Gatz Virus 解密+恢復 .GATZ 文件

by Brendan Smith
11 5 月, 2023

Gatz 病毒是 勒索软件类型感染的 STOP/DJVU 系列。 此病毒会加密您的文件(视频、照片、文档),这些文件可以通过特定的“.gatz”扩展名进行跟踪。 它使用强大的加密方法,这使得无法以任何方式计算密钥。

Gatz 为每个受害者使用唯一的密钥,但有一个例外:

  • 如果 Gatz 在开始加密过程之前无法建立与其命令和控制服务器(C&C Server)的连接,它会使用离线密钥。 此密钥对所有受害者都是相同的,因此可以解密在勒索软件攻击期间加密的文件。

我收集了完整的中和 Gatz 病毒和解密文件的所有可能解决方案、提示和做法的集合。 在某些情况下,恢复文件很容易。 有时这是不可能的。

几种通用的方法可以恢复加密的 .gatz 文件,下面将进行演示。 仔细阅读整个说明手册并确保全部理解是至关重要的。 不要跳过任何步骤。 这些步骤中的每一个都非常重要,必须由您完成。

Gatz 病毒?

☝️ Gatz 可以正确识别为 STOP/DJVU 勒索软件感染.

Gatz

🤔 Gatz 病毒是源自 DJVU/STOP 家族的勒索软件。 它的主要目的是加密对您很重要的文件。 之后,勒索软件病毒向受害者索要比特币赎金(490 美元至 980 美元)。

Gatz 勒索软件是一种特定类型的恶意软件,它会加密您的文件,然后迫使您付费恢复它们。 Djvu/STOP 勒索软件系列由病毒分析师 Michael Gillespie 首次披露和分析。

Gatz 病毒与其他 DJVU 勒索软件类似:Gash, Qore, Qopz。 该病毒会加密所有流行的文件类型,并将其特定的“.gatz”扩展名添加到所有文件中。 例如,文件“1.jpg”将被更改为“1.jpg.gatz”。 加密完成后,病毒会生成一个特殊的消息文件“_readme.txt”并将其放入包含修改文件的所有文件夹中。

下图清晰地展示了带有“.gatz”扩展名的文件的外观:

Gatz Virus - encrypted .gatz files

Gatz 文件(STOP/DJVU 勒索软件)

姓名 病毒 Gatz
勒索软件家族1 DJVU/STOP2 勒索软件
扩大 .gatz
勒索软件说明 _readme.txt
赎金 从 490 美元到 980 美元(以比特币计)
接触 [email protected], [email protected]
检测 Wacatac: How to remove trojan from your computer?, Trojan:Win32/Azorult.CC!MTB, Trojan.Polyransom
症状
  • 加密您的大部分文件(照片、视频、文档)并添加特定的“.gatz”扩展名;
  • 可以删除卷影副本,使受害者无法恢复数据
  • 将域列表添加到 HOSTS 文件以阻止访问某些与安全相关的站点;
  • 在系统上安装密码窃取木马,如 Vidar Stealer红线窃取者;
  • 设法安装 SmokeLoader 后门
修复工具 要删除可能的恶意软件感染,请扫描您的 PC:
提供 6 天免费试用。

此文本要求付款是为了通过解密密钥取回文件:

_readme.txt (STOP/DJVU Ransomware)

_readme.txt (STOP/DJVU Ransomware) – 要求用户支付赎金以解密编码数据的可怕警报包含这些令人沮丧的警告

Gatz 勒索软件以一组进程的形式出现,这些进程旨在在受害者的计算机上执行不同的任务。 最先启动的程序之一是 winupdate.exe,这是一个棘手的进程,会在攻击期间显示虚假的 Windows 更新提示。 这是为了让受害者相信系统突然变慢是由 Windows 更新引起的。 但是,与此同时,勒索软件会运行另一个进程(通常由四个随机字符命名),该进程开始扫描系统以查找目标文件并对其进行加密。 接下来,勒索软件使用以下 CMD 命令从系统中删除卷影副本:

vssadmin.exe Delete Shadows /All /Quiet

删除后,无法恢复以前的计算机状态使用系统还原点。 问题是,勒索软件运营商正在摆脱任何基于 Windows 操作系统的方法,这些方法可以帮助受害者免费恢复文件。 此外,骗子通过添加域列表并将它们映射到本地主机 IP 来修改 Windows HOSTS 文件。 因此,受害者在访问其中一个被阻止的网站时会遇到 DNS_PROBE_FINISHED_NXDOMAIN 错误

我们注意到勒索软件试图阻止为计算机用户发布各种操作指南的网站。 很明显,通过限制特定域,骗子正试图阻止受害者在线获取相关且有用的勒索软件攻击相关信息。 该病毒还会在受害者的计算机上保存两个文本文件,提供与攻击相关的详细信息——受害者的公共加密密钥和个人 ID。 这两个文件称为 bowsakkdestx.txtPersonalID.txt

Gatz ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

在所有这些修改之后,恶意软件并没有停止。 STOP/DJVU 的变体倾向于在受感染的系统上删除 Vidar 密码窃取木马。 这种威胁有很长的功能列表,例如:

  • 窃取 Steam、Telegram、Skype 登录名/密码;
  • 窃取加密货币钱包;
  • 将恶意软件下载到计算机并运行它;
  • 窃取浏览器 cookie、保存的密码、浏览历史记录等;
  • 查看和操作受害者计算机上的文件;
  • 允许黑客远程在受害者的计算机上执行其他任务。

DJVU/STOP 勒索软件使用的加密算法是 AES-256。 因此,如果您的文档使用在线解密密钥加密,这是完全不同的。 可悲的现实是,没有唯一密钥就不可能解密文件。

如果 Gatz 在在线模式下工作,您将无法访问 AES-256 密钥。 它存储在推广 Gatz 病毒的欺诈者拥有的远程服务器上。

接收解密密钥的付款应为 980 美元。 为了获取付款细节,该消息鼓励受害者通过电子邮件([email protected])联系欺诈者.

勒索软件的消息说明了以下信息:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

[email protected]

Reserve e-mail address to contact us:

[email protected]

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

不要为Gatz买单!

请尝试使用可用的备份或 Decrypter 工具

_readme.txt 文件还表明计算机所有者必须在文件被加密后的 72 小时内与 Gatz 代表取得联系。 在72小时内联系的条件下,用户将获得50%的返利。 因此,赎金金额将降至 490 美元)。 但是,远离支付赎金!

我强烈建议您不要联系这些欺诈行为,也不要付款。 恢复丢失数据的最有效的解决方案之一 – 只需使用可用的备份,或使用 Decrypter 工具

所有此类病毒的特殊性都应用了一组类似的操作来生成唯一的解密密钥以恢复加密数据。

因此,除非勒索软件仍处于开发阶段或存在一些难以追踪的缺陷,否则您无法手动恢复加密数据。 防止丢失宝贵数据的唯一解决方案是定期备份重要文件。

请注意,即使您确实定期维护此类备份,也应该将它们放在特定位置,不要闲逛,不要连接到您的主工作站。

例如,可以将备份保存在 USB 闪存驱动器或一些替代的外部硬盘驱动器存储中。 或者,您可以参考在线(云)信息存储的帮助。

不用说,当您在常用设备上维护备份数据时,它可能会像其他数据一样被加密。

出于这个原因,在您的主 PC 上找到备份肯定不是一个好主意。

我是怎么被感染的?

勒索软件有多种方法可以内置到您的系统中。 但在你的情况下使用什么方法并不重要。.

Gatz ransomware attack

网络钓鱼尝试成功后的 Gatz 攻击。

管如此,这些是常见的泄漏,它可能会通过这些泄漏注入您的 PC:
  • 与其他应用一起隐藏安装,尤其是作为免费软件或共享软件运行的实用程序;
  • 垃圾邮件中指向病毒安装程序的可疑链接
  • 在线免费托管资源;
  • 使用非法点对点 (P2P) 资源下载盗版软件。

在某些情况下,Gatz 病毒被伪装成某种合法工具,例如,在要求启动一些不需要的软件或浏览器更新的消息中。 这通常是一些在线欺诈旨在迫使您手动安装 Gatz 勒索软件的方式,实际上是让您直接参与此过程。

当然,虚假更新警报不会表明您将实际注入勒索软件。 此安装将隐藏在一些警告下,提到据称您应该更新 Adobe Flash Player 或其他一些可疑程序。

当然,破解的应用程序也代表着损害。 使用 P2P 是非法的,并且可能导致注入严重的恶意软件,包括 Gatz 勒索软件。

总而言之,您可以做些什么来避免将 Gatz 勒索软件注入您的设备? 尽管没有 100% 的保证可以防止您的 PC 受到损坏,但我想给您一些技巧来防止 Gatz 渗透。 今天安装免费软件时必须小心。

确保您始终阅读除主要免费程序之外的安装程序提供的内容。 远离打开可疑的电子邮件附件。 不要打开来自未知收件人的文件。 当然,您当前的安全程序必须始终更新。

该恶意软件不会公开谈论自己。 它不会在您的可用程序列表中提及。 但是,它会被一些在后台定期运行的恶意进程所掩盖,从您启动 PC 的那一刻开始。

如何删除 Gatz 病毒?

除了对受害者的文件进行编码外,Gatz 病毒还开始在计算机上安装 Vidar Stealer,以窃取帐户凭据、加密货币钱包、桌面文件等。3
我推荐GridinSoft的原因4

  1. 运行设置文件。

    Run Setup.exe
    GridinSoft Anti-Malware Setup

  2. 按“安装”按钮。

    GridinSoft Anti-Malware Install

  3. 安装后,反恶意软件将自动运行。

    GridinSoft Anti-Malware Splash-Screen

  4. 等待完成。

    GridinSoft Anti-Malware Scanning

  5. 点击“立即清理”。

    GridinSoft Anti-Malware Scan Result

About the author

Brendan Smith

Cybersecurity analyst covering malware families, suspicious files, and detection alerts. Brendan focuses on clear explanations of what a warning means, when it may be a false positive, and which cleanup steps are appropriate.

View all posts

Leave a Comment