Remoção de GandCrab

Uma nova e sofisticada estirpe de ransomware, denominada GandCrab, tem estado a fazer estragos desde o início de fevereiro. Mostra-se revolucionária, ao ponto de assumir o papel pioneiro de aceitar altcoins como método de pagamento de regastes, o que nenhuma outra família de malware chantagista fez até então. Além disso, apresenta uma rotina diversificada de distribuição que está em constante evolução.

O que é o ransomware GandCrab?

O GandCrab representa uma nova geração de Trojans de resgaste, que incorporam uma propagação bem orquestrada, uma fuga avançada aos antivírus, uma criptografia imbatível e uma forte infraestrutura de Comando e Controlo. Com o declínio geral da prevalência do ransomware na arena do crime cibernauta no final de 2017, o aparecimento de uma amostra com este elevado calibre tecnológico é um verdadeiro acontecimento. Na mesma altura em que este artigo é escrito, os arquitetos desta onda extorsionista lançaram o GandCrab v2.1. Não é particularmente diferente da variante original, com exceção de que o seu fluxo de trabalho se tornou mais flexível. Tal como anteriormente, a última edição deste patife adiciona a extensão .GDCB aos ficheiros encriptados e deposita um manual de resgate com o nome GDCB-DECRYPT.txt.

Ataque do ransomware GandCrab

Esta mudança nos métodos de distribuição é tangível. Enquanto a versão anterior conseguiu espalhar-se através de kits de exploração, incluindo o RIG e o GrandSoft, a atual chega aos computadores através de spam malicioso. Apesar de isto parecer um passo atrás em termos de complexidade técnica, a taxa de sucesso de implementação provavelmente cresceu. Os inimigos acionam uma botnet para enviar emails em massa para as potenciais vítimas. Os emails de phishing fingem ser recibos, com o assunto a denominar-se “Receipt Feb-[números aleatórios]”. O corpo da mensagem é prosaico, dizendo “Documento anexado”.

E-mail espalhando o ransomware GandCrab

O truque centra-se por completo no anexo, o qual se camufla como um ficheiro PDF. Assim que o destinatário o abre, surge-lhe no ecrã um captcha, onde é suposto confirmar que não é um robô. Depois, o falso PDF descarrega um ficheiro Microsoft Word armadilhado da página web butcakeforthen.com e carrega-o. Surge então um aviso comum “Visão Protegida”, pedindo à vítima para ativar a edição, executando assim as macros do Office. Estas macros maliciosas, por sua vez, descarregam e aciona um script PowerShell que conclui a cadeia infeciosa e executa o binário ransomware GandCrab no hóspede.

O programa perpetrador atravessa primeiro as partições do disco rígido da máquina contaminada, as unidades amovíveis e as redes partilhadas, sempre à procura de dados potencialmente valiosos. Antes de encriptar os itens detetados, encerra múltiplos processos que poderão estar a utilizar alguns dos ficheiros prestes a serem raptados. Também determina o endereço de IP e a geolocalização da vítima, a fim de exibir posteriormente esta informação na página do serviço de desencriptação. Ao receber uma chave de encriptação pública do seu servidor C2, o GandCrab executa a tarefa de deturpação de dados através do RSA, um algoritmo assimétrico de criptografia.

Um notável subproduto deste processo de enviesamento de ficheiros, além da negação de acesso, é a concatenação da série .GDCB para todas as entradas codificadas. O ransomware também coloca o seu documento de instruções de recuperação, o GDCB-DECYPT.txt, em ficheiros que tenham dados raptado, depositando igualmente uma cópia no ambiente de trabalho. Em última instância, a vítima recebe instruções para visitar a página “GandCrab Decryptor”. É um recurso oculto Tor, desenhado para processar pagamentos de resgate. A infeção exige o 1.54 Dash, uma forma de criptomoeda que é pela primeira vez utilizada por criadores de ransomware. Independentemente do quão grande seja a tentação de pagar aos criminosos cibernautas, recuperar os dados e prosseguir com a sua vida, assegure-se de que primeiro tenta todas as opções. Comece com os passos abaixo para remover o ransomware GandCrab e verifique se as forenses podem resolver o problema no que diz respeito à recuperação de dados.

