GandCrab 5.1 Ransomware

Auch bekannt als: GandCrab 5.1 Virus
Verbreitung: Moderat
Schadenshöhe: Stark

GandCrab 5.1 Ransomware Entfernungsanleitung

Was ist GandCrab 5.1?

GandCrab 5.1 ist eine neue Variante der GANDCRAB Ransomware-Familie, die von TMMalAnalyst entdeckt wurde. Er ist ein hochriskanter Virus, der entwickelt wurde, um Daten zu verschlüsseln und erpresserische Nachrichten in einer "[victim's_ID]-DECRYPT.txt" Datei und einem veränderten Desktophintergrund anzuzeigen. Die erzeugte Textdatei wird in jeden bestehenden Ordner platziert. Sie nennt jede verschlüsselte Datei um, indem eine neue Erweiterung hinzugefügt wird, nämlich eine einzigartige Opfer-ID. Wenn die ID des Opfers, zum Beispiel, „hjnakliq" ist, nennt GandCrab 5.1 einen Ordner namens „1.jpg" in „1.jpg.hjnakliq" um und so weiter.

Wie auf dem von GandCrab 5.1 Ransomware veränderten Desktophintergrund angezeigt wird, wurden die Dateien des Opfers mit einem starken Verschlüsselungsalgorithmus verschlüsselt. Um die Dateien wiederherzustellen, muss man einen „Decryptor“ (Entschlüsselungswerkzeug) kaufen. Anleitungen, wie man ihn kauft, gibt es in der Textdatei "[victim's_ID]-DECRYPT.txt“. Wie in unsere Einleitung erwähnt, kann diese Textdatei in jedem bestehenden (und verschlüsselten) Ordner gefunden werden. Laut der Lösegeldnachricht, sollte sie nicht gelöscht werden, bis die Daten wiederhergestellt/das Entschlüsselungswerkzeug gekauft wurde. Es wird auch erwähnt, dass Cyberkriminelle, die diese Ransomware entwickelt haben, die einzigen sind, die jenes Werkzeug liefern können. Um GandCrab 5.1 zu erhalten, müssen Opfer den Tor-Browser herunterladen und dann den bereitgestellten Link benutzen, um ihn zu öffnen. Weiter Anleitungen werden auf dieser Webseite angezeigt. Zuerst öffnet er die „Authentifizierung“ Webseite, die verlangt, dass eine "*-DECRYPT.txt" oder "*-DECRYPT.html" Datei gefunden und hochgeladen wird („*“ ist die Erweiterung, eine einzigartige ID der verschlüsselten Datei). Es wird erwähnt, dass keine der verschlüsselten Dateien umbenannt werden sollten. Danach zeigt er eine weitere Seite, die mehr Details über die Zahlungsdetails und so weiter enthält. Wie auf dieser Webseite besagt, beträgt der Preis für das Entschlüsselungswerkezg („GandCrab decryptor“) $1200. Wenn die Zahlung jedoch nicht bis zum bestimmten Datum/Zeit getätigt wird (kann oben auf der Webseite gesehen werden), wird sich der Preis verdoppeln. Lösegeld muss bezahlt werden, indem der entsprechende Betrag in Kryptowährung (Bitcoin oder DASH) in einen bereitgestellten Wallet eingezahlt wird. Es ist unklar, welcher Kryptographierungsalgorithmus (symmetrisch oder asymmetrisch) die Entwickler der GandCrab 5.1 Ransomware benutzen, um die Daten ihrer Opfer zu verschlüsseln. Die meisten Cyberkriminellen benutzen jedoch starke Verschlüsselungen, die nicht „geknackt“ werden können. Das bedeutet, dass Behauptungen darüber, dass sie die einzigen sind, die das benötigte Werkzeug zur Entschlüsselung besitzen, sehr wahrscheinlich richtig sind. Die meisten Cyberkriminellen benutzen Kryptografien, die einzigartige Schlüssel erzeugen. Diese Schlüssel werden gewöhnlich auf externen Servern gespeichert und es kann von niemand anders, als diesen bestimmten Ransomware-Entwicklern, darauf zugegriffen werden. Es bedeutet jedoch nicht, dass Cyberkriminellen vertraut werden kann. Im Gegenteil ignorieren die meisten ihre Opfer sobald sie die verlangte Zahlung erhalten haben. Da es kein Werkzeug gibt, das den Opfern bei der Entschlüsselung von GandCrab 5.1 helfen könnte, ist die einzig kostenlose Lösung, eine erzeugte Datensicherung zu benutzen und die Dateien so wiederherzustellen.

