GandCrab 2 Ransomware - Hvordan fjernes det?

GandCrab 2 ransomware er en anden version af GandCrab kryptomalware. Hvis du følger med i nyhederne inden for it-verdenen, har du sikkert hørt, at det rumænske politi sammen med BitDefender og Interpol formåede at få adgang til GandCrab virus’ C&C servere. Dernæst offentliggjorde BitDefender et gratis dekrypteringsprogram, der giver ofrene for denne infektion mulighed for at gendanne deres ødelagte data fuldstændig gratis.

Dette tilbageslag var ikke enden for udviklerne af GandCrab ransomware. De var fast besluttede på at lave en anden version – en mere sikker én, som havde mindre sandsynlighed for at blive dekrypteret. Og som lovet producerede hackerne GandCrab 2 ransomwareprogrammet, som de begyndte at distribuere i begyndelsen af marts 2018. I denne artikel vil vi hurtigt opsummere ændringerne i Ransomwareprogrammet, og forklare, om ofrene eventuelt har en chance for at dekryptere deres data gratis. I øjeblikket har en gratis gendannelse af filerne lange udsigter.

Krypto-virussen GandCrab 2 arbejder med nye Command&Control servere og vedhæfter udvidelsen .Crab

Udviklerne af GandCrab 2 virus har lavet en del ændringer ved deres første virus. De har som sagt nye Command&Control servere. Hackerne håber naturligvis på, at de har gjort dem sikre nok, så de kan undgå samme skæbne. Derudover har svindlerne også ændret udvidelsen, som vedhæftes de krypterede digitale filer. Så hvis du er ude for GandCrab 2 virus, vil du se, at de ødelagte data har fået udvidelsen .Crab.

Endvidere har hackerne foretaget andre spidsfindige ændringer. En af dem er løsesumsbeskeden, der vises i en CRAB-DECRYPT.txt. Meddelelsen består af den samme tekst, men giver samtidigt ofrene besked på at downloade TOR-browseren, så de kan få adgang til hjemmesiden Gdcbmuveqjsli57x.onion. På dette domæne vil ofrene finde yderligere information om dekrypteringsmulighederne og den aktuelle løsesum.

Hackerne forlanger 400 dollars for dekrypteringsprogrammet til GandCrab 2. Hvis betalingen ikke sker, inden tidsfristen udløber, bliver løsesummen fordoblet til 800 dollars. Svindlerne forventer at få betalingerne i kryptovalutaen DASH, og der er meget få ransomwarevirusser, der benytter det betalingssystem.

Har man mulighed for at dekryptere filer, som GandCrab 2 virus har krypteret?

Eftersom man lige har opdaget GandCrab 2 ransomware (den 6. marts), har sikkerhedsforskerne ikke haft tilstrækkelig tid til at gennemgå det ordentligt. Der er desværre ingen mulighed for at dekryptere de filer, som den nye version har krypteret, men man skal ikke opgive håbet. Forskerne vil måske endnu engang få adgang til C&C serverne og frembringe et gratis dekrypteringsprogram. Indtil da håber vi ikke, at du lader dig skræmme til at betale løsesummen. Hvis du betaler udviklere af ransomware, vil det kun opfordre dem til at blive ved med at fremstille kryptomalware (Dine penge eller dine filer: hvorfor betaler ransomware-ofrene?). Hvis vi nogensinde skal få sat en stopper for udviklerne af ransomware, er vi nødt til at holde op med at betale dem.

Hvis du har sikkerhedskopieret dine digitale filer, udgør ransomwareprogrammet naturligvis ikke nogen trussel. I så fald skal du fjerne ransomwareprogrammet fra din computer og hente dine data, dér hvor du har sikkerhedskopieret dem. Ikke desto mindre er der mange, som sjældent sikkerhedskopierer deres data, og de kan derfor ikke få deres filer tilbage på den måde.

GandCrab 2 virus distribueres eventuelt via bedrageriske pop-ups og malspam

Udviklerne af GandCrab 2 virus benytter sandsynligvis flere distributionsmetoder. Det kan være, at der cirkulerer nogle vildledende beskeder på internettet. De opfordrer som regel folk til at downloade en fil. Vi har tidligere fortalt, at HoeflerFont scam medbringer GandCrab virussen. Med den nye version er det stadig ikke klart hvilke specifikke distributionsmetoder, som tages i brug. Det kan eventuelt være med såkaldt malspam. Hvis du modtager en mistænkelig e-mail i din indbakke, skal du være meget forsigtig med indholdet.

Der er ingen tvivl om, at du er nødt til at fjerne GandCrab 2 ransomware fra din computer. Du kan gøre det manuelt ved hjælp af vores vejledning i slutningen af denne artikel. Men hvis du imidlertid ikke har erfaring med at fjerne malware, er det ikke sikkert, at du vil have nemt ved at fjerne ransomwareprogrammet selv. Du bør i så fald installere et anti-malwareprogram og bruge det til fjernelsen af GandCrab 2 virus. Vi kan anbefale nogle af de bedste sikkerhedsprogrammer på markedet: Reimage og Spyhunter. Med disse værktøjer vil du kunne beskytte dig selv mod alle former for skadelige parasitter.

1. Hvordan fjernes GandCrab 2 Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, GandCrab 2 Ransomware trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af GandCrab 2 Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med GandCrab 2 Ransomware.

3. Gendan filer, der er påvirket af GandCrab 2 Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. GandCrab 2 Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.