GandCrab勒索病毒于2018年1月首次出现,在半年的时候之内,迅速发展,短短几个月时间里就出现了V1.0,V2.0,V3.0,V4.0等几个大的版本更新,V4.0之后又出现了V4.1,V4.2,V4.3,V4.4等几个小版本的变种样本,最近又发现它的最新变种GandCrabV5.0版本的变种样本。
GandCrab的感染方式主要是通过以下几种方式:
(1) RDP爆破
(2) 垃圾邮件,带有恶意链接或附件
(3) 下载捆绑有恶意程序的正常软件
(4) 利用Exploit Kit等漏洞利用工具包
此次发现的GandCrabV5.0.3变种样本,通过恶意广告进行分发,利用Fallout Exploit Kit漏洞利用工具包网站传播安装GandCrabV5.0.3勒索病毒样本。
GandCrabV5.0.3版本的勒索信息超文本文件相应的内容如下所示:
相应的TOR勒索信息网址,如下所示
GandCrabV5.0.3旨在使用加密算法加密您的文件,这可能很难解密。我们建议几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住,这些方法可能不是100%有效,但也可能在不同情况下帮助您一点或多少。
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试杀毒软件的解密器。
方法3:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
解密文件的另一种方法是使用网络嗅探器获取加密密钥,同时在系统上加密文件。网络嗅探器是监视通过网络传输的数据的程序和/或设备,例如其互联网流量和互联网数据包。如果在被勒索之前设置了嗅探器,则可能会获得有关解密密钥的信息。