Bildschirmkopie einer Nachricht, die Benutzer auffordert, ein Lösegeld zu zahlen, um ihre betroffenen Daten zu entschlüsseln:

GandCrab 5.1 decrypt instructions

GandCrab 5.1 ist anderen Computerinfektionen dieser Art ähnlich, wie Anatova, Ppam,  [email protected] und viele andere. Diese Programme werden gewöhnlich entwickelt, um Daten zu verschlüsseln und ihre Opfer zu erpressen (Lösegeldforderungen zu machen). Die Hauptunterschiede sind der Preis für das Entschlüsselungswerkzeug und die für die Verschlüsselung benutzte Kryptographie. Leider ist eine Entschlüsselung ohne das Mitwirken der Cyberkriminellen meistens unmöglich, außer dass die Ransomware Bugs und Fehler aufweist und sich noch in der Entwicklung befindet. So oder so empfehlen wir die Erstellung einer regelmäßigen Datensicherung und die Speicherung auf externen Server oder nicht angeschlossenen Speichergeräten.

Wie hat Ransomware meinen Computer infiziert?

Eine der Verbreitungsmethoden, die benutzt wird, um GandCrab 5.1 zu verbreiten, ist E-Mail-Spam-Kampagnen. Durch ihre Nutzung, senden Cyberkriminelle E-Mails, die bösartige Anhänge enthalten, gewöhnlich ein Archiv, das eine bösartige JavaScript Datei enthält. Der Hauptzweck ist, E-Mail Empfänger zu verleiten, den Anhang zu öffnen. Das Öffnen führt zum Herunterladen und der Installation bestimmter Computerinfektionen. Wenn der Anhang geöffnet wird, löst JavaScript den Installationsprozess von GandCrab 5.1 Ransomware aus. Cyberkriminelle benutzen diese gefälschten Software Updater, Trojaner und nicht vertrauenswürdige Downloadquellen oft, um auch Ransomware-artige Infektionen zu vermehren. Falsche Software-Updater bieten ihren Benutzer die Reparatur verschiedener Softwarefehler an, aber stattdessen laden sie Computerinfektionen herunter und installieren sie. In andern Fällen nutzen sie Bugs oder Fehler der installierten, veralteten Software aus. Trojaner sind bösartige Programme, die Ketteninfektionen verursachen. Installierte Trojaner sind fähig, andere Infektionen, wie Ransomware, zu installieren. Verschiedene Downloadquellen für Dritt-Software, wie Peer-to-Peer Netzwerke (Torrents, eMule, etc.), Freeware Downloadseiten, kostenlose File Hosting Webseiten, inoffizielle/Dritt-Downloader für Software können verwendet werden, um Personen zu verleiten, bösartige Software herunterzuladen und zu installieren, statt der erwarteten, legitimen. Anders gesagt, durch die Verwendung dieser Quellen verleiten Cyberkriminelle Benutzer oft dazu, Viren selbst zu installieren.

Wie schützen Sie sich vor Ransomware Infektionen?

Vermeiden Sie das Öffnen von Anhängen oder Internet-Links, die in E-Mails gezeigt werden, die von unbekannten oder verdächtigen Adressen erhalten wurden und/oder wenn die E-Mail an sich unwichtig ist. Laden Sie Software von offiziellen und vertrauenswürdigen Quellen und direkten Links über verschiedenen, vertrauenswürdige Quellen herunter, die wir zuvor erwähnt haben. Aktualisieren Sie Ihre Software mit Tools oder eingebauten Funktionen, die nur von den offiziellen Entwicklern angeboten werden. Installieren und aktivieren Sie eine bekannte Anti-Spyware oder Antivirus Software. Tools dieser Art sind fähig, Viren zu erkenne und zu entfernen, bevor sie Schaden am Betriebssystem anrichten können. Wenn Ihr Computer bereits mit GandCrab 5.1 infiziert ist, empfehlen wir einen Scan mit Spyhunter durchzuführen, um diesen Ransomware automatisch zu entfernen.

