GandCrab 5.0.9 Ransomware

Ook bekend als: GandCrab 5.0.9 virus
Verspreiding: Laag
Schadeniveau: Ernstig

GandCrab 5.0.9 ransomware verwijderingsinstructies

Wat is GandCrab 5.0.9?

GandCrab 5.0.9 is een gevaarlijke ransomware-infectie uit een familie genaamd GandCrab. Deze variant werd ontdekt door Marcelo Rivero. Zoals de meeste virussen van dit type werd het ontworpen om gegevens te versleutelen zodat de bestanden van de getroffen gebruiker onbruikbaar worden. Het hernoemt elk versleuteld bestand door er een slachtoffer-ID aan toe te voegen als bestandsextensie (bijvoorbeeld ".wwzaf"). Het wijzigt dan bijvoorbeeld de naam "1.jpg" naar "1.jpg.wwzaf" enzovoort. GandCrab 5.0.9 creëert ook een bericht met een vraag om losgeld in een tekstbestand met de naam "WWZAF-DECRYPT.txt", de naam is afhankelijk van de ID van het slachtoffer (hetzelfde als de toegevoegde extensie). Dit tekstbestand wordt in elke map geplaatst die versleutelde bestanden bevat. GandCrab 5.0.9 verandert ook uw bureaubladachtergrond.

Zodra de GandCrab 5.0.9 ransomware is uitgevoerd, verschijnt er een pop-upvenster met de mededeling "We komen snel terug;)". Dat zegt niet veel, de belangrijkste informatie wordt weergegeven in de "WWZAF-DECRYPT.txt" (of een andere losgeldbrief). Volgens de GandCrab 5.0.9-ontwikkelaars zijn alle gebruikersgegevens (zoals foto's, verschillende documenten, databases) gecodeerd/vergrendeld en de enige manier om ze terug te krijgen (decoderen/ontgrendelen) het kopen van een persoonlijke (unieke) decoderingssleutel. Met andere woorden: losgeld betalen. In dit geval zijn de GandCrab 5.0.9-slachtoffers verplicht om een ​​Tor-browser te downloaden en de voorgestelde link te openen met behulp van deze specifieke browser, en dan de verdere instructies te volgen. De slachtoffers van deze ransomware worden aangespoord niet te proberen om zelf de gecodeerde bestanden aan te passen. Het is onbekend welke cryptografiealgoritme (symmetrische of asymmetrische) de cybercriminelen gebruiken om de bestanden te coderen met behulp van deze ransomware-virus. Vrijwel altijd gebruiken cybercriminelen algoritmen die unieke sleutels voortbrengen. Ze slaan deze op op externe servers die alleen door hen beheerd worden. Bovendien is er geen enkele tool die in staat is om de GandCrab 5.0.9-codering gratis te kraken, althans niet op dit moment. Merk op dat de cybercriminelen niet vertrouwd kunnen worden, ze negeren vaak hun slachtoffers zelfs als deze uiteindelijk de decoderingstool/sleutel kopen (het losgeld betalen). Daarom is de beste oplossing in dergelijke gevallen om een ​​bestaande back-up te gebruiken en de bestanden vanaf daar te herstellen.

Screenshot van een bericht waarin gebruikers worden aangemoedigd om losgeld te betalen om hun aangetaste gegevens te ontsleutelen:

GandCrab 5.0.9 decodeerinstructies

StevenSeagal, CmdRansomware en Risk - dit zijn slechts enkele voorbeelden van andere virussen van dit type, er zijn er nog veel meer. Meestal gebruiken de ransomware-ontwikkelaars deze infecties om deze twee redenen: om gegevens te versleutelen en om losgeld te eisen. Doorgaans zijn de enige verschillen tussen virussen van dit type het cryptografiealgoritme dat gebruikt wordt voor de codering en het bedrag van het losgeld (prijs van de decoderingstool/sleutel). Meestal is gratis decodering (zonder tussenkomst van de cybercriminelen) onmogelijk. Tenzij de ransomware zich in een ontwikkelingsfase bevindt en een aantal niet-opgeloste fouten of onvolkomenheden vertoont. Om gegevensverlies te voorkomen, raden we u echter aan om regelmatig back-ups te maken en deze op externe servers of niet-verbonden opslagapparaten op te slaan.

Hoe besmette ransomware mijn computer?

