.
Windows 10 / Windows 8
- Clique com o botão direito do rato no ícone Iniciar e selecione Definições.
- Selecione Atualizações e Segurança.
- Na barra de opções à esquerda, selecione Recuperação.
- Encontre a secção Arranque Avançado.
- Clique em Reiniciar agora.
- Selecione Resolução de Problemas.
- Aceda a Opções Avançadas.
- Selecione Definições de Arranque.
- Pressione em Reiniciar.
- Pressione a tecla 5 ou clique em 5) Ativar Modo de Segurança com Rede.
Passo 2. Encerre processos suspeitos
O Gestor de Tarefas do Windows é uma ferramenta útil que exibe todos os processos a serem executados em segundo plano. Caso o malware execute determinados processos, necessita de os encerrar:
- Pressione Ctrl + Shift + Esc no seu teclado para abrir o Gestor de Tarefas do Windows.
- Clique em Mais detalhes.
- Navegue até encontrar a secção Processos em segundo plano, e procure por processos suspeitos.
- Clique com o botão direito e selecione Abrir localização do ficheiro.
- Regresse ao processo, clique com o botão direito e selecione Terminar Tarefa.
- Elimine todo o conteúdo presente na pasta maliciosa.
Passo 3. Verifique os programas de Arranque
- Pressione Ctrl + Shift + Esc no seu teclado para abrir o Gestor de Tarefas do Windows.
- Aceda ao separador Arranque.
- Clique com o botão direito no programa suspeito e selecione Desativar.
Passo 4. Elimine ficheiros do vírus
Ficheiros relacionados com o malware podem ser encontrados em várias localizações no computador. Seguem algumas instruções para o ajudar a encontrar estes ficheiros:
- Escreva Limpeza do Disco na barra de pesquisa do Windows e pressione Enter.
- Selecione o disco que pretende limpar (C: é o seu disco rígido principal por predefinição, e é provavelmente o disco que contém os ficheiros maliciosos).
- Confira a lista de Ficheiros a eliminar e selecione o seguinte:
Ficheiros Temporários da Internet
Ficheiros de Programa Transferidos
Reciclagem
Ficheiros Temporários - Selecione Limpar ficheiros do sistema.
- Também pode procurar outros ficheiros maliciosos escondidos nas seguintes pastas (introduza as seguintes entradas na Pesquisa do Windows e pressione Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Quando terminar, reinicie o PC no modo normal.
remover GandCrab 3 usando System Restore
-
Passo 1: Reinicie seu computador para Safe Mode with Command Prompt
Windows 7 / Vista / XP- Clique em Start → Shutdown → Restart → OK.
- Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
- Selecionar Command Prompt da lista
Windows 10 / Windows 8- Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
- Agora você pode selecionar Troubleshoot → Advanced options → Startup Settings e finalmente pressione Restart.
- quando o computador se torna ativo, selecione Enable Safe Mode with Command Prompt de Startup Settings janela.
-
Passo 2: Restaurar os arquivos e configurações de sistema
- Uma vez que a Command Prompt janela mostra, digite cd restore e clique em Enter.
- Agora digite rstrui.exe e pressione Enter novamente..
- Quando uma nova janela aparece, clique em Next e selecione o ponto de restauração que é antes da infiltração de GandCrab 3. Após fazer isso, clique em Next.
- Agora clique em Yes para iniciar restauração do sistema.
Bonus: Recuperar os seus dados
O guia acima tem como objectivo remover GandCrab 3 do seu computador. Para recuperar files encriptados, siga este guia preparado por semvirus.pt especialistas de segurançaInfelizmente, os seus ficheiros não serão recuperados após a remoção do GandCrab 3. Aquando da eliminação do vírus, deve empregar ferramentas de recuperação de dados de terceiros. As opções que recomendamos são providenciadas aqui:
Se os seus ficheiros estão encriptados por GandCrab 3, pode usar diversos metodos para os recuperar
Employ Data Recovery Pro
O Data Recovery Pro é um software capaz de recuperar dados perdidos devido ao ataque ransomware, eliminação acidental ou crash de sistema.
- Data Recovery Pro de descargas;
- Siga os passos do setup de Data Recovery e instale este programa no seu computador
- Execute e verifique o seu computador para encontrar os ficheiros encriptadas por GandCrab 3 ransomware;
- Repare-os
Ative a Versão Anterior do Windows
No caso de estar a função Restauração de Sistema, o sistema deve criar automaticamente Pontos de Restauração de Sistema. Claro que pode também ser você a criar estes pontos. Para verificar se é possível recuperar ficheiros usando a função de versão anterior, siga estes passos:
- Encontre o ficheiro encriptado que precisa e clique com o butão direito do rato para o reparar
- Selecione “Properties” e va para o separador “Previous versions”
- Aqui, verifique as copias disponiveis do ficheiro em “Folder versions”. Deve selecionar a versao que quer reparar e clique “Restore”.
ShadowExplorer
O ShadowExplorer não ajudará uma vez que o ransomware elimina as Cópias de Volume Sombra.
- Download Shadow Explorer (http://shadowexplorer.com/);
- Siga as intruções de intalação de Shadow Explorer e instale esta aplicação no seu computador
- Execute o programa e explore o menu no canto superior esquerdo ate encontrar o seu disco com os dados encriptados. Verifique que pastas estão lá.
- Clique no butão direito do rato nas pastas que quer recuperar e selecione “Export”. Também pode selecionar onde quer guardar.
Ainda não existe um desencriptador para o Gandcrab v3
Por último, você deve sempre pensar sobre a protecção de crypto-ransomwares. A fim de proteger o seu computador a partir de GandCrab 3 e outros ransomwares, use um anti-spyware respeitável, como FortectIntego, SpyHunter 5Combo Cleaner ou Malwarebytes
Recomendado para você
Selecione um browser web adequado e melhore a sua segurança com uma VPN
A espionagem online cresceu substancialmente durante os últimos anos, e os utilizadores estão cada vez mais interessados em formas de proteger a sua privacidade. Um dos meios básicos utilizados para adicionar uma camada de segurança – selecione o browser web mais privado e seguro.
De qualquer forma, existe uma forma eficaz de garantir um nível extra de proteção e criar sessões de navegação online completamente anónimas com a ajuda da VPN Private Internet Access. Este software reencaminha o tráfego através de diferentes servidores, ocultando o seu próprio endereço IP e localização geográfica. A combinação de um browser seguro com a VPN Private Internet Access permite-lhe navegar pela Internet sem medo de ser monitorizado ou atacado por criminosos.
Cópias de segurança para utilizar mais tarde, em caso de ataque de malware
Os problemas de software causados por malware ou perda direta de dados provocada por encriptação, podem significar problemas graves no seu dispositivo, ou danos permanentes. Quando possui cópias de segurança atualizadas, consegue facilmente recuperar após um incidente e continuar o seu trabalho.
Atualizar as suas cópias de segurança é crucial após efetuar quaisquer alterações no dispositivo, de forma a conseguir regressar ao seu trabalho quando o malware efetuar alterações indesejadas, ou sempre que ocorrerem problemas no dispositivo que causem a perda de dados ou corrupção permanente de ficheiros.
Ao guardar sempre a versão mais recente de qualquer documento ou projeto importante, é possível evitar todas as potenciais frustrações e interrupções. Utilize o Data Recovery Pro para restaurar ficheiros do sistema.