GandCrab 5.0.9 Erpressersoftware

Auch bekannt als: GandCrab 5.0.9 Virus
Verbreitung: Niedrig
Schadenshöhe: Stark

GandCrab 5.0.9 Erpressersoftware Entfernungsanleitung

Was ist GandCrab 5.0.9?

GandCrab 5.0.9 ist eine hochriskante Erpressersoftware-artige Infektion namens GandCrab. Diese Variante wurde von Marcelo Rivero entdeckt. Wie die meisten Viren dieser Art wurde er dafür entwickelt, Daten zu verschlüsseln, um betroffene Dateien des Benutzers unbrauchbar zu machen. Sie benennt jede verschlüsselte Datei durch das Anhängen der ID seines Opfers als Dateierweiterung um (z. B. ".wwzaf"). Zum Beispiel benennt sie "1. jpg" in "1.jpg.wwzaf" um und so weiter. GandCrab 5.0.9 generiert außerdem eine Lösegeldforderung in einer Textdatei namens "WWZAF-DECRYPT.txt", ihr Name hängt von der ID des Opfers ab (genau wie die angehängte Erweiterung) Diese Textdatei wird in jedem Ordner platziert, der verschlüsselte Dateien enthält. GandCrab 5.0.9 ändert außerdem den Bildschirmhintergrund.

Sobald die Erpressersoftware GandCrab 5.0.9 ausgeführt wird, erscheint ein Pop-up-Fenster mit der Meldung "Wir werden werden sehr bald wieder zurück;)". Das sagt nicht viel aus, die Hauptinformationen werden in der "WWZAF-DECRYPT.txt" (oder einer anderen generierten Lösegeldforderungen) dargestellt. Laut den GandCrab 5.0.9 Entwicklern wurden alle Daten des Benutzers (wie Fotos, verschiedene Dokumente, Datenbanken) verschlüsselt/gesperrt und der einzige Weg, sie wiederzuerhalten (entschlüsseln/entsperren), ist einen privaten (einzigartigen) Entschlüsselungsschlüssel zu erwerben. Mit anderen Worten, ein Lösegeld zu zahlen. In diesem Fall müssen Opfer von GandCrab 5.0.9 einen Tor-Browser herunterladen und den angezeigten Link mithilfe dieses speziellen Browsers öffnen und dann die weiteren Anweisungen befolgen. Diese Erpressersoftware-Opfer werden aufgefordert, nicht zu versuchen, die verschlüsselten Dateien zu ändern. Es ist unbekannt welchen Kryptografie-Algorithmus (symmetrisch oder asymmetrisch) Cyberkriminelle verwendet haben um mithilfe dieses Erpressersoftware-artigen Virus Dateien zu verschlüsseln. Auf die eine oder andere Weise verwenden die meisten Cyberkriminellen Algorithmen, die einzigartige Schlüssel generieren. Sie speichern Sie in Fernservern, die nur von ihnen betrieben werden. Darüber hinaus gibt es kein Tool,  welches in der Lage ist, die GandCrab 5.0.9 Verschlüsselung kostenlos zu knacken, zumindest nicht in diesem Moment. Beachten Sie, dass Cyberkriminellen nicht vertraut werden kann, häufig ignorieren sie ihre Opfer, selbst wenn sie das Entschlüsselungs-Tool/den Entschlüsselungsschlüssel kaufen (das Lösegeld bezahlen). Deshalb ist in solchen Fällen die beste Lösung, ein existierendes Backup zu verwenden und die Daten von dort wiederherzustellen.

Screenshot einer Nachricht, in der Benutzer aufgefordert werden, ein Lösegeld zu zahlen, um ihre kompromittierten Daten zu entschlüsseln:

GandCrab 5.0.9 decrypt instructions

StevenSeagal, CmdRansomware und Risk - dies sind nur einige Beispiele für andere Viren dieser Art, es gibt viele andere. In der Regel verwenden Entwickler von Erpressersoftware diese Infektionen aus diesen zwei Gründen: Daten zu entschlüsseln und Lösegeld zu fordern. Üblicherweise ist der einzige Unterschied zwischen Viren dieser Art der für die Verschlüsselung verwendete Kryptografie-Algorithmus und die Höhe des Lösegelds (Preis des Entschlüsselungs-Tools/Entschlüsselungsschlüssels). Meistens ist eine kostenlose Entschlüsselung (ohne das Einschreiten von Cyberkriminellen) unmöglich. Es sei denn, die Erpressersoftware befindet sich in der Entwicklung und hat einige unbehobene Bugs oder Fehler. Um Datenverlust zu vermeiden, empfehlen wir jedoch, regelmäßig Backups durchzuführen und diese auf Fernservern oder nicht eingesteckten Speichergeräten zu speichern.