Text, der in der GandCrab 5.1 Ransomware Textdatei ("[victim's_ID]-DECRYPT.txt") gezeigt wird:

---= GANDCRAB V5.1 =---

***********************LÖSCHEN SIE DIESE DATEI U NTER KEINEN UMSTÄNDEN BIS ALLE IHRE DATEN WIEDERHERGESTELLT WURDEN***********************

*****DIE NICHTEINHALTUNG FÜHRT ZUR BESCHÄDIGUNG DES SYSTEMS WENN ENTSCHLÜSSELUNGSFEHLER VORHANDEN SIND*****

Achtung!

Alle Ihre Dokumente, Fotos, Datenbanken und andere wichtigen Dateien wurden verschlüsselt und haben die Erweiterung: .HJNAKLIQ

Die einzige Methode Dateien zurückzugewinnen, ist der Kauf eines einzigartigen privaten Schlüssels. Nur wir können Ihnen diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen.


Der Server mit Ihrem Schlüssel ist in einem geschlossenen TOR Netzwerk. Sie gelangen auf folgende Weise dahin:

----------------------------------------------------------------------------------------

| 0. Laden Sie den Tor Browser von hxxps://www.torproject.org/ herunter

| 1. Installieren Sie den Tor Browser
| 2. Öffnen Sie den Tor Browser
| 3. Öffnen Sie diesen Link im TOR Browser: hxxp://gandcrabmfe6mnef.onion/da9ad04e1e857d00
| 4. Befolgen Sie die Anweisungen auf dieser Seite.

----------------------------------------------------------------------------------------

Auf unserer Seite sehen Sie Anweisungen zur Zahlung und erhalten die Möglichkeit, 1 Datei kostenlos zu entschlüsseln.


ACHTUNG!

UM SCHÄDEN AN DATEN ZU VERHINDERN:

* KEINE VERSCHLÜSSELTEN DATEIEN MODIFIZIEREN
* DIE UNTENSTEHENDEN DATEN NICHT ÄNDERN

---ANFANG GANDCRAB SCHLÜSSEL---
******
---ENDE GANDCRAB SCHLÜSSEL---

---ANFANG PC DATEN---
******
---ENDE PC DATEN---

Screenshot des GANDCRAB 5.1 Desktophintergrunds:

GandCrab 5.1 wallpaper

Der Text, der im Hintergrund angezeigt wird:

VERSCHLÜSSELT VON GANDCRAB 5.1
LIEBER [Benutzername]
IHRE DATEIEN STEHEN DURCH UNSERE SOFTWARE UNTER STARKEM SCHUTZ. UM SIE WIEDERHERZUSTELLEN, MÜSSEN SIE EINEN ENTSCHLÜSSLER KAUFEN
Lesen Sie für weitere Schritte [Opfer-ID]-DECRYPT.txt, der in jedem verschlüsselten Ordner zu finden ist.

Screenshot der GandCrab 5.1's Webseite (Authentifizierung):

grandcrab 5.1 ransomware authentication website

Text, der auf der Authentifizierungsseite angezeigt wird:

Authentifizierung

Zur Autorisierung, finden Sie *-DECRYPT.txt oder *-DECRYPT.html und laden sie sie herunter.
* - ist die Erweiterung verschlüsselter Dateien.

Dateiname und Inhalt, sollten nicht verändert werden.

Screenshot der Hauptseite von GandCrab 5.1 Ransomware:

grandcrab5.1 website payment part

Der Text, der auf dieser Seite angezeigt wird:

Wenn die Zahlung nicht bis zum 18.1.2019, 11:11:06 erfolgt, verdoppeln sich die Kosten der Entschlüsselung.
Countdown bis zur Preisverdoppelung: 1 Tag, 00:44:24
Was ist los?
Ihr Computer wurde mit GandCrab Ransomware infiziert.
Alle Ihre Dateien wurden verschlüsselt und Sie können sie nicht selbst entschlüsseln.

Um Ihre Dateien zu entschlüsseln, müssen Sie den GandCrab Entschlüssler kaufen.
Der Preis beträgt 1200 USD.
Was kann ich tun, um meine Dateien zurückzubekommen?
Sie sollten unsere Software GandCrab Entschlüssler kaufen. Sie wird Ihren PC, Netzwerkfreigabe, alle verbundenen Geräte scannen, nach verschlüsselten Dateien suchen und sie entschlüsseln. Aktueller Preis: 1200 USD. Wir akzeptieren die Kryptowährung DASH und Bitcoin.
Welche Garantien können Sie mir erteilen?
Um sicherzustellen, dass wir den Entschlüssler haben und er funktioniert, können Sie eine Datei kostenlos entschlüsseln.
Diese Datei muss aber ein Bild sein, weil Bilder normalerweise nicht wertvoll sind.
Ich habe keine Bitcoin (BTC) oder DASH (DSH). Wie kann ich zahlen?
Einfach. Die Liste der beliebtesten Wechseldienstleister:

BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

Die volle Liste der Wechseldienstleister für Bitcoin hier und für DASH hier.