Het is onbekend hoe de GandCrab 5.0.9-ontwikkelaars deze infectie verspreiden, maar er zijn verschillende manieren om dit te doen. Cybercriminelen gebruiken vaak email-spamcampagnes, trojans, allerlei onbetrouwbare softwaredownloadkanalen en valse software-updaters. Ze gebruiken email-spamcampagnes door een aantal e-mails te verzenden die een schadelijke bijlage bevatten. De gepresenteerde bijlage kan een Microsoft Office-document, een uitvoerbaar bestand (.exe), een archiefbestand (zoals RAR), een PDF-bestand, enzovoort zijn. Computers worden besmet wanneer deze geïnfecteerde bijlagen geopend wordt/toestemming wordt verleend om kwaadaardige acties uit te voeren. Diverse gratis hostingsites voor bestanden, freeware downloadwebsites, P2P-netwerken (P2P-netwerken) en andere onbetrouwbare software-downloadbronnen kunnen gebruikt worden om geïnfecteerde bestanden als legitiem voor te stellen. In dergelijke gevallen worden de mensen in de val gelokt om zelf virussen te downloaden en te installeren. Trojans zijn infecties die ontworpen zijn om andere virussen te verspreiden. Als een trojan geïnstalleerd is, dan loopt een computer het risico op verschillende extra installaties van andere virussen. Valse software-updates veroorzaken schade door virussen te downloaden in plaats van updates of door bugs of fouten van geïnstalleerde en verouderde software te misbruiken.

Hoe uzelf te beschermen tegen besmettingen met ransomware?

Om te voorkomen dat computers worden geïnfecteerd met ransomware (of andere) virussen, raden wij ten zeerste aan om aandachtig te zijn tijdens het surfen op het internet, bij het installeren, downloaden en bijwerken van software. Open geen bijlagen die worden weergegeven in e-mails van onbekende/onbetrouwbare afzenders of met verdachte adressen. Als u denkt dat een e-mail die u ontvangen heeft niet relevant is, negeer deze dan gewoon. Werk uw software (of het besturingssysteem zelf) bij met behulp van geïmplementeerde functies of hulpprogramma's die alleen door officiële ontwikkelaars geleverd worden. Vermijd het downloaden van software met behulp van onbetrouwbare, niet-officiële websites of downloaders van externe partijen. Vaak zijn downloads of installaties van externe partijen frauduleuze applicaties die computerinfecties kunnen veroorzaken. Het is altijd een goed idee om een ​​gerenommeerd anti-spyware- en/of antiviruspakket te installeren. Deze programma's detecteren en verwijderen vaak verschillende virussen voordat ze op enige manier schade kunnen aanrichten of toebrengen aan computers. Als uw computer al geïnfecteerd is met GandCrab 5.0.9, dan raden we u aan een scan uit te voeren met  Spyhunter om deze ransomware automatisch te verwijderen.

Tekst in het "(victim's_ID)-DECRYPT.txt" tekstbestand:

--- = GANDCRAB V5.0.9 = ---
*********************** SCHAKEL IN GEEN GEVAL DIT BESTAND UIT, TOTDAT AL UW GEGEVENS WORDEN TERUGGEKOCHT ************ ***********
***** ALS U DIT NIET DOET, ZAL DIT LEIDEN TOT CORRUPTIE VAN HET SYSTEEM, ALS ER DECRYPTIEFOUTEN ZIJN *****
Aandacht!
Al uw bestanden, documenten, foto's, databases en andere belangrijke bestanden gecodeerd zijn en de extensie: .WWZAF hebben.
De enige methode om bestanden te herstellen is om een ​​unieke privésleutel aan te schaffen. Alleen wij kunnen u deze sleutel geven en alleen wij kunnen uw bestanden herstellen.

 

De server met uw sleutel bevindt zich in een gesloten TOR-netwerk. Je kunt er op de volgende manieren komen:
-------------------------------------------------- --------------------------------------
| 0. Download Tor-browser - hxxps: //www.torproject.org/
| 1. Installeer Tor-browser
| 2. Open Tor Browser
| 3. Open link in TOR-browser: hxxp: //gandcrabmfe6mnef.onion/da9ad04e1e857d00
| 4. Volg de instructies op deze pagina
-------------------------------------------------- --------------------------------------
Op onze pagina ziet u instructies over de betaling en krijgt u de mogelijkheid om 1 bestand gratis te ontsleutelen.


AANDACHT!
OM GEGEVENSSCHADE TE VOORKOMEN:
* GEEN VERSLEUTE BESTANDEN WIJZIGEN
* GEGEVENS NIET WIJZIGEN
--- BEGIN GANDCRAB-TOETS ---

-

---- EINDE GANDCRAB-TOETS ---
--- BEGIN PC DATA ---
-
--- EINDE PC GEGEVENS

Schermafbeelding van de bureaubladachtergrond van GandCrab 5.0.9:

screenshot van de GandCrab 5.0.9 ransom nota

Tekst in de bureaubladachtergrond van de GandCrab 5.0.9 ransomware:

GECREERD DOOR GANDCRAB 5.0.9

UW BESTANDEN STAAN ONDER STERKE BESCHERMING DOOR ONZE SOFTWARE. OM HET TE HERSTELLEN MOET JE EEN DECRYPTOR KOPEN

Lees voor meer informatie WWZAF-DECRYPT.txt in elke gecodeerde map

Screenshot van de website van de GandCrab 5.0.9 ransomware:

GandCrab 5.0.9 ransomware website

Tekst op deze website:

Als de betaling niet plaatsvindt voor 3/8/2018, 10:45:13 AM, worden de kosten voor het decoderen van bestanden verdubbeld

Aftellen naar de dubbele prijs: de tijd is om. Prijs is verdubbeld!