Wie hat Erpressersoftware meinen Computer infiziert?

Es ist nicht bekannt, wie die Entwickler von GandCrab 5.0.9 diese Infektion verbreiten, es gibt jedoch verschiedene am meisten verwendete Methoden um dies zu erreichen. Cyberkriminelle verwenden häufig E-Mail-Spam-Kampagnen, Trojaner, verschiedene unzuverlässige Software-Download-Kanäle und falsche Software-Updater. Sie verwenden E-Mail-Spam-Kampagnen, indem sie eine Reihe von E-Mails versenden, die einen bösartigen Anhang enthalten. Der angezeigte Anhang könnte ein Microsoft Office-Dokument, eine ausführbare Datei (.exe), eine Archivdatei (wie RAR), eine PDF-Datei sein und so weiter. Computer werden infiziert wenn diese infizierten Anhänge geöffnet werden/eine Berechtigung, bösartige Aktionen auszuführen erteilt wird. Verschiedene kostenlose Filehosting-, Freeware-Download-Webseiten, Peer-to-Peer- (P2P) -Netzwerke und andere nicht vertrauenswürdige Quellen zum Herunterladen von Software können verwendet werden, um infizierte Dateien als seriös darzustellen. In solchen Fällen werden Personen dazu verleitet, verschiedene Viren von selbst herunterzuladen/zu installieren. Trojaner sind Infektionen, die entwickelt wurden, um andere Viren zu verbreiten. Einen Trojaner installiert zu haben setzt dem Computer dem Risiko verschiedener zusätzlicher Installationen anderer Viren aus. Falsche Software-Updater verursachen Schäden, indem sie Viren anstelle von Updates herunterladen oder indem sie Bugs und Fehler irgendwelcher installierter und veralteter Software ausnutzen.

Zusammenfassung der Bedrohung:
NameGandCrab 5.0.9 Virus
Art der BedrohungRansomware, Kryptovirus, Dateiensperre
SymptomeAuf Ihrem Computer gespeicherte Dateien können nicht geöffnet werden, früher funktionsfähige Dateien haben nun eine andere Erweiterung, z.B. my.docx.locked. Eine Lösegeldforderung wird auf Ihrem Desktop angezeigt. Cyberkriminelle fordern ein Lösegeld (normalerweise in Bitcoins), um Ihre Dateien freizuschalten.
VerbreitungsmethodenInfizierte E-Mail-Anhänge (Makros), Torrent-Websites, bösartige Werbung.
SchadenAlle Dateien sind verschlüsselt und können nicht ohne Lösegeldzahlung geöffnet werden. Zusätzliche Passwortdiebstähle von Trojanern und Malware-Infektionen können zusammen mit einer Ransomware-Infektion installiert werden.
Entfernung

Um GandCrab 5.0.9 Virus zu entfernen, empfehlen unsere Malware-Forscher, Ihren Computer mit Spyhunter zu scannen.
▼ Laden Spyhunter
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um Malware zu entfernen, müssen Sie die Vollversion von Spyhunter erwerben.

Wie kann man sich vor Erpressersoftware-Infektionen schützen?

Um zu verhindern, dass Computer mit Erpressersoftware-artigen (oder anderen) Viren infiziert werden, empfehlen wir dringend, beim Surfen im Internet, Installieren, Herunterladen und Aktualisieren von Software vorsichtig zu sein. Öffnen Sie keine der Anhänge, welche in E-Mails, die von unbekannten/nicht vertrauenswürdigen, verdächtigen Adressen erhalten wurden, angezeigt werden. Wenn Sie glauben, dass eine E-Mail, die Sie erhalten haben, irrelevant ist, dann ignorieren Sie sie einfach. Aktualisieren Sie Ihre Software (oder das Betriebssystem selbst) nur mithilfe implementierter Funktionen oder Tools, die von den offiziellen Entwicklern bereitgestellt werden. Vermeiden Sie es, jegliche andere Software mithilfe nicht vertrauenswürdiger, inoffizieller Webseiten oder irgendwelcher Downloader Dritter herunterzuladen. Download- oder Installations-Setups Dritter enthalten sehr häufig betrügerische Anwendungen, die Computerinfektionen verursachen könnten. Es ist immer eine gute Idee, ein seriöses Anti-Spyware- oder Anti-Virus-Programm installiert zu haben. Diese Programme erkennen und beseitigen verschiedene Viren häufig bevor sie irgendwelche Schäden anrichten oder dem Computer in irgendeiner Weise schaden können. Wenn Ihr Computer bereits mit GandCrab 5.0.9 infiziert wurde, empfehlen wir, einen Scan mit Spyhunter durchzuführen, um diese Erpressersoftware automatisch zu beseitigen.

