ඔබ තවමත් Widane Forums සාමාජිකයෙක් නෙවෙයි ද..?

Widane Forums හි සියළුම ලිපිවල ඇති සියළුම Links වෙත පිවිසීමට නම් ලියාපදිංචිවීම අනිවාර්යයි.
ඔබගේ සියලුම තාක්ෂණික ගැටළු සඳහා විසඳුම් සොගැනීමට වගේම දැනුම බෙදාගැනීම සඳහා මෙහි ඉඩකඩ වෙන්කර තිබෙනවා.
ඉතින් ඇයි තවත් බලාගෙන ඉන්නේ ඉක්මනින් ලියාපදිංචිවී ඔබගේ දැනුම වැඩිකරගන්න.

Register Here




[Tut] What is GandCrab Ransomware
#1
What is GandCrab Ransomware and how to remove it


[Image: gandcrab-honor-among-thieves-thumb.png?f...C744&ssl=1]

Ransomware ගැන අමුතුවෙන් ඔය ගොල්ලන්ට කියන්න ඔනෙ නැනේ. මේ දවස් වල සීඝ්‍රයෙන් පැතිරෙන ransomware එකක් තමයි, GandCrab කියන්නේ. මෙහි version කිහිපයක්ම ඇති අතර latestම version එක වන්නේ GANDCRAB V5.0.3

මේ Ransomware එක පරිගනකයකට infect උනාම වෙන්නේ මොනාද හා මේක ඉවත් කරගන්නා ආකරය මේ thread එකෙන් අපි කතා කරමු.

මේක පලමු වතාවට පරිගනකයේ launch උනාට පස්සේ ransomware එකේ Command & Control (C2) server එකට connect වීමට උත්සහ ගන්නවා. මෙහි ඇති විශේෂත්වය වන්නේ මේක .bit කියන TLD (Top Level Domain) කිහිපයක host කර තිබීමයි. පල්ලෙහා දාල තියෙන්නේ ඉන් කිහිපයක්.
  • bleepingcomputer.bit
  • nomoreransom.bit
  • esetnod32.bit
  • emsisoft.bit
  • gandcrab.bit
මේක infect උන පරිගනකට C2 server එකට හදිස්සියේවත් connect වෙන්න බැරි උනොත් කිසිම encrypt වීමක් සිද්දවෙන්නේ නැ. ඒත් මේක  C2 server එකට connect වීමට උත්සහා කරමින් background එකේ run වෙවී තියනවා.

server එකට connect උනායින් පස්සේ server එකෙන් එවනවා public key එකක්, මේ key එක යොදා ගෙන තමයි පරිගනකය encrypt කරන්නේ.

encrypt කිරීම ආරම්භ වීමට පෙර පහල තියන files run වෙනවද කියල check කරලා එවා ඔක්කොම terminate කරලා දානව සාර්ථක encrypt වීමක් සදහා. 

Code:
msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe


ඊට පස්සෙ තමයි files encrypt වෙන්න ගන්නේ. පහත ස්දහන් කරලා තියන file extension තියන ඒවා තමයි මේ encrypt එකට හසුවෙන්නේ.

Code:
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

පහතින් දාල තියන full pathname එක තියන files, ransomeware එක  skip කරන්වා.

Code:
\ProgramData\, \Program Files\, \Tor Browser\, Ransomware, \All Users\, \Local Settings\, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql

encrypt විමේ දී files වල extension එක .GDCB ලෙස වෙනස් වෙනවා උදාහරනයකට "widane-logo.jpg" කියලා file එකක් තියේ නම් ඒක "widane-logo.jpg..GDCB" කියලා වෙනස් වෙන්වා.

[Image: encrypted-files.jpg]

සමහර වෙලාවට ransomeware එක එය ව්සින්ම relaunch වෙනවා පහත command එකත් එක්ක.

Code:
C:\Windows\system32\wbem\wmic.exe" process call create "cmd /c start %Temp%\[launched_file_name].exe

[Image: uac.jpg]

මේකට Yes කිඅලා නොදුන්නොත් නැවත නැවත මේක prompt වෙනවා Yes දෙනකම්ම.

ransomware එක විසින් සියලුම files encrypt උනාට පස්සෙ "GDCB-DECRYPT.txt" කියලා note එකක් දාලා තියනවා දැක ගන්න පුලුවන්. එහි සදන් වෙන්නේ ransomware එකෙන් පරිගනකයට වෙලා තියනදේ හා මේක decrypt කිර්‍ර්මට මුදල් ගෙවිය යුතු ආකාරය යි. මෙහිදී TOR gateways කිහිපයක් ලබා දී තිබෙනවා payment sites access කිරීම සදහා.

[Image: ransom-note.jpg]

මේ කියන link එකකට ගිහින් බලුවොත් යන්නේ "GandCrab Decryptor" ලෙස සදහන් site එකකට. මෙකේ ගෙවිය යුතු මුදලත්, DASH address එකකුත් payment එක කිරීමට කාල සීමාවකුත් ලබා දී තියෙනවා (DASH කියන්නේ bitcoin වගේ cryptocurrency එකක්). මේ කාලය ඇතුලත ගෙවීම නොකලොත් එමෙන් දෙගුනයක් ගෙවීමට වන බවත් සදහන් වෙනවා.

[Image: gandcrab-decryptor-site.jpg]

එමෙන්ම, මෙහි එක file එකක් පමනක් නොමිලේ decrypt කිරීමට හැකියාව ලබා දී තිබෙන්වා.

දැන් බලමු මෙකෙන් කොමද ආරක්ෂා වෙන්නේ කියලා.
  • තමන්ගේ වටිනා කියන files තියේ නම් ඒවා backup කරලා තියා ගන්න.
  • virus guard uptodate තියා ගන්න.
  • windows සහා අනෙකුත් softwares uptodate තබා ගන්න.
  • නොදන්නා emails වලින් එන attachment open කිරීමෙන් වලකින්න, (attachment එකක් open කරන්න කලින් [Only registered and activated users can see links Click here to register] එකෙන් scan කරලා බලන්න)

දැන් බලමු infect උන පරිගනකයකින් මේක කෝමද මුදල් නොගෙවා අයින් කරගන්නේ කියලා.

මේවන විට BitDefebder ආයතනයෙන් මේකට decryption tool නොමිලේම release කරලා තියෙනවා.

[Only registered and activated users can see links Click here to register]

[Image: h8ruXt7l.jpg]

මේක download කරලා “Scan Entire System” කියන එකයි, “Backup files” කියන එකයි check කරලා scan දෙන්න තියෙන්නෙ.

මේ video එකෙ කරන හැටි තියෙනවා:




මේ පිලිබද විස්තර ඔයාලත් දන්නවනම් පහලින් comment එකක් දාන්න.

තව post එකකින් නවත හමුවෙමු.
ඔබට ජය!!!


ලිව්වේ: [Only registered and activated users can see links Click here to register]
අන්තර්ජාලය ඇසුරින්.

Anøn LK 
(Admin & Moderate Officer)

Widane Forums
Contact Me: [email protected]
Admin Queries: [email protected]
General Queries: [email protected] 
#2
ESET එකෙන් දුන්න Decryption tool එකකුත් තියනව බන්
Damn.. There's a little bit of devil in her angel eyelove love

Reply
#3
ela bro.. TFS.. Smile
<>
.:: [Induwara Uthsara] :: [රතු කුරුල්ලා] ::.
Idea  [Only registered and activated users can see links Click here to register] Idea
 Idea [Only registered and activated users can see links Click here to register]  Idea
</>
Reply




Users browsing this thread: 1 Guest(s)