Wat is er? Uw computer is geïnfecteerd met de GandCrab Ransomware.

Al uw bestanden zijn gecodeerd en u kunt deze niet zelf decoderen.

Om uw bestanden te decoderen, moet u de GandCrab decryptor kopen. De prijs is 800 euro

Wat kan ik doen om mijn bestanden terug te krijgen? Je zou onze software GandCrab Decryptor moeten kopen.

Het scant uw pc, netwerkshare, alle aangesloten apparaten en controleert op gecodeerde bestanden en decodeert deze.

Huidige prijs: 800 euro. We accepteren cryptocurrency DASH en Bitcoin

Welke garanties kun je me geven? Om er zeker van te zijn dat we de decryptor hebben en dat deze werkt, kun je gratis één decryptie laten uitvoeren

.Maar dit bestand moet een afbeelding zijn, omdat afbeeldingen meestal niet waardevol zijn.

Ik heb geen Bitcoin (BTC) of DASH (DSH). Hoe kan ik de betaling uitvoeren?

Gemakkelijk. De lijst van de meest populaire uitwisselingsservices:

BuyBitcoin

CoinMonitor.io

LocalBitcoins

CoinMama

Changelly.com

PAYEERCEX.IO

De volledige lijst met uitwisselingsservices voor Bitcoin en voor DASH vind u hier.

Account aanmaken

Laad het saldo op met een creditcard of PayPal en koop het gevraagde aantal munten (Bitcoin of DASH). Maak een storting naar ons adres

Screenshot van bestanden versleuteld door GandCrab 5.0.9 (".wwzaf" extensie):

screenshot van bestanden versleuteld door GandCrab 5.0.9

Screenshot van het GandCrab 5.0.9 ransomware pop-up venster:

GandCrab5 pop-up weergegeven vanzodra de ransomware is uitgevoerd

Tekst in deze GandCrab 5.0.9 ransomware pop-up:

We zullen snel terug komen! ;)

GandCrab 5.0.9 ransomware verwijderen:

GandCrab 5.0.9 virus onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Spyhunter is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van GandCrab 5.0.9 virus. Download het door op de knop hieronder te klikken:
Spyhunter DOWNLOADEN De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Start uw computer in veilige modus. Klik op start, klik op 'Sluit af', klik op 'Opnieuw opstarten' en klik op OK. Druk tijdens het opstarten van de computer meerdere malen op de F8-toets op uw toetsenbord totdat u het menu 'Windows opties' ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in 'Veilige Modus met Netwerk':

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Veilige Modus met Netwerk

Video die toont hoe Windows 8 te starten in 'Veilige Modus met Netwerk':

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

windows 10 Veilige Modus met Netwerk

Video die toont hoe Windows 10 te starten in 'Veilige Modus met Netwerk':

Stap 2

Log in op het account dat besmet is met het GandCrab 5.0.9 virus. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de 'Veilige Modus met commando-prompt' en 'Systeemherstel':

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Start uw computer op in Veilige modus met commando-prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

systeemherstel met commando-prompt typ cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

systeemherstel via commando-prompt rstrui.exe

4. In het geopende venster klik 'Volgende'.

herstel systeembestanden en instellingen

5. Selecteer één van de beschikbare herstelpunten en klik 'Volgende' (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze GandCrab 5.0.9 ransomware je PC geïnfiltreerd had). 

selecteer een herstelpunt

6. In het geopende venster klik 'Ja'.

systeemherstel uitvoeren

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen malware verwijderingssoftware om enige achtergebleven delen van de GandCrab 5.0.9 ransomware te verwijderen.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de GandCrab 5.0.9 ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de 'Herstellen'-knop.

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt), start je computer op met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met GandCrab 5.0.9, kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer screenshot

Om uw computer te beschermen tegen ransomware voor het versleutelen van bestanden, gebruikt u gerenommeerde antivirus- en antispywareprogramma's. Als een extra beveiligingsmethode kunt u de programma's HitmanPro.Alert en EasySync CryptoMonitor gebruiken, die groepsbeleidsobjecten kunstmatig in het register implementeren om malafide programma's zoals GandCrab 5.0.9 ransomware te blokkeren.

Merk op dat de Windows 10 Fall Creators Update een "gecontroleerde toegang tot mappen"-functie bevat die ransomware kan helpen blokkeren. Deze functie beschermt automatisch bestanden in de mappen Documenten, Afbeeldingen, Video's, Muziek en Bureaublad.

gecontrolleerde toegang tot mappen

Windows 10-gebruikers zouden deze update moeten installeren om hun data tegen ransomware te beschermen. Je vindt hier meer informatie over hoe u deze update kunt uitvoeren en voeg extra bescherming toe voor ransomware-infecties.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen - voordat gebruikersbestanden getroffen worden.

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de GandCrab 5.0.9 ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/14138-gandcrab-5-0-9-ransomware