GandCrab Ransomware打破Windows 7系统

GandCrab勒索软件的最新版本打破了受感染的Windows 7系统。

在上个月底发现，勒索软件的第3版强制重新启动系统，试图更改PC的桌面壁纸。但是，由于存在编码错误，只有Windows 10和Windows 8系统才能完全加载，而Windows 7计算机将在Windows Shell完全加载之前的某个时刻挂起。

GandCrab通过垃圾邮件传播，Fortinet上周观察到分发勒索软件的消息增加。这些电子邮件携带恶意软件2.1版，其中大多数（75％）是美国的目标用户，英国，加拿大，罗马尼亚和南非的用户也受到影响。

过去几天，GandCrab运营商转向新的恶意软件迭代，但保持大部分功能不变。这两个版本的主要区别在于尝试更改桌面壁纸，该壁纸只适用于Windows 10和Windows 8.1系统。

“然而，在Windows 7上，出于某种原因，引导并未完成，而是在Windows Shell完全加载之前卡住了一点。这意味着受感染的用户将无法使用Windows界面进行交互，从而使整个机器看起来无法使用，“Fortinet 解释说。

安全研究人员指出，对于旧锁屏勒索软件行为的回应，用户只能看到勒索壁纸和TOR浏览器下载网站。

但是，这种行为似乎并不是故意的。赎金说明指示受害者阅读恶意软件放置在各种文件夹中的“CRAB-DECRYPT.txt”赎金注释之一的副本，以获取有关如何恢复加密文件的说明。没有Windows界面，普通用户将无法做到这一点。

用户应该使用CTRL + SHIFT + DEL 组合键启动任务管理器，终止恶意软件进程（这也可能难以在正在运行的进程列表中找到）并重新启动系统。但是，这也可能无法解决问题，因为恶意软件具有可确保重新启动时执行的持久性机制。

为防止后续重新启动时出现“锁定屏幕”，受害者应在使用任务管理器终止恶意软件进程后，从APPDATA％\ Microsoft \ <random chars> .exe中删除恶意软件可执行文件。受害者还应该删除勒索软件的autorun注册表。

“看到赎金笔记并意识到你的所有文件都消失了，在如此多的层面上令人沮丧。而且更令人沮丧的是（如果甚至可能的话），最重要的是你也失去了对机器的访问。恶意软件漏洞带来意想不到的后果真的很常见，这是为什么对未经请求的电子邮件进行额外谨慎非常重要的另一个原因，“Fortinet指出。

建议用户在打开附件之前始终扫描并验证带有附件的意外邮件。他们还应该为他们的重要文件创建独立的备份，以确保他们能够在发生感染时恢复这些备份。

虽然GandCrab的新功能在所有目标系统上都不能很好地工作，但它正在被积极部署，这使得恶意软件活动更加危险。