Lo que hace del ransomware un fenómeno revolucionario en el panorama de la ciberdelincuencia es que no hay ni puede haber una solución única para todos, contrario a los virus de firma que permiten que las soluciones de seguridad resuelvan prácticamente cualquier otro problema de malware. Una de las cepas a la vanguardia de este ecosistema ha generado una nueva variante llamada GandCrab 5.1.0 a mediados de enero de 2019. Aquí está el perfil completo de esta desagradable infección.
¿Qué es el virus ransomware GandCrab v5.1?
La experiencia del mundo real muestra que sólo las familias de software de rescate bien establecidas siguen la ruta de la herencia. Estos prolíficos linajes producen crías cibernéticas maliciosas de vez en cuando, cada iteración con ciertas mejoras funcionales junto con ajustes externos. GandCrab está dominando actualmente este nicho, habiendo estado en rotación durante casi un año y haciendo suficiente ruido en la comunidad de seguridad para convertirse ya en una palabra de moda. La última versión de este rey de la extorsión criptográfica subterránea es GandCrab 5.1. Sustituye a la anterior versión 5.0.4. Comparado con el precursor, el recién llegado no es un gran avance en absoluto. Su manifestación exterior es casi idéntica, incluyendo el fondo de escritorio y la redacción de la nota de rescate. Mientras que algunos podrían considerar esta falta de grandes cambios como una señal de la negligencia de los ladrones, los analistas de malware no son tan optimistas. Aquí está el por qué.
Con sólo pequeñas alteraciones en el exterior, GandCrab 5.1 cuenta con un mecanismo de encriptación mejorado. Específicamente, aplica el cifrado de una manera mucho más eficiente en el tiempo que sus precursores. Cuanto más rápida sea la rutina criptográfica no autorizada, menos probable es que la víctima se dé cuenta del ataque y adopte una medida de emergencia, como por ejemplo, poner fin al proceso malicioso a través del Administrador de tareas o apagar el equipo. Con todo, el mod actual supera considerablemente al anterior, pero la mayoría de las víctimas no son lo suficientemente conocedoras de la tecnología como para darse cuenta de ello. Volviendo al tema, después de que GandCrab v5.1 cifra los datos personales de un objetivo, etiqueta todos los archivos de rehenes añadiéndoles una extensión de apariencia aleatoria. Esta extensión es única para cada usuario, siendo una cadena de hasta 10 caracteres. Por lo tanto, digamos que un archivo llamado Importante.docx ha sido tomado como rehén, y será modificado en un artículo fuera de los límites con un nombre similar: Importante.docx.ibptmqlbgf.
La distorsión anterior de los nombres de archivo no es sin embargo la etapa final del ataque. El ransomware de GandCrab 5.1 deja una nota para que el usuario infectado se haga una idea de lo que ha ocurrido exactamente y qué debe hacer para recuperar los archivos inaccesibles. El nombre de esta entidad va a variar para los diferentes usuarios, ya que su primera parte coincide con la extensión del archivo específico de la víctima, siendo la única discrepancia que los caracteres son mayúsculas. En el hipotético ataque anterior, la nota de rescate será IBPTMQLBGF-DECRYPT.txt. Su parte introductoria dice así:
GandCrab v5.1
Bajo ninguna circunstancia borres este archivo hasta que todos tus datos sean recuperados.
Si lo eliminas aún así, el sistema se dañará si hay errores de descifrado
¡Atención!
Todos tus archivos, documentos, fotos, bases de datos y otros archivos importantes están encriptados y tienen la extensión: (extensión específica para la víctima).
El único método para recuperar estos archivos es comprar una clave privada única. Sólo nosotros podemos darte esta clave y sólo nosotros podemos recuperar tus archivos.
Esto nos lleva a las opciones de rescate impuestas por los villanos. El usuario es instruido a visitar una página Tor (es decir, un dominio .onion) que proporciona la cantidad del rescate junto con la fecha límite para pagarlo. También incluye una sección de chat para contactar a los atacantes. La cantidad demandada por los distribuidores de GandCrab 5.1 es de 1.200 USD. Se paga en Bitcoin o alternativamente en Dash, una forma menos común de criptomoneda. La dirección de la billetera de cualquiera de los dos tipos también se indica en la página de pago. Además, se está ejecutando un script de cuenta regresiva que muestra el tiempo restante antes de que el precio se duplique. Se ajusta a 2 días. La única actualización hecha a esa página como parte de la nueva versión son las divertidas fotos de un cangrejo que definitivamente no se alinean con la inquietante situación.
Obviamente, la incursión es un problema serio. Los investigadores aún no han descubierto una manera 100% efectiva de descifrar los archivos sesgados por GandCrab 5.1. Mientras tanto, los afectados por esta plaga se enfrentan a un dilema: pagar el rescate y esperar que los ciberdelincuentes hagan lo que afirman, o intentar otra cosa. Es esta última opción la que se aborda en las siguientes secciones. Es importante tomar en cuenta que este software ransomware se está difundiendo a través del spam, y una de las principales campañas incluye correos electrónicos temáticos de “cartas de amor”. Por lo tanto, asegúrate de no abrir esos mensajes de una dirección extraña la próxima vez que terminen en tu bandeja de entrada.
¿Cómo remover del ransomware GandCrab v5.1?
Eliminación automática del virus ransomware GandCrab 5.1
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Compruebe si se ha eliminado completamente el ransomware GandCrab 5.1
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware GandCrab 5.1 crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Métodos para restaurar los archivos cifrados por GandCrab v5.1
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.