Der in der "(victim's_ID)-DECRYPT.txt"-Textdatei angezeigte Text:

---= GANDCRAB V5.0.9 =---

***********************LÖSCHEN SIE UNTER KEINEN UMSTÄNDEN DIESE DATEI BIS ALL IHRE DATEN WIEDERHERGESTELLT SIND***********************

*****ANDERNFALLS WIRD DIES ZU IHRER SYSTEMKORRUPTION FÜHREN, WENN ES FEHLER BEI DER ENTSCHLÜSSELUNG GIBT*****

Achtung!

All Ihre Datenbanken, Dateien, Fotos, Dokumente und andere wichtige Dateien wurden verschlüsselt und haben die Erweiterung: .WWZAF

Die einzige Methode zur Wiederherstellung von Dateien ist, einen einzigartigen privaten Schlüssel zu kaufen. Nur wir können Ihnen diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen.


Der Server mit Ihrem Schlüssel befindet sich in einem geschlossenen Netzwerk-TOR. Sie können mithilfe der folgenden Weisen auf ihn gelangen:

----------------------------------------------------------------------------------------

| 0. Tor-Browser herunterladen - hxxps://www.torproject.org/

| 1. Tor-Browser installieren
| 2. Tor-Browser öffnen
| 3. Link im TOR-Browser öffnen: hxxp://gandcrabmfe6mnef.onion/da9ad04e1e857d00
| 4. Folgen Sie den Anweisungen auf dieser Seite

----------------------------------------------------------------------------------------

Auf unserer Seite finden Sie Anweisungen zum Bezahlen und Sie erhalten die Möglichkeit, 1 Datei kostenlos zu entschlüsseln.


ACHTUNG!

UM DATEISCHÖDEN ZU VERMEIDEN:

* ÄNDERN SIE KEINE VERSCHLÜSSELTEN DATEIEN
* ÄNDERN SIE DIE UNTEN STEHENDEN DATEN NICHT*

---STARTEN SIE GANDCRAB-SCHLÜSSEL---
-
--- BEENDEN SIE GANDCRAB-SCHLÜSSEL---

--- PC-DATEN STARTEN ---
-
--- PC-DATEN BEENDEN ---

Screenshot des GandCrab 5.0.9 Desktop Hintergrundbilds:

screenshot of a GandCrab 5.0.9 ransom note

Der im Hintergrundbild der GandCrab 5.0.9 Erpressersoftware angezeigte Text:

DURCH GANDCRAB 5.0.9 VERSCHLÜSSELT

IHRE DATEIEN STEHEN UNTER DEM STARKEN SCHUTZ UNSERER SOFTWARE ZUR WIEDERHERSTELLUNG MÜSSEN SIE DECODIERER KAUFEN

Für weitere Schritte lesen Sie bitte WWZAF-DECRYPT.txt, welches sich in jedem verschlüsselten Ordner befindet

Screenshot der Webseite der GandCrab 5.0.9 Erpressersoftware.

GandCrab 5.0.9 ransomware website

Der innerhalb dieser Seite angezeigte Text:

Wenn die Zahlung bis zum 08.03.2018, 10:45:13 Uhr nicht erfolgt ist, wird der Preis für die Entschlüsselung von Dateien verdoppelt
Countdown zum doppelten Preis: Die Zeit ist um. Preis wurde verdoppelt!
Was ist los?
Ihr Computer wurde mit GandCrab-Ransomware infiziert.
All Ihre Dateien wurden verschlüsselt und Sie sind nicht in der Lage, sie selbst zu entschlüsseln.

Um Ihre Dateien zu entschlüsseln, müssen Sie GandCrab-Decodierer kaufen
Der Preis beträgt - 800 USD
Was kann ich tun, um meine Dateien zurückzubekommen?
Sie sollten unsere Software GandCrab Decryptor kaufen. Sie scannt Ihren PC, Netwerkfreigabe, alle angeschlossenen Geräte und sucht nach verschlüsselten Dateien und entschlüsselt es. Aktueller Preis: 800 USD Wir akzeptieren Kryptowährung DASH und Bitcoin
Welche Garantien können Sie mir geben?
Um sicher zu sein, haben wir den Decodierer und er funktioniert Sie können kostenloses Entschlüsseln verwenden und eine Datei kostenlos entschlüsseln.
Diese Datei muss jedoch ein Bild sein, da Bilder normalerweise nicht wertvoll sind.
Ich habe kein Bitcoin (BTC) oder DASH (DSH). Wie kann ich bezahlen?
Ganz einfach. Die Liste der beliebtesten Austauschdienste:

BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

Die vollständige Liste der Austauschdienste für Bitcoin hier und für DASH hier.

