GANDCRAB v5.0.6是惡毒的GandCrab加密病毒的最新版本。該病毒將對您的檔案進行加密，其背後的犯罪分子將試圖向您勒索錢，據稱將檔案恢復正常，並在GandCrab被***之前將您的計算機恢復到原來的執行狀態。檔案加密後，將收到[5-10隨機字母]副檔名。贖金票據的名稱是以大寫字母使用此副檔名並隨後新增[5-10隨機字母]-DECRYPT.txt或[5-10隨機字母]-DECRYPT.html而形成的。GandCrab加密病毒的不同版本可能存在贖金筆記的輕微變化。

GANDCRAB v5.0.6勒索病毒 - 分發策略

GANDCRAB V5.0.6勒索病毒可能通過不同的戰術本身散發。啟動此勒索軟體惡意指令碼的有效負載管理器正在網際網路上傳播，研究人員已經開始研究惡意軟體樣本。如果該檔案落在您的計算機系統上而您以某種方式執行它

下面，您可以看到VirusTotal服務檢測到的加密病毒的有效負載檔案：

GANDCRAB v5.0.6病毒 - 技術資訊

GANDCRAB v5.0.6是一種勒索病毒，它會對您的檔案進行加密，並在其中留下有關受損計算機裝置的贖金說明。敲詐勒索者希望您支付索賠恢復檔案的贖金費用。據說以前的GANDCRAB 5.0版本都使用了CVE-2018-0896漏洞。這也可以用這個新版本來利用。除上述提及之外，不排除使用其他漏洞和漏洞利用策略。

GANDCRAB v5.0.6勒索軟體在Windows登錄檔中建立了各種條目以實現永續性，並可以在Windows環境中啟動或抑制程序。此類條目通常設計為在每次啟動

加密後，GANDCRAB v5.0.6病毒將儲存勒索贖金。贖金票據的名稱是通過以大寫字母使用此擴充套件並新增[5-10隨機字母]-DECRYPT.txt或[5-10隨機字母]-DECRYPT.html形成的。贖金票據顯示如下：

上面顯示的訊息由GANDCRAB v5.0.6勒索病毒病毒顯示，表明您的檔案已加密。您被要求支付比特幣或DASH加密貨幣的贖金，以據稱恢復您的檔案。然而，你應該不是在任何情況下支付任何贖金金額。您的檔案可能無法恢復，沒有人可以為您提供保證。甚至可能導致您在付款後再次對檔案進行加密。

GANDCRAB v5.0.6勒索病毒 - 加密過程

GANDCRAB v5.0.6勒索病毒的加密過程相當簡單 - 每個加密的檔案都將變得無法使用。檔案將獲得由八個隨機字母組成的副檔名。新新增的副檔名將作為輔助副檔名新增，而不會更改原始副檔名。

具有針對要加密的檔案的目標副檔名的列表被認為與原始5.0版本相同，如下所示：

→.1st，.602，.7z，.7-zip，.abw，.act，.adoc，.aim，.ans，。apkg，.apt，.arj，.asc，.asc，.ascii，.ase ，.aty，.awp，.awt，.aww，.cab，.doc，.docb，.docx，.dotm，.gzip，.iso，.lzh，.lzma，.pot，。potm，。potx ,. ppam，.pps，.ppsm，.ppsx，.ppt，.pptm，.pptx，.rar，.sldm，.sldx，.tar，.vbo，.vdi，.vmdk，.vmem，.vmx，.xla， .xlam，.xll，.xlm，.xls，.xlsb，.xlsm，.xlsx，.xlt，.xltm，.xltx，.xlw，.xps，.z，.zip

使用者最常使用且可能加密的檔案來自以下類別：

· 音訊檔案

· 視訊檔案

· 文件檔案

· 影象檔案

· 備份檔案

· 銀行憑證等

可以將GANDCRAB v5.0.6加密病毒設定為藉助以下命令從Windows作業系統中清除所有Shadow Volume Copies：

→vssadmin.exe delete shadows /all /Quiet

在執行上述命令的情況下，這將使加密過程的效果更有效。這是因為該命令消除了恢復資料的一種重要方法。如果計算機裝置感染了此勒索軟體並且您的檔案已被鎖定，請繼續閱讀以瞭解如何將某些檔案恢復到正常狀態。

 要刪除GANDCRAB v5.0.6勒索病毒並恢復檔案，請執行以下步驟：

1.以安全模式啟動PC以隔離和刪除GANDCRAB v5.0.6檔案和物件

手動刪除通常需要時間，如果不小心或者非專業人士，您可能會損壞您的檔案！

對於Windows XP，Vista和7系統：

1.刪除所有CD和DVD，然後從“ 開始 ”選單重新啟動PC 。
2.選擇以下兩個選項之一：

- 對於具有單個作業系統的PC：在計算機重新啟動期間出現第一個引導屏幕後，反覆按“ F8 ”。如果Windows徽標出現在螢幕上，則必須再次重複相同的任務。

- 對於具有多個作業系統的PC：箭頭鍵可幫助您選擇您希望以安全模式啟動的作業系統。按照單個作業系統所述，按“ F8 ”。

3.出現“ 高階啟動選項 ”螢幕時，使用箭頭鍵選擇所需的安全模式選項。使用管理員帳戶登入計算機，當您的計算機處於安全模式時，螢幕的所有四個角都會出現“ 安全模式 ” 字樣。

4.修復PC上惡意軟體和PUP建立的登錄檔項。某些惡意指令碼可能會修改計算機上的登錄檔項以更改不同的設定。這就是建議清理Windows登錄檔資料庫的原因。由於有關如何執行此操作的教程有點長，如果操作不當，篡改登錄檔可能會損壞您的計算機，如果您在該領域缺乏經驗，可以參照連結 修復由惡意病毒軟體引起的Windows登錄檔錯誤

2.在PC上查詢由GANDCRAB v5.0.6建立的檔案

在較舊的Windows作業系統中，傳統方法應該是有效的方法：

1.單擊“ 開始選單”圖示（通常在左下角），然後選擇“ 搜尋”首選項。

2.出現搜尋視窗後，從搜尋助手框中選擇更多高階選項。另一種方法是單擊“ 所有檔案和資料夾”。

3.之後，鍵入要查詢的檔案的名稱，然後單擊“搜尋”按鈕。這可能需要一些時間才能顯示結果。如果您找到了惡意檔案，可以通過右鍵單擊來複製或開啟其位置。現在，您應該能夠在Windows上發現任何檔案，只要它在您的硬碟驅動器上並且不通過特殊軟體隱藏。

3.使用高階防惡意防毒軟體工具掃描惡意軟體和惡意程式

4.嘗試還原由GANDCRAB v5.0.6加密的檔案

勒索軟體感染和GANDCRAB v5.0.6旨在使用加密演算法加密您的檔案，這可能很難解密。這就是為什麼我們建議了幾種可以幫助您繞過直接解密並嘗試恢復檔案的替代方法。請記住，這些方法可能不是100％有效，但也可能在不同情況下幫助您一點或多少。

方法1：使用資料恢復軟體掃描驅動器的扇區。

方法2：嘗試防毒軟體的解密器。

方法3：在密碼病毒通過網路通過嗅探工具傳送解密金鑰時查詢解密金鑰。

關注服務號，交流更多解密檔案方案和恢復方案：