El ransomware GandCrab - ¿Como eliminarlo?

El cripto virus GandCrab es una de las infecciones ransomware más recientes y los investigadores de seguridad la identifican como un caso curioso. Este malware tiene algunas características intrigantes que nunca habían sido detectadas en virus de esta categoría. Una campaña llamada Seamless es una cadena de malvertising que promociona RIG exploit kit y entrega frecuentemente el Troyano Ramnit. El ransowmare Alcatraz también se distribuía de esta manera.

Sin embargo, ahora esta campaña ha acogido al virus GandCrab bajo su ala. El ransomware usa tanto encriptación AES como RSA y adjunta la extensión .GDCB a los archivos digitales dañados.

El cripto malware GandCrab adjunta la extensión .GDCB a los datos digitales encriptados

Otro dato interesante sobre este cripto malware GanCrab es que acepta una Criptodivisa DASH de fuente abierta y peer-to-peer. Nunca habíamos visto que los autores de ransomware pidiesen los pagos de esta forma digital antes. Sin embargo, no es muy sorprendente, ya que Bitcoin ha sido reemplazado por Monero en un par de virus que hemos detallado previamente.

El cripto virus GandCrab añadirá un archivo GDCB-DECRYPT.txt en los ordenadores de las víctimas. El archivo ejecutable presentará las primeras instrucciones que dan los hackers. Las víctimas tienen que descargar el navegador TOR, que permite a los usuarios acceder a las webs que no podría ver desde un navegador normal. Este programa abre las puertas de la Deep web y la web oscura pero esperamos que no se embarque en este viaje (Los Peligros de Explorar la Web Oscura – ¡Evítela! ¡Póngase a Salvo!).

Desde que las personas entren a la página necesaria a través de TOR (gdcbghvjyqy7jclk.onion). El sitio abierto mostrará información sobre el ordenador infectado: ubicación según la dirección IP, sistema operativo, usuario del PC, idioma y etc.

Las víctimas pueden subir 1 archivo encriptado en la página y desencriptarlo. El archivo digital no debe ser mayor a 2 MB y tiene que ser de alguno de estos tipos: txt, jpg/jpeg, bmp, png, gif. Para la recuperación de todos los archivos, los hackers requieren que las víctimas paguen 1.5 DASH. En la web TOR, se explica que es igual a 1200$. En el momento de la escritura de este artículo, el valor de 1 DASH era de 1135.11$.

El virus GandCrab puede tener cargas diferentes. Durante la investigación, hemos notado estos archivos maliciosos: 4.exe y 2018-01-29_00-38-31.exe. Según el copyright en estos archivos, han sido generados por una fuente desconocida llamada “kdabjnrg”.

¿Hay una manera de desencriptar archivos que ha dañado el virus GandCrab?

En el momento de escribir este artículo, los investigadores de seguridad no han presentado una manera garantizada de recuperar los archivos encriptados. Ya que este virus GandCrab parece distribuirse de manera activa, estamos seguros de que los especialistas están intentando encontrar una manera de crear un desencriptador de archivos gratuito. Hasta entonces, esperamos que no decida enviar 1.5 DASH a los hackers. No se asuste por este mensaje, que dice que sólo tiene de 5-4 días para pagar el rescate.

Por otro lado, podría haber una manera de desencriptar los archivos de manera manual. Por favor, compruebe si las Shadow Volume Copies están intactas. Además, algunas herramientas de recuperación de archivos de terceras partes también podrían ser una asistencia excelente para las víctimas del ransomware. Sin embargo, antes de cualquier intento de recuperación, tiene que deshacerse del cripto malware.

¿Cómo se distribuyen las infecciones ransomware como el malware GandCrab?

Bien, este ejemplo en particular se distribuye durante la Campaña Seamless, que impone los kits de exploits RIG. Esta es una estrategia muy común para la entrega de infecciones de ransomware. Por otro lado, los virus podrían entrar en RDPs con una protección pobre, o podrían instalarse desde un anuncio/web malicioso. Para poder mantener el sistema funcionando sin ninguna vulnerabilidad, le sugerimos que actualiza todo su software y SO.

Para poder protegerse ante infecciones de malware, tiene que ser muy precavido durante la navegación. No haga clic en contenido aleatorio. No descargue software de fuentes desconocidas o ilegales. Si cree que esta batalla contra los hackers es demasiado difícil, ofrecemos ayuda. Instale Spyhunter y experimente con sus increíbles herramientas. Estos programas serán capaces de detectar cualquier parásito de malware y protegerán a los dispositivos.

¿Cómo eliminar El ransomware GandCrab usando Restauración del Sistema?

1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando

1. Modo seguro

Para Windows 7/ Vista/ XP

• l Inicio → Apagar → Reiniciar → OK.
• l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
• l Elegir Modo Seguro con Solicitud de Comando.

Para Windows 8 / 10

• l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
• l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
• l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.

2. Restaurar archivos y configuraciones del Sistema.

• l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
• l Luego introduzca rstrui.exe y presione Intro otra vez.
• l Haga clic en “Siguiente” en la ventana que apareció.
• l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Ransomware GandCrab en su sistema y luego haga clic en “Siguiente”.
• l Para iniciar la restauración del Sistema haga clic en “Sí”.

2. Complete la eliminación del El ransomware GandCrab

Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Ransomware GandCrab.

3. Restaure los archivos afectados por El ransomware GandCrab usando Shadow Volume Copies

Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Ransomware GandCrab intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.

Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.

a) Versiones Anteriores nativas de Windows

Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.

b) Shadow Explorer

Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.

Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Herramientas de extracción Malware automática