Erstellen Sie ein Konto
Belasten Sie den Betrag mit einer Kreditkarte oder Paypal
Kaufen Sie die angeforderte Menge an Münzen (Bitcoin oder DASH)
Führen Sie eine Auszahlung an unsere Adresse durch

Screenshot von Dateien, die mit GandCrab 5.0.9 verschlüsselt wurden (".wwzaf"-Erweiterung):

screenshot of files encrypted by GandCrab 5.0.9

Screenshot eines Pop-up-Fensters einer GandCrab 5.0.9 Erpressersoftware

GandCrab5 pop-up displayed once the ransomware is executed

Der im Pop-up der GandCrab 5.0.9 Erpressersoftware angezeigte Text:

Wir kommen sehr bald wieder! ;-)

Entfernung der GandCrab 5.0.9 Erpressersoftware:

Sofortige automatische Entfernung von GandCrab 5.0.9 Virus: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Spyhunter ist ein professionelles, automatische Malware-Entfernungstool, das zur Entfernung von GandCrab 5.0.9 Virus empfohlen wird. Laden Sie es herunter, indem Sie auf die untenstehende Schaltfläche klicken:
▼ LADEN Sie Spyhunter herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um Schadsoftware zu entfernen, müssen Sie die Vollversion von Spyhunter kaufen. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrückt halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 safe mode with networking

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das vom GandCrab 5.0.9 Virus befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spähsoftware Programm herunter. Aktualisieren Sie die Anti-Spyware und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann.

1. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffneten Fenster klicken Sie auf "Weiter".

restore system files and settings

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der GandCrab 5.0.9 Erpressersoftware Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit einer empfohlenen Schadsoftware Entferungssoftware, damit alle Überreste der GandCrab 5.0.9 Erpressersoftware Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten PC Nutzer versuchen die Windows Frühere Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einem infizierten Betriebssystem aktiviert war. Beachten Sie, dass einige Variationen von GandCrab 5.0.9 auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie den Frühere Versionen Reiter. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten dieser Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die Dateien wiederzuerlangen, die von GandCrab 5.0.9 verschlüsselt wurden, können Sie auch versuchen, ein Programm namens Shadow Explorer zu benutzen. Für mehr Informationen, wie man dieses Programm benutzt, klicken Sie hier.

shadow explorer screenshot

Um Ihren Computer vor dieser Art von Erpressersoftware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Anti-Spähsoftware Programm benutzen. Als extra Schutzmethode können Sie Programme namens HitmanPro.Alert und Malwarebytes Anti-Ransomware benutzen, die künstliche Gruppenrichtlinienobjekte in das Register implantieren, um bösartige Programme, wie .shadow Erpressersoftware zu blockieren.

Beachten Sie, dass das Windows 10 Fall Creators Update die "Controlled Folder Access" Funktion beinhaltet, die Versuchen von Erpressersoftware blockiert, Ihre Dateien zu verschlüsseln. Dieses Merkmal schützt standardmäßig automatisch Dateien, die in den Dokumenten, Bildern, Videos, Musik, Favoriten, sowie Desktop Ordnern gespeichert sind.

Controll Folder Access

Windows 10 Benutzer sollten dieses Update installieren, um Ihre Daten vor Erpressersoftwareangriffen zu schützen. Hier sind weitere Informationen darüber, wie man dieses Update erhält und eine zusätzliche Schutzschicht vor Erpressersoftwareinfektionen hinzufügt.

HitmanPro.Alert CryptoGuard - entdeckt Verschlüsselungsdateien und neutralisiert solche Versuche, ohne dass Benutzer einschreiten müssen.

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta benutzt fortgeschrittene, proaktive Technologie, die Erpressersoftware Aktivität überwacht und sie sofort beendet - bevor sie die Dateien der Benutzer erreicht:

malwarebytes anti-ransomware

  • Der beste Weg, um Schaden durch Erpressersoftware Infektionen zu vermeiden, ist regelmäßig, aktuelle Datensicherungen durchzuführen. Mehr Informationen über online Datensicherungslösungen und Datenwiederherstellungssoftware erhalten Sie Hier.

Andere Tools, die dafür bekannt sind GandCrab 5.0.9 Erpressersoftware zu entfernen:

Quelle: https://www.pcrisk.com/removal-guides/14138-gandcrab-5-0-9-ransomware