GANDCRAB 5.2 Ransomware

Conosciuto inoltre come: GANDCRAB 5.2 virus
Distribuzione: Basso
Livello di danno: Grave

GANDCRAB 5.2 ransomware, istruzioni di rimozione

Cos'è GANDCRAB 5.2?

GANDCRAB 5.2 è un programma di tipo ransomware che viene utilizzato dai suoi sviluppatori (cyber criminali) con lo scopo di crittografare i dati memorizzati sul computer della vittima e mantenerli crittografati a meno che il riscatto non venga pagato. Questo ransomware crea una richiesta di riscatto, ne genera un nome casuale, ad esempio: "DSEWRBG-DECRYPT.txt". GANDCRAB 5.2 e fa lo stesso con l'estensione che aggiunge a ogni file crittografato. Se il file prima della crittografia si chiamava ad esempio "1.jpg", lo rinomina in "1.jpg.dsewrbg" e così via. Cambia anche lo sfondo del desktop della vittima. GANDCRAB 5.2 è una delle tante versioni del ransomware GANDCRAB.

Nella nota di riscatto "DSEWRBG-DECRYPT.txt" (il suo nome può variare) i criminali informatici invitano le loro vittime a non cancellare questo file di testo finché i dati non vengono ripristinati (decrittografati). Secondo loro, l'eliminazione potrebbe causare alcuni errori di decrittografia. Come sostengono, l'unico modo per decodificare i dati è di acquistare una chiave di decrittografia da loro. Per procedere con la decrittografia dei dati, le vittime di GANDCRAB 5.2 devono prima scaricare e installare il browser TOR e quindi aprire il collegamento fornito nella richiesta di riscatto. Il sito Web contiene una scadenza che, se non viene soddisfatta in tempo, causerà un prezzo raddoppiato della decrittazione. Pertanto, se il prezzo principale della chiave di decrittografia è $ 1200, dopo un determinato periodo di tempo verrà aumentato a $ 2400. Per fare in modo che le vittime del pagamento debbano utilizzare la criptovaluta DASH o Bitcoin e trasferirla facendo clic su un collegamento che porta a un indirizzo di portafoglio criptovaluta. Prima di effettuare il pagamento questi cyber criminali offrono alle loro vittime una decrittazione gratuita di un file. È abbastanza comune per gli sviluppatori di ransomware offrire una decrittografia gratuita come prova del fatto che sono in grado di fornire strumenti o chiavi necessari per una corretta decrittografia. Recentemente una società di sicurezza malware Bitdefender ha rilasciato un decryption tool che è in grado di ripristinare i file che sono stati crittografati dalle versioni precedenti di GANDCRAB ransomware. Pertanto, è molto probabile che questi cyber criminali (gli sviluppatori di GANDCRAB 5.2) abbiano rilasciato una nuova versione come risposta a questo. Non esiste uno strumento che potrebbe essere in grado di decodificare la crittografia gratuitamente, almeno non al momento. Significa che le persone che hanno i loro computer infettati da questo ransomware possono essere facilmente ricattati e costretti a contattare i propri sviluppatori. La maggior parte dei criminali informatici utilizza algoritmi di crittografia (simmetrici o asimmetrici) che rendono le decifrazioni senza l'utilizzo di un particolare strumento impossibile. Sfortunatamente, la maggior parte delle volte gli sviluppatori di ransomware specifici sono gli unici che hanno questi strumenti. Se un computer è infetto da GANDCRAB 5.2, l'unico modo per recuperare i dati è quello di utilizzare un backup dei dati e ripristinare tutto da lì.

Screenshot di un messaggio che incoraggia gli utenti a pagare un riscatto per decrittografare i loro dati compromessi:

GANDCRAB 5.2 decrypt instructions

Ci sono molti cyber criminali che sviluppano vari programmi di tipo ransomware, tuttavia, molti di loro sono molto simili. GANDCRAB 5.2 condivide somiglianze con altri programmi maligni di questo tipo come Shadi, Cammora, Heets e un gran numero di altri. Le somiglianze più comuni (e principali) tra queste infezioni sono che sono progettate per crittografare i dati e per mantenerli crittografati a meno che non venga acquistato lo strumento di pagamento / decrittografia del riscatto. Le principali differenze sono solitamente il prezzo di tale strumento e l'algoritmo di crittografia utilizzato per crittografare i dati. Sfortunatamente, i file crittografati di solito possono essere decifrati senza dover contattare i criminali informatici solo se il ransomware non è completamente sviluppato, ha alcuni bug, difetti e così via. Questo è il motivo per cui consigliamo di creare backup dei dati regolarmente e di tenerli nel server remoto o nel dispositivo di archiviazione non collegato. Quindi questi backup saranno protetti dalla crittografia insieme a tutti gli altri dati.

