php.krab病毒,GANDCRAB V4 勒索软件已发布，使用.KRAB文件扩展名

From: Deanna Bennett <>

Subject: Payment Invoice #93611

Attachment: DOC402942349491-PDF.7Z

Dear Customer,

To read your document please open the attachment and reply as soon as possible.

Kind regards,

TCR Customer Support

译文：

来自：Deanna Bennett <>主题：付款发票＃93611附件：DOC402942349491-PDF.7Z

尊敬的客户：

阅读您的文件，请打开附件并尽快回复。亲切的问候，TCR客户支持

当然，还有其他主题和其他电子邮件，因为GANDCRAB V4背后的 络犯罪分子可能创建了大量的电子邮件模板，以避免他们的电子邮箱地址被电子邮件服务提供商的检测软件所标记。以下是你可能在电子邮件中遇到的一些主题，其中包含GANDCRAB V4勒索软件：

lDocument #72170(文档#72170)

lInvoice #21613(发票＃21613)

lOrder #87884(订单＃87884)

lPayment #72985(付款＃72985)

lPayment Invoice #58058(付款发票＃58058)

lPayment Invoice #93611(付款发票＃93611)

lTicket #07009(票#07009)

lYour Document #78391(您的文档＃78391)

lYour Order #16323(您的订单＃16323)

lYour Ticket #23428(您的票＃23428)

除了含有恶意宏的文档之外，GANDCRAB V4勒索软件还可能会通过单击.7z文件感染你。因为研究人员已经 告说，恶意软件可能会自动提取一个具有相同名称的.JS(JavaScript)文件，该文件会自动启动感染过程：

步骤5：勒索软件可能在Windows命令提示符下以管理员身份触发以下命令：

→ sc stop VVS

sc stop wscsvc

sc stop WinDefend

sc stop wuauserv

sc stop BITS

sc stop ERSvc

sc stop WerSvc

cmd.exe /C bcdedit /set {default} recoveryenabled No

cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

C:WindowsSystem32cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet

这样做的目的是为了删除受感染计算机的卷影副本，以便用户无法使用Windows Recovery恢复文件。

删除GANDCRAB V4勒索软件及恢复.KRAB加密文件

安全分析师经常建议的另一种删除方法是下载并安装有效的防病毒软件。此类程序将自动扫描并删除所有与GANDCRAB V4相关的恶意文件，并确保病毒安全地从你的计算机中删除。

从你的计算机手动删除GANDCRAB V4

(1)启动你的计算机，在安全模式下隔离并删除GANDCRAB V4文件和对象。

l对于Windows XP、Vista和7系统：

第1步：删除所有CD和DVD，然后从“开始(Start)”菜单重新启动你的PC。

第2步：选择下面提供的两个选项之一：

l对于使用单一操作系统的PC：在计算机重新启动期间出现第一个引导屏幕后，反复按下“ F8 ”。如果屏幕上出现Windows图标，则必须重新执行这个操作。

第4步：使用管理员帐户登录到你的计算机。

第1步：点击“开始菜单(Start Menu)”图标(通常在左下角)，然后选择“搜索(Search)”选项。

通过下载有效的防病毒软件来自动删除GANDCRAB V4

这里你可以选择自己信任的防病毒软件品牌，具体使用方法会略有不同。

恢复被GANDCRAB V4加密的文件

像GANDCRAB V4这样的勒索软件感染旨在使用加密算法加密你的文件，这可能很难直接解密。这就是为什么我们建议了几种可以帮助你绕过直接解密，并尝试恢复文件的替代方法。请记住，它们可能不是100％有效的，但在某些情况下，它们可能会或多或少地帮到你。

方法1：使用数据恢复软件扫描驱动器的扇区

恢复文件的另一种方法是尝试使用数据恢复软件。以下是首选数据恢复软件解决方案的一些建议：

方法2：尝试卡巴斯基和EmsiSoft的解密器

如果第一种方法不起作用，我们建议尝试使用用于其他勒索软件的解密器，以防止该病毒是它们的变种。解密器的两个主要开发者是卡巴斯基和EmsiSoft，我们在下面提供了链接：

方法3：使用Shadow Explorer

你可以通过备份来恢复你的数据，前提是勒索软件尚未删除它，请使用这个软件在Windows中检查卷影副本：

方法4：通过 络嗅探器在通信时查找GANDCRAB V4解密密钥

解密文件的另一种方法是使用 络嗅探器获取加密密钥，当你系统上的文件被加密时。 络嗅探器是一种程序或设备，用于监视在 络上传输的数据，例如internet流量和internet数据包。如果你在攻击发生之前设置了嗅探器，则可能会获得有关解密密钥的信息。请参阅以下操作说明：

相关资源：iZotope Ozone VST (臭氧) V4.0.3.274 绿色汉化版.zip-制造工具类…