Se lanzó una nueva edición del ransomware GandCrab que agrega la extensión .CRAB a archivos de rehenes y elimina la nota de rescate CRAB-DECRYPT.txt, así que obtén los detalles aquí.
¿Qué es el ransomware GandCrab v2.1?
GandCrab es una de las raras variedades de ransomware elaboradas competentemente que han aparecido últimamente, lo cual explica la significante cantidad de cobertura mediática sobre sus embustes. Los actores de la amenaza al mando de esta ola de extorsión bien orquestada perdieron algunos servidores C2 sobre una acción de aplicación de la ley en Rumania. Esto permitió a los expertos de seguridad crear una herramienta de descifrado gratuita para la variante original del culpable. Una semana después, sin embargo, los delincuentes lanzaron una nueva edición 2.1 de GandCrab, demostrando que su negocio sucio está avanzando de todas formas. La infección actualizada se sometió a varios cambios. Primero, añade la extensión .CRAB a todos los documentos encriptados. Segundo, el nombre de la nota de auxilio se ha convertido en CRAB-DECRYPT.txt.
Mientras que el mod anterior inició con la propagación respaldada por kits de exploit, GanCrab v2.1 está distribuido predominantemente a través de spam emanando del infante botnet Necurs. Los portadores de la carga son archivos adjuntos de correos electrónicos atrapados, típicamente facturas rogué, que vienen en la forma de archivos JavaScript ofuscados. Una nueva campaña de distribución bien orquestada echó raíces a principios de abril de 2018, centrándose en las organizaciones del sector financiero coreano. Los correos electrónicos de spam pretenden estar relacionados a algunos problemas legales de derechos de autor y vienen con un archivo .egg adjunto, el cual designa un formato de archivo comprimido cuyo uso es mayormente aislado a países asiáticos. El archivo contiene un interior binario malicioso que ejecuta la infección una vez abierto. La esencia específica de esta oleada de malspam está dirigida hacia el hecho de que el equipo GanCrab ha madurado en términos de sus tácticas despreciables.
Otro punto de entrada es a través del llamado engaño EITest, donde los usuarios atrapan al malo cuando visitan sitios web comprometidos. En este último escenario, las posibles víctimas se topan con alertas engañosas que afirman que la fuente “HoeflerText” no fue encontrada y se descarga una pseudo actualización que en realidad es el ransomware.
Habiéndose infiltrado en un nuevo anfitrión, la variante del archivo .CRAB del ransomware GandCrab 2.1 ejecuta un análisis masivo en busca de datos potencialmente valiosos. Cada uno de los objetos que coinciden con los criterios del malware del chantaje se encriptan con RSA, un fuerte cifrado asimétrico que no se puede descifrar a menos de que la clase privada de descifrado esté a la disposición de uno. Una parte del proceso de retoque es la concatenación del sufijo .CRAB a cada entrada rescatada.
Como se mencionó arriba, la nota de rescate que el troyano renovado genera ha cambiado también. Su nombre es CRAB-DECRYPT.txt, y adicionalmente incluye una nueva recomendación sobre el uso de gTox Messenger para las víctimas viviendo en países donde el Tor está bloqueado. La página de paga GandCrab a la que se hace referencia en la nota de rescate se ve diferente a su predecesora. La esencia, sin embargo, es básicamente la misma – instruye a las víctimas que suban 400 USD de valor de la criptomoneda Dash a la billetera del atacante. Así que, antes de si quiera considerar esta opción, pruebe algunas de las soluciones incluidas en las siguientes secciones.
¿Cómo remover el ransomware GandCrab v2.1?
Eliminación automática del virus con la extensión .CRAB
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Métodos para restaurar los archivos .CRAB cifrados
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware GandCrab v2.1 crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Compruebe si se ha eliminado completamente el ransomware GandCrab v2.1
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.