ඔබ තවමත් Widane Forums සාමාජිකයෙක් නෙවෙයි ද..?

Widane Forums හි සියළුම ලිපිවල ඇති සියළුම Links වෙත පිවිසීමට නම් ලියාපදිංචිවීම අනිවාර්යයි.
ඔබගේ සියලුම තාක්ෂණික ගැටළු සඳහා විසඳුම් සොගැනීමට වගේම දැනුම බෙදාගැනීම සඳහා මෙහි ඉඩකඩ වෙන්කර තිබෙනවා.
ඉතින් ඇයි තවත් බලාගෙන ඉන්නේ ඉක්මනින් ලියාපදිංචිවී ඔබගේ දැනුම වැඩිකරගන්න.

Register Here




[Tut] What is GandCrab Ransomware
#1
What is GandCrab Ransomware and how to remove it


[Image: gandcrab-honor-among-thieves-thumb.png?f...C744&ssl=1]

Ransomware ගැන අමුතුවෙන් ඔය ගොල්ලන්ට කියන්න ඔනෙ නැනේ. මේ දවස් වල සීඝ්‍රයෙන් පැතිරෙන ransomware එකක් තමයි, GandCrab කියන්නේ. මෙහි version කිහිපයක්ම ඇති අතර latestම version එක වන්නේ GANDCRAB V5.0.3

මේ Ransomware එක පරිගනකයකට infect උනාම වෙන්නේ මොනාද හා මේක ඉවත් කරගන්නා ආකරය මේ thread එකෙන් අපි කතා කරමු.

මේක පලමු වතාවට පරිගනකයේ launch උනාට පස්සේ ransomware එකේ Command & Control (C2) server එකට connect වීමට උත්සහ ගන්නවා. මෙහි ඇති විශේෂත්වය වන්නේ මේක .bit කියන TLD (Top Level Domain) කිහිපයක host කර තිබීමයි. පල්ලෙහා දාල තියෙන්නේ ඉන් කිහිපයක්.
  • bleepingcomputer.bit
  • nomoreransom.bit
  • esetnod32.bit
  • emsisoft.bit
  • gandcrab.bit
මේක infect උන පරිගනකට C2 server එකට හදිස්සියේවත් connect වෙන්න බැරි උනොත් කිසිම encrypt වීමක් සිද්දවෙන්නේ නැ. ඒත් මේක  C2 server එකට connect වීමට උත්සහා කරමින් background එකේ run වෙවී තියනවා.

server එකට connect උනායින් පස්සේ server එකෙන් එවනවා public key එකක්, මේ key එක යොදා ගෙන තමයි පරිගනකය encrypt කරන්නේ.

encrypt කිරීම ආරම්භ වීමට පෙර පහල තියන files run වෙනවද කියල check කරලා එවා ඔක්කොම terminate කරලා දානව සාර්ථක encrypt වීමක් සදහා. 

Code:
msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe


ඊට පස්සෙ තමයි files encrypt වෙන්න ගන්නේ. පහත ස්දහන් කරලා තියන file extension තියන ඒවා තමයි මේ encrypt එකට හසුවෙන්නේ.

Code:
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

පහතින් දාල තියන full pathname එක තියන files, ransomeware එක  skip කරන්වා.

Code:
\ProgramData\, \Program Files\, \Tor Browser\, Ransomware, \All Users\, \Local Settings\, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql

encrypt විමේ දී files වල extension එක .GDCB ලෙස වෙනස් වෙනවා උදාහරනයකට "widane-logo.jpg" කියලා file එකක් තියේ නම් ඒක "widane-logo.jpg..GDCB" කියලා වෙනස් වෙන්වා.

[Image: encrypted-files.jpg]

සමහර වෙලාවට ransomeware එක එය ව්සින්ම relaunch වෙනවා පහත command එකත් එක්ක.

Code:
C:\Windows\system32\wbem\wmic.exe" process call create "cmd /c start %Temp%\[launched_file_name].exe

[Image: uac.jpg]

මේකට Yes කිඅලා නොදුන්නොත් නැවත නැවත මේක prompt වෙනවා Yes දෙනකම්ම.

ransomware එක විසින් සියලුම files encrypt උනාට පස්සෙ "GDCB-DECRYPT.txt" කියලා note එකක් දාලා තියනවා දැක ගන්න පුලුවන්. එහි සදන් වෙන්නේ ransomware එකෙන් පරිගනකයට වෙලා තියනදේ හා මේක decrypt කිර්‍ර්මට මුදල් ගෙවිය යුතු ආකාරය යි. මෙහිදී TOR gateways කිහිපයක් ලබා දී තිබෙනවා payment sites access කිරීම සදහා.

[Image: ransom-note.jpg]

මේ කියන link එකකට ගිහින් බලුවොත් යන්නේ "GandCrab Decryptor" ලෙස සදහන් site එකකට. මෙකේ ගෙවිය යුතු මුදලත්, DASH address එකකුත් payment එක කිරීමට කාල සීමාවකුත් ලබා දී තියෙනවා (DASH කියන්නේ bitcoin වගේ cryptocurrency එකක්). මේ කාලය ඇතුලත ගෙවීම නොකලොත් එමෙන් දෙගුනයක් ගෙවීමට වන බවත් සදහන් වෙනවා.

[Image: gandcrab-decryptor-site.jpg]

එමෙන්ම, මෙහි එක file එකක් පමනක් නොමිලේ decrypt කිරීමට හැකියාව ලබා දී තිබෙන්වා.

දැන් බලමු මෙකෙන් කොමද ආරක්ෂා වෙන්නේ කියලා.
  • තමන්ගේ වටිනා කියන files තියේ නම් ඒවා backup කරලා තියා ගන්න.
  • virus guard uptodate තියා ගන්න.
  • windows සහා අනෙකුත් softwares uptodate තබා ගන්න.
  • නොදන්නා emails වලින් එන attachment open කිරීමෙන් වලකින්න, (attachment එකක් open කරන්න කලින් 

    [To see links please login or register here]

     එකෙන් scan කරලා බලන්න)



මේවන විට BitDefebder ආයතනයෙන් මේකට decryption tool නොමිලේම release කරලා තියෙනවා. ඒත් මේක 100% සාර්තක නම් නෑ. මේකෙන් decrypt කරගන්න තියන ඉඩ කඩ ගොඩක් අඩුයි.

[To see links please login or register here]


[Image: h8ruXt7l.jpg]

මේක download කරලා “Scan Entire System” කියන එකයි, “Backup files” කියන එකයි check කරලා scan දෙන්න තියෙන්නෙ.

මේ video එකෙ කරන හැටි තියෙනවා:




මේ පිලිබද විස්තර ඔයාලත් දන්නවනම් පහලින් comment එකක් දාන්න.

තව post එකකින් නවත හමුවෙමු.
ඔබට ජය!!!


ලිව්වේ: 

[To see links please login or register here]

අන්තර්ජාලය ඇසුරින්.

Anøn LK 
(Admin & Moderate Officer)

Widane Forums
Contact Me: [email protected]
Admin Queries: [email protected]
General Queries:

[To see links please login or register here]

 
#2
ESET එකෙන් දුන්න Decryption tool එකකුත් තියනව බන්
Damn.. There's a little bit of devil in her angel eyelove love

Reply
#3
ela bro.. TFS.. Smile
<>
.:: [Induwara Uthsara] :: [රතු කුරුල්ලා] ::.
</>
Reply




Users browsing this thread: 1 Guest(s)