Erstellen Sie ein Konto
Laden Sie den Betrag mit einer Kreditkarte oder PayPal.
Kaufen Sie die gewünschte Menge Coins (Bitcoin oder DASH)
Machen Sie eine Überweisung an unsere Adresse

Achtung
Löschen Sie nicht die Datei *-DECRYPT.txt bevor Sie Ihren PC komplett wiederherstellen.

Screenshot der von GandCrab 5.1 (in unserem Beispiel mit der ".hjnakliq" Erweiterung) verschlüsselten Dateien:

Files encrypted by GandCrab 5.1

Entfernung der GandCrab 5.1 Ransomware:

Sofortige automatische Entfernung von GandCrab 5.1 Virus: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Spyhunter ist ein professionelles, automatische Malware-Entfernungstool, das zur Entfernung von GandCrab 5.1 Virus empfohlen wird. Laden Sie es herunter, indem Sie auf die untenstehende Schaltfläche klicken:
▼ LADEN Sie Spyhunter herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um Schadsoftware zu entfernen, müssen Sie die Vollversion von Spyhunter kaufen. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrückt halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 safe mode with networking

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das vom GandCrab 5.1 Virus befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spyware Programm herunter. Aktualisieren Sie die Anti-Spyware und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann.

1. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffneten Fenster klicken Sie auf "Weiter".

restore system files and settings

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der GandCrab 5.1 Ransomware-Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit einer empfohlenen Schadsoftware Entferungssoftware, damit alle Überreste der GandCrab 5.1 Ransomware Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Ransomware verschlüsselt wurden wiederherzustellen, sollten PC Nutzer versuchen die Windows Frühere Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einem infizierten Betriebssystem aktiviert war. Beachten Sie, dass einige Variationen von GandCrab 5.1 auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie den Frühere Versionen Reiter. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten dieser Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die Dateien wiederzuerlangen, die von GandCrab 5.1 verschlüsselt wurden, können Sie auch versuchen, ein Programm namens Shadow Explorer zu benutzen. Für mehr Informationen, wie man dieses Programm benutzt, klicken Sie hier.

shadow explorer screenshot

Um Ihren Computer vor dieser Art von Ransomware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Anti-Spyware Programm benutzen. Als extra Schutzmethode können Sie Programme namens HitmanPro.Alert und Malwarebytes Anti-Ransomware benutzen, die künstliche Gruppenrichtlinienobjekte in das Register implantieren, um bösartige Programme, wie Santa Ransomware zu blockieren.

Beachten Sie, dass das Windows 10 Fall Creators Update die "Controlled Folder Access" Funktion beinhaltet, die Versuchen von Ransomware blockiert, Ihre Dateien zu verschlüsseln. Dieses Merkmal schützt standardmäßig automatisch Dateien, die in den Dokumenten, Bildern, Videos, Musik, Favoriten, sowie Desktop Ordnern gespeichert sind.

Controll Folder Access

Windows 10 Benutzer sollten dieses Update installieren, um Ihre Daten vor Ransomware-Angriffen zu schützen. Hier sind weitere Informationen darüber, wie man dieses Update erhält und eine zusätzliche Schutzschicht vor Ransomware-Infektionen hinzufügt.

HitmanPro.Alert CryptoGuard - entdeckt Verschlüsselungsdateien und neutralisiert solche Versuche, ohne dass Benutzer einschreiten müssen.

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta benutzt fortgeschrittene, proaktive Technologie, die Ransomware Aktivität überwacht und sie sofort beendet - bevor sie die Dateien der Benutzer erreicht:

malwarebytes anti-ransomware

  • Der beste Weg, um Schaden durch Ransomware-Infektionen zu vermeiden, ist regelmäßig, aktuelle Datensicherungen durchzuführen. Mehr Informationen über online Datensicherungslösungen und Datenwiederherstellungssoftware erhalten Sie Hier.

Andere Tools, die dafür bekannt sind GandCrab 5.1 Ransomware zu entfernen:

Quelle: https://www.pcrisk.com/removal-guides/14320-grandcrab-51-ransomware