GANDCRAB v5.0.9是臭名昭著的GandCrab加密病毒的最新版本。該病毒將對您的檔案進行加密，其背後的犯罪分子將試圖向您勒索錢，據稱將檔案恢復正常，並在GandCrab被攻擊之前將您的計算機恢復到原來的執行狀態。檔案加密後，將收到隨機的6個字母的副檔名，例如.spsjhw。贖金票據的名稱是通過使用此擴充套件並在之後新增-DECRYPT.txt或-DECRYPT.html形成的。GandCrab加密病毒的不同變體可能存在贖金筆記的輕微變化。繼續閱讀文章，瞭解如何刪除病毒，並瞭解如何嘗試可能恢復部分某些加密檔案。

GANDCRAB v5.0.9勒索病毒分發策略

該GANDCRAB v5.0.9勒索軟體可能通過不同的戰術本身散發。啟動此勒索軟體惡意指令碼的有效負載管理器正在網際網路上傳播，研究人員已經開始研究惡意軟體樣本。如果該檔案落在您的計算機系統上而您以某種方式執行它 - 您的計算機裝置將被感染。

下面，您可以看到VirusTotal服務檢測到的加密病毒的有效負載檔案：

在Web上找到的免費軟體可以顯示為有用的隱藏密碼病毒的惡意指令碼。下載後立即停止開啟檔案。您應首先使用安全工具掃描它們，同時還要檢查它們的大小和簽名以查詢看似異常的任何內容

GANDCRAB v5.0.9勒索病毒 - 深入分析

GANDCRAB v5.0.9是一種病毒，它會對您的檔案進行加密，並在其中留下贖金資訊，其中包含有關被入侵計算機裝置的說明。敲詐勒索者希望您支付索賠恢復檔案的贖金費用。

GANDCRAB v5.0.9勒索軟體在Windows登錄檔中建立了各種條目以實現永續性，並且可以在Windows環境中啟動或抑制程序。此類條目通常設計為在每次啟動Windows作業系統時自動啟動病毒。您將在下面看到包含被篡改的登錄檔的列表：

加密後，GANDCRAB v5.0.9病毒將儲存勒索贖金。贖金票據的名稱是通過使用大寫字母的這個擴充套件並新增-DECRYPT.txt或-DECRYPT.html形成的，因此作為示例，帶有說明的註釋將被稱為[5-10隨機字母]-DECRYPT.txt。

您被要求支付比特幣或DASH加密貨幣的贖金，以據稱恢復您的檔案。然而，你應該不是在任何情況下支付任何贖金金額。您的檔案可能無法恢復，沒有人可以為您提供保證。這甚至可能導致您在付款後再次對檔案進行加密。

除此通知外，桌面牆紙將更改為以下圖片：

GANDCRAB v5.0.9勒索病毒軟體 - 加密過程

GANDCRAB v5.0.9勒索病毒軟體的加密過程相當簡單 - 每個加密的檔案都將變得無法使用。檔案將獲得由六個隨機字母組成的副檔名。新新增的副檔名將作為輔助副檔名新增，而不會更改原始副檔名。

具有針對要加密的檔案的目標副檔名的列表被認為與原始5.0版本相同，如下所示：

→.1st，.602，.7z，.7-zip，.abw，.act，.adoc，.aim，.ans，。apkg，.apt，.arj，.asc，.asc，.ascii，.ase ，.aty，.awp，.awt，.aww，.cab，.doc，.docb，.docx，.dotm，.gzip，.iso，.lzh，.lzma，.pot，。potm，。potx ,. ppam，.pps，.ppsm，.ppsx，.ppt，.pptm，.pptx，.rar，.sldm，.sldx，.tar，.vbo，.vdi，.vmdk，.vmem，.vmx，.xla， .xlam，.xll，.xlm，.xls，.xlsb，.xlsm，.xlsx，.xlt，.xltm，.xltx，.xlw，.xps，.z，.zip

使用者最常使用且可能加密的檔案來自以下類別：

• 音訊檔案
• 視訊檔案
• 文件檔案
• 影象檔案
• 備份檔案
• 銀行憑證等

可以使用以下命令將GANDCRAB v5.0.9加密病毒設定為從Windows作業系統中清除所有Shadow Volume Copies：

→vssadmin.exe delete shadows /all /Quiet

在執行上述命令的情況下，這將使加密過程的效果更有效。這是因為該命令消除了恢復資料的一種重要方法。如果計算機裝置感染了此勒索軟體並且您的檔案已被鎖定，請繼續閱讀以瞭解如何將某些檔案恢復到正常狀態。

Windows系統下刪除GANDCRAB v5.0.9病毒和還原資料

如果您的計算機系統感染了GANDCRAB v5.0.9勒索軟體病毒，您應該有一些刪除惡意軟體的經驗。您應該儘快擺脫這種勒索軟體，然後才有機會進一步傳播並感染其他計算機。您應該刪除勒索軟體並按照下面提供的分步說明指南操作。