Come ha fatto un ransomware ad infettare il mio computer?

Il metodo esatto utilizzato dai criminali informatici per diffondere GANDCRAB 5.2 ransomware è sconosciuto. Tuttavia, la maggior parte dei programmi di questo tipo vengono diffusi utilizzando campagne di spam (e-mail), cavalli di Troia, programmi di aggiornamento software falsi, canali di download di software non affidabili o strumenti di software cracking. Le campagne di spam possono essere (e sono) utilizzate per diffondere varie infezioni tramite file dannosi allegati. In genere, questi allegati sono documenti di Microsoft Office, file di archivio (ZIP, RAR e altro), PDF, file eseguibili (.exe), JavaScript e altri file. Una volta aperti / eseguiti, questi allegati scaricano e installano infezioni del computer come ransomware o altri malware ad alto rischio. I trojan sono programmi dannosi che devono essere già installati. Se installati, questi programmi causano infezioni a catena: scaricano e installano altri programmi dannosi. Gli aggiornamenti software falsi di solito infettano computer / sistemi operativi scaricando e installando malware anziché gli aggiornamenti previsti o sfruttando bug / difetti del software obsoleto. Download gratuito, siti web di hosting gratuito, reti peer-to-peer (client torrent, eMule e così via) e altre fonti di download di software discutibili / inaffidabili sono utilizzate dai criminali informatici per distribuire anche infezioni informatiche. Presentano file dannosi (o varie app rogue) come legittimi. Scaricandoli e installandoli, le persone causano da sole le infezioni dei computer. Un altro modo per causare danni di questo tipo è attraverso strumenti di cracking del software. Originariamente, sono progettati per attivare software / sistema operativo a pagamento e consentire agli utenti di utilizzarlo gratuitamente. Tuttavia, molto spesso i criminali informatici proliferano strumenti di attivazione che in realtà sono progettati per installare programmi dannosi.

Sommario della Minaccia:
NomeGANDCRAB 5.2 virus
Tipo di MinacciaRansomware, Crypto Virus
SintomiNon è possibile aprire i file memorizzati sul computer, in precedenza i file funzionali ora hanno un'estensione diversa, ad esempio my.docx.locked. Un messaggio di richiesta di riscatto viene visualizzato sul desktop. I criminali informatici chiedono di pagare un riscatto (di solito in bitcoin) per sbloccare i file.
Metodi di distribuzioneAllegati e-mail infetti (macro), siti web torrent, annunci dannosi.
DanniTutti i file sono crittografati e non possono essere aperti senza pagare un riscatto. È possibile installare ulteriori trojan di password e trojan e infezioni da malware insieme a un'infezione da ransomware.
Rimozione

Per eliminare GANDCRAB 5.2 virus i nostri ricercatori di malware consigliano di scansionare il tuo computer con Spyhunter.
▼ Scarica Spyhunter
Lo scanner gratuito controlla se il tuo computer è infetto. Per rimuovere il malware, devi acquistare la versione completa di Spyhunter.

Come proteggersi dalle infezioni ransomware?

Raccomandiamo di pensarci due volte prima di aprire allegati o collegamenti Web che vengono presentati nelle e-mail ricevute da indirizzi sconosciuti / sospetti. Se l'e-mail è irrilevante e contiene qualche allegato, ti consigliamo di non aprirlo. Almeno non senza accertarsi che sia sicuro. Scarica tutto il software utilizzando solo collegamenti diretti, fonti e siti Web affidabili e ufficiali. Non è consigliabile utilizzare downloader o installatori di terze parti. È possibile che queste fonti possano essere utilizzate per distribuire applicazioni canaglia che potrebbero infettare i computer o causare altri problemi. Aggiorna il software installato utilizzando solo quegli strumenti o funzioni implementate fornite dagli sviluppatori software ufficiali e non da alcuni programmi di aggiornamento di terze parti. Consigliamo inoltre di installare un software antivirus / antispyware affidabile e abilitato in qualsiasi momento. Se il tuo computer è già stato infettato da GANDCRAB 5.2, ti consigliamo di eseguire una scansione con Spyhunter per eliminare automaticamente questo ransomware.