Remoção automática do ransomware GandCrab

Graças a uma base de dados atualizada em relação a assinaturas de malware e deteção comportamental inteligente, o software recomendado pode rapidamente localizar a infeção, erradicando-a e remediando todas as alterações maliciosas. Portanto vá em frente e faça o seguinte:

  • Descarregue e instale uma ferramenta antimalware. Abra essa solução e analise o seu PC à procura de PUPs e outros tipos de software malicioso ao clicar em Iniciar Iniciar Verificação do Computador (Start Computer Scan)

Descarregue o eliminador do vírus dos ficheiros .GDCB

  • O relatório de verificação irá sem margem para dúvidas listar todos os itens que possam afetar o seu sistema operativo. Selecione as entradas detetadas e clique em Consertar Ameaças (Fix Threats) para que a resolução de problemas fique completa.

Métodos para recuperar ficheiros .GDCB não ransom

Quebrar a encriptação usada por este trojan ransom é algo mais semelhante a algo saído da ficção científica do que uma perspetiva alcançável para as massas. É por isso que a resolução de problemas em situações complicadas deste género assenta em duas abordagens: uma é pagar o resgate, o que não é uma opção para muitas vítimas; e a outra é aplicar os instrumentos que tiram partido das eventuais fraquezas do ransomware. Se o seu caso for este último, o conselho abaixo é de tentativa obrigatória.

As cópias de segurança podem salvar-lhe o dia

Não só é uma pessoa com sorte caso tenha estado a fazer uma cópia de segurança dos seus ficheiros importantes, mas também um utilizador inteligente e prudente. Hoje em dia, isto não representa uma atividade necessariamente pesada a nível de recursos – na verdade, alguns provedores de serviços online estão a alocar espaço gratuito suficiente em alojamentos de nuvem para que cada cliente possa facilmente fazer o upload dos seus dados críticos sem precisar de pagar um cêntimo. Assim que tiver removido o seu ransomware GandCrab, só precisará de descarregar as suas coisas do servidor remoto ou transferi-las para um elemento externo de hardware caso seja esse o caso.

Restaure versões anteriores dos ficheiros encriptados

Conseguir um resultado positivo ao utilizar esta técnica depende se o ransomware eliminou ou não as Cópias Sombra de Pastas dos ficheiros no seu PC. Este é um recurso do Windows que de forma automática cria e mantém cópias de segurança dos elementos de dados no disco rígido, desde que o Restauro do Sistema esteja ativo. O cryptoware em questão está programado para desligar o Serviço de Cópias Sombra de Pastas (VSS), mas já falhou esse objetivo nalguns casos. Verificar quais são as suas opções acerca desta solução pode ser feito através de duas formas: no menu Propriedades de cada ficheiro ou com uma notável ferramenta open-source chamada ShadowExplorer. Recomendamos o método em que se aplica este software pois ele é automatizado e, por conseguinte, é mais rápido e mais fácil. Só tem de instalar a aplicação e utilizar os seus controlos intuitivos para obter e reintegrar as versões anteriores dos objetos encriptados.
ShadowExplorer

Kit de ferramentas de recuperação de dados chamado à ação

Algumas estirpes de ransomware são conhecidas por apagarem os ficheiros originais após cumprirem a sua encriptação. Apesar de esta atividade parecer bastante hostil, poderá jogar a seu favor. Existem aplicações desenhadas para reavivar informação que foi obliterada graças ao mau funcionamento de um hardware ou devido a uma remoção acidental. A ferramenta conhecida como Data Recovery Pro da ParetoLogic contém este tipo de capacidade, logo pode ser usada em cenários de ataques ransom para, pelo menos, reaver alguns ficheiros importantes. Portanto descarregue e instale o programa, execute uma verificação e deixe que ele faça o seu trabalho.
Data Recovery Pro

Reveja o seu estado de segurança

Uma avaliação pós-ocorrência do fator precisão em cenários de remoção de hardware é um excelente hábito que previne o regresso de código malicioso ou a replicação de frações que se encontrem sem vigilância. Assegure-se de que está pronto ao executar uma verificação de segurança adicional.

Descarregue a ferramenta de remoção do ransomware GandCrab