1.以安全模式啟動PC以隔離和刪除GANDCRAB v5.0.9檔案和物件

手動刪除通常需要時間，如果不小心或者非專業人士，您可能會損壞您的檔案！

對於Windows XP，Vista和7系統：

1.刪​​除所有CD和DVD，然後從“ 開始 ”選單重新啟動PC 。
2.選擇以下兩個選項之一：

- 對於具有單個作業系統的PC：在計算機重新啟動期間出現第一個引導屏幕後，反覆按“ F8 ”。如果Windows徽標出現在螢幕上，則必須再次重複相同的任務。

- 對於具有多個作業系統的PC：箭頭鍵可幫助您選擇您希望以安全模式啟動的作業系統。按照單個作業系統所述，按“ F8 ”。

3.出現“ 高階啟動選項 ”螢幕時，使用箭頭鍵選擇所需的安全模式選項。使用管理員帳戶登入計算機，當您的計算機處於安全模式時，螢幕的所有四個角都會出現“ 安全模式 ” 字樣。

4.修復PC上惡意軟體和PUP建立的登錄檔項。某些惡意指令碼可能會修改計算機上的登錄檔項以更改不同的設定。這就是建議清理Windows登錄檔資料庫的原因。由於有關如何執行此操作的教程有點長，如果操作不當，篡改登錄檔可能會損壞您的計算機，如果您在該領域缺乏經驗，可以參照連結 修復由惡意病毒軟體引起的Windows登錄檔錯誤

2.在PC上查詢由GANDCRAB v5.0.9建立的檔案

在較舊的Windows作業系統中，傳統方法應該是有效的方法：

1.單擊“ 開始選單”圖示（通常在左下角），然後選擇“ 搜尋”首選項。

2.出現搜尋視窗後，從搜尋助手框中選擇更多高階選項。另一種方法是單擊“ 所有檔案和資料夾”。

3.之後，鍵入要查詢的檔案的名稱，然後單擊“搜尋”按鈕。這可能需要一些時間才能顯示結果。如果您找到了惡意檔案，可以通過右鍵單擊來複製或開啟其位置。現在，您應該能夠在Windows上發現任何檔案，只要它在您的硬碟驅動器上並且不通過特殊軟體隱藏。

3.使用高階防惡意防毒軟體工具掃描惡意軟體和惡意程式

4.嘗試還原由GANDCRAB v5.0.9加密的檔案

勒索軟體感染和GANDCRAB v5.0.9旨在使用加密演算法加密您的檔案，這可能很難解密。這就是為什麼我們建議了幾種可以幫助您繞過直接解密並嘗試恢復檔案的替代方法。請記住，這些方法可能不是100％有效，但也可能在不同情況下幫助您一點或多少。

方法1：使用資料恢復軟體掃描驅動器的扇區。

方法2：嘗試防毒軟體的解密器。

方法3：在密碼病毒通過網路通過嗅探工具傳送解密金鑰時查詢解密金鑰。
 

從Mac 手動刪除GANDCRAB v5.0.9

1.解除安裝GANDCRAB v5.0.9並刪除相關檔案和物件

手動刪除通常需要時間，如果不小心，您可能會損壞您的檔案！

第1步：按⇧+⌘+ U鍵開啟Utilities。另一種方法是單擊“ 轉到 ”，然後單擊“ 工具 ”，像下面顯示的影象：

第2步：查詢活動監視器並雙擊它：

第3步：在活動監視器中查詢屬於或與GANDCRAB v5.0.9相關的任何可疑程序：

要完全退出程序，請選擇“ 強制退出 ”選項。

第4步：點選“ 進入試”按鈕，但這次選擇的應用程式。另一種方法是使用⇧+⌘+ A按鈕。

第5步：在“應用程式”選單中，查詢任何可疑應用程式或名稱與GANDCRAB v5.0.9類似或相同的應用程式。如果找到它，請右鍵單擊該應用程式並選擇“ 移至廢紙簍 ”。

第6步：選擇Accounts，然後單擊Login Items首選項。然後，您的Mac將顯示您登入時自動啟動的專案列表。查詢與GANDCRAB v5.0.9相同或類似的任何可疑應用程式。檢查要停止的應用程式自動執行，然後選擇減號（“ - ”）圖示將其隱藏。

第7步：按照以下子步驟手動刪除可能與此威脅相關的所有遺留檔案：

1.轉到Finder。
2.在搜尋欄中，鍵入要刪除的應用程式的名稱。
3.在搜尋欄上方將兩個下拉選單更改為“系統檔案”和“包含”，以便您可以檢視與要刪除的應用程式關聯的所有檔案。請記住，某些檔案可能與應用程式無關，因此請務必小心刪除哪些檔案。
4.如果所有檔案都相關，請按住⌘+ A按鈕選擇它們，然後將它們驅動到“廢紙簍”。

2.從Mac瀏覽器中刪除GANDCRAB v5.0.9相關擴充套件程式

啟動Google Chrome並開啟下拉選單

將游標移到“ 工具 ”上，然後從擴充套件選單中選擇“ 擴充套件 ”

從開啟的“ 擴充套件 ”選單中找到附加元件，然後單擊右側的垃圾箱圖示。

之後擴充套件被刪除，請重新啟動谷歌瀏覽器從紅色的“關閉它X在右上角的”，並再次啟動它。

自動從Mac上刪除GANDCRAB v5.0.9

當您因不需要的指令碼和程式（如GANDCRAB v5.0.9）而在Mac上遇到問題時，消除威脅的推薦方法是使用反惡意軟體程式。Combo Cleaner提供高階安全功能以及其他模組，可以提高Mac的安全性並在將來保護它。

關注服務號，交流更多解密檔案方案和恢復方案：