Testo presentato in GANDCRAB 5.2 file di testo del ransomware (in questo caso "DSEWRBG-DECRYPT.txt"):

---= GANDCRAB V5.2 =---
******************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED*******************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .DSEWRBG
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/113737081e857d00
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
-
---END GANDCRAB KEY---

---BEGIN PC DATA---
-
---END PC DATA---

Screenshot dello sfondo del desktop di GANDCRAB 5.2:

GANDCRAB 5.2 wallpaper

Screenshot del sito web di GANDCRAB 5.2:

GANDCRAB 5.2 website

Testo presentato in questo sito:

If the payment isn't made until 1/18/2019, 11:11:06 AM, the cost of decrypting files will be doubled
Countdown to double price: Time is up. Price is doubled!
What's the matter?
Your computer has been infected with GandCrab Ransomware.
All your files have been encrypted and you are not able to decrypt it by yourself.

To decrypt your files you have to buy GandCrab decryptor
The price is - 2400 USD
What can I do to get my files back?
You should buy our software GandCrab Decryptor. It will scan your PC, network share, all connected devices and check for encrypted files and decrypt it. Current price: 2400 USD. We accept cryptocurrency DASH and Bitcoin
What guarantees can you give me?
To be sure we have the decryptor and it works you can use free decrypt and decrypt one file for free.
But this file must be an image, because images usually are not valuable.
I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
Easy. The list of the most popular exchange services:
BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

The full list of exchange services for Bitcoin here and for DASH here.
Create an account
Charge the balance with a credit card or paypal
Buy requested amount of coins (Bitcoin or DASH)
Make withdrawal to our address

Attention
Don't delete file *-DECRYPT.txt before full restore of your PC.

Screenshot dei file crittografati da GANDCRAB 5.2 (in questo caso l'estensione ".dsewrbg"):

Files encrypted by GANDCRAB 5.2

Come accennato in precedenza, Bitdefender ha recentemente rilasciato uno strumento di decrittografia in grado di ripristinare i dati crittografati da GandCrab V1, V4 e tutte le versioni V5 (fino a 5.1). Pertanto, le vittime possono decodificare i loro dati facilmente senza pagare criminali informatici. Puoi trovare maggiori informazioni in questo articolo e puoi scaricare il decryptor facendo clic su questo link.

Screenshot del decryptor di GandCrab di Bitdefender:

GandCrab ransomware decryption tool by Bitdefender

Rimozione di GANDCRAB 5.2 ransomware:

Rimozione automatica istantanea di GANDCRAB 5.2 virus: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Spyhunter è uno strumento professionale per la rimozione automatica del malware che è consigliato eliminare GANDCRAB 5.2 virus. Scaricala cliccando sul pulsante qui sotto:
▼ SCARICA Spyhunter Lo scanner gratuito controlla se il computer è infetto. Per rimuovere il malware, è necessario acquistare una versione completa di Spyhunter. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu:

Step 1

Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Fare clic su Start, scegliere Chiudi sessione, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare la modalità provvisoria con rete dalla lista.

modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.

Windows 8 modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

windows 10 modalità provvisoria con rete

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Step 2

Login nel conto infettato da GANDCRAB 5.2 Avviare il browser Internet e scaricare un programma anti-spyware legittimo. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci rilevate

Se non è possibile avviare il computer in modalità provvisoria con rete, provare ad eseguire un ripristino del sistema.

Video che mostra come rimuovere il virus ransomware usando "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema"

1. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, e quindi selezionare Modalità provvisoria con prompt dei comandi dalla lista e premere INVIO.

accendi il pc in modalità provvisoria con rete

2. Quado si carica il prompt dei comandi, digitare: cd restore e premere INVIO.

prompt dei comandi cd restore

3. Quindi, digitare: rstrui.exe e premere INVIO

prompt dei comandi rstrui.exe

4.Nella finestra che si apre premere AVANTI.

rispristino sistema

5. Selezionare uno dei disponibili punti di ripristino e fare clic su "AVANTI" (questo ripristinerà il computer a uno stato e data precedenti, prima che il virus ransomware GANDCRAB 5.2 si sia infiltrato nel PC).

seleziona punto di ripristino

6. Nella finestra che si apre cliccare su SI.

ripristino sistema

7. Dopo aver ripristinato il computer a una data precedente, scaricare ed eseguire la scansione del PC con un software anti malaware raccomandato per eliminare i file di GANDCRAB 5.2.

Per ripristinare singoli file crittografati da questo ransomware, provare a utilizzare le versioni precedenti di Windows. Questo metodo è efficace solo se Ripristino configurazione di sistema funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di GANDCRAB 5.2 sono noti per rimuovere copie shadow volume dei file, quindi questo metodo potrebbe non funzionare su tutti i computer.

Per ripristinare un file, fare clic destro su di esso, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file in questione ha un punto di ripristino, selezionarlo e fare clic sul pulsante "Ripristina"

ripristinare file criptati con CryptoDefense

Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi)avvia il pc con un disco di ripristino. Alcune varianti di ransomware disabilitano la modalità provvisoria facendo la sua rimozione complicata. Per questo passaggio, si richiede l'accesso a un altro computer.

Per riprendere il controllo dei file crittografati da GANDCRAB 5.2 si può anche provare a utilizzare un programma chiamato Shadow Explorer. Maggiori informazioni sono disponibili qui

shadow explorer screenshot

Per proteggere il computer da ransomware come questo, usa antivirus affidabili e programmi anti-spyware. Come metodo di protezione in più, gli utenti di computer possono utilizzare un programma chiamato HitmanPro.Alert e Malwarebytes Anti-Ransomware che impianta artificialmente oggetti Criteri di gruppo nel Registro di sistema, al fine di bloccare i programmi canaglia come GANDCRAB 5.2)

Nota che Windows 10 Fall Creators Update include la funzione "Accesso alla cartella di controllo"che blocca i tentativi dei ransomware di crittografare i file. Per impostazione predefinita questa funzione protegge automaticamente i file memorizzati nelle cartelle Documenti, Immagini, Video, Musica, Preferiti e Desktop.

Controll Folder Access

Gli utenti di Windows 10 devono installare questo aggiornamento per proteggere i loro dati dagli attacchi dei ransomware. Qui potrete trovare maggiori informazioni su come ottenere questo aggiornamento e aggiungere un livello di protezione aggiuntivo dalle infezioni da ransomware.

HitmanPro.Alert CryptoGuard - rileva la crittografia di file e neutralizza tali tentativi, senza la necessità di un intervento da parte dell'utente:

hitmanproalert ransomware

Malwarebytes Anti-Ransomware Beta utilizza la tecnologia proattiva avanzata che controlla l'attività ransomware e lo termina immediatamente - prima che raggiunga i file degli utenti:

malwarebytes anti-ransomware

  • Il modo migliore per evitare danni da infezioni ransomware è quello di mantenere regolari backup. Maggiori informazioni sulle soluzioni di backup online e software di recupero dati possono essere trovati qui.

Altri strumenti utili per eliminare GANDCRAB 5.2 ransomware:

Fonte: https://www.pcrisk.com/removal-guides/14510-gandcrab-5-2-ransomware

Informazioni sull'autore:

Tomas Meskauskas

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online. Leggi di più sull'autore.

Il portale per la sicurezza di PCrisk è creato grazie all'unione di ricercatori di sicurezza per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sugli autori ed i ricercatori che stanno lavorando su PCrisk possono essere trovate nella nosta pagina di contatti.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Istruzioni di rimozione in altre lingue
Codice QR
GANDCRAB 5.2 virus Codice QR
Un codice QR (Quick Response Code) è un codice leggibilemeccanicamente che memorizza gli URL e altre informazioni. Questo codice può essere letto utilizzando una telecamera su uno smartphone o un tablet. Eseguire la scansione di questo codice QR per avere un veloce accesso alla guida di rimozione di GANDCRAB 5.2 virus sul tuo dispositivo mobile.
Noi raccomandiamo:

Liberati di GANDCRAB 5.2 virus oggi stesso:

▼ RIMUOVILO con Spyhunter

Piattaforma: Windows

Valutazione degli Editori per Spyhunter:
Eccezionale!

[Inizio pagina]

Lo scanner gratuito controlla se il computer è infetto. Per rimuovere il malware, è necessario acquistare una versione completa di Spyhunter.