Cibersecuestro de GANDCRAB

Conocido también como: GandCrab virus
Propagación: Alto
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico GANDCRAB

¿Qué es GANDCRAB?

GANDCRAB es un virus causante de cibersecuestros que se distribuye en RigEK toolkit. Una vez infiltrado, encripta casi todos los datos almacenados y añade la extensión ".GDCB" al nombre de cada archivo comprometido. A partir de ese momento, los archivos se vuelven inutilizables. Inmediatamente después del cifrado, GANDCRAB genera un archivo "GDCB-DECRYPT.txt" y pone una copia en cada carpeta existente.

El nuevo archivo de texto contiene información sobe la situación actual y guía a las víctimas en los siguientes pasos. Para descifrar los datos, las víctimas deben abrir un sitio web en Tor y seguir las instrucciones de ahí. El sitio web afirma que la desencriptación requiere de una clave única que es almacenada en un servidor remoto controlado por los desarrolladores de GANDCRAB. Por desgracia, esta información es correcta. Aunque no se sabe actualmente si GANDCRAB usa criptografía simétrica o asimétrica; en cualquier caso, es imposible desencriptar los archivos si no se tiene la clave. Por tanto, se anima a las víctimas a pagar 1.5 Dash (criptomoneda) equivalente en la actualidad a ~$1130. GANDCRAB es el primer virus encriptador que acepta monedas Dash. Una vez que la recompensa es satisfecha, se liberará supuestamente la clave de descifrado. Sepa que a los ciberdelincuentes nunca debería otorgarles su confianza. El coste es alto y es probable que los delincuentes ignoren a las víctimas una vez que realicen el pago. Por esos motivos, le recomendamos que nunca contacte con esa gente ni pague los rescates. Por desgracia, no existen herramientas actualmente que sean capaces de restaurar los archivos encriptados por GANDCRAB. Por tanto, la única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación GANDCRAB

GANDCRAB es un ransomware normal que comparte muchas similitudes con GANDCRAB, Velso, Rapid, Cyber Police y decenas de virus de tipo criptográfico. Como GANDCRAB, estas infecciones por malware cifran también archivos y exigen el pago de recompensas. En la mayoría de los casos, la única diferencia está en la cuantía del rescate y en el tipo de algoritmo de encriptación usado. Las investigaciones muestran que una parte importante de esos virus usa algoritmos (por ejemplo, RSA, AES, etc.) que generan claves de descifrado únicas. Por tanto, a no ser que el ransomware tenga fallos o errores de seguridad (p. ej. que almacene la clave de forma local o que esté mal programado, etc.), es imposible restaurar los archivos de forma manual sin contar con los desarrolladores (no se recomienda contactar con esos individuos). Los virus como GANDCRAB nos recuerdan lo importante que es realizar frecuentemente copias de seguridad; sin embargo, sepa que no es seguro almacenar los archivos de seguridad de forma local; el cibersecuestro podría encriptarlos como cualquier otro archivo. Las copias de seguridad deben almacenarse en un servidor remoto (por ejemplo, en la nube) o en una unidad de almacenamiento externa.

¿Cómo llegó el cibersecuestro a mi equipo?

Los virus de tipo criptográfico se propagan de distintas formas; sin embargo, las más comunes son: correos basura, fuentes de descarga de terceros, herramientas de actualización de software fraudulentas y troyanos. Los mensajes de correo basura contienen a menudo adjuntos como documentos MS Office, archivos JavaScript, etc. Una vez se abren, esos adjuntos descargarán e instalarán el software malicioso. Los sitios de descarga de software de terceros (sitios de alojamiento de archivos gratuitos, sitios web de descargas gratuitas, etc.) y las redes P2P (eMule, torrents, etc.) propagan a menudo software malicioso presentándolo como software fiable. Se engaña a los usuarios para que descarguen e instalen software malicioso. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Los troyanos son los más simples; solo abren "puertas" para que entren otros programas maliciosos en el sistema.

¿Cómo protegerse de los cibersecuestros?

Los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. Para evitar esta situación, vaya con cautela al navegar por internet. Sepa que los archivos recibidos en emails sospechosos no deberían descargarse ni abrirse nunca. Elimine estos mensajes sin leerlos. También se recomienda descargar aplicaciones desde fuentes oficiales o de confianza o usar enlaces de descarga directa (los asistentes de instalación y descarga incluyen normalmente software sospechoso). Use una solución antivirus o antiespía fiable y mantenga actualizado el software instalado; sin embargo, puesto que los delincuentes propagan el malware a través de asistentes falsos de actualización, use funciones de actualización integradas o, al menos, herramientas facilitadas por el desarrollador oficial. Lo fundamental de la seguridad informática es la precaución.

Texto mostrado en el archivo de texto del ransomware GANDCRAB ("GDCB-DECRYPT.txt"):

 

---= GANDCRAB =---

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser - hxxps://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: hxxp://gdcbghvjyqy7jclk.onion/113737081e857d00
5. Follow the instructions on this page


If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
1. hxxp://gdcbghvjyqy7jclk.onion.top/113737081e857d00
2. hxxp://gdcbghvjyqy7jclk.onion.casa/113737081e857d00
3. hxxp://gdcbghvjyqy7jclk.onion.guide/113737081e857d00
4. hxxp://gdcbghvjyqy7jclk.onion.rip/113737081e857d00
5. hxxp://gdcbghvjyqy7jclk.onion.plus/113737081e857d00

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key - this will result in the loss of your data forever!

Captura de pantalla del sitio web de GANDCRAB:

sitio web GANDCRAB

Texto mostrado en este sitio web:

- GandCrab -
Welcome!
WE ARE REGRET, BUT ALL YOUR FILES WAS ENCRYPTED!

But don't worry, you can return all your files! We can help you!
Below you can choose one of your encrypted file from your PC and decrypt him, it is test decryptor for you.
But we can decrypt only 1 file for free.

ATTENTION!
If you have any problems to decrypt test file, please try later, sorry but we have very big request for test files, also use free support service, we can help you.

Max. file size: 2 ?b. Allowed files: txt, jpg/jpeg, jpeg, bmp, png, gif.
ATTENTION!
Don't try use third-party decryptor tools!
Because this will destroy your files!


What do your need?
You need GandCrab Decryptor.
This software will decrypt all your encrypted files and will delete GandCrab from your PC.
For purchase you need crypto-currency DASH (1 DASH = 762.297 $).
How to buy this currency you can read it here.
How much money your need to pay? Below we are specified amount and our wallet for payment
-Price-
1.5 DASH (1200 USD)
-DASH address for payment-
XkGKE7niDTbZb5o7fTw22o9TQxyYu5zyfU
This process is fully automated, all payments is instant.
After your payment, please refresh this page and you can download here GandCrab Decryptor!
If you have any questions, please, don't hesitate, and write in our Support service 24/7.

Captura de pantalla de archivos cifrados por GANDCRAB (extensión ".GDCB"):

archivos cifrados por GANDCRAB

Eliminar el cibersecuestro GANDCRAB:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus GANDCRAB. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten


Descargar programa para eliminar GandCrab virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware GANDCRAB se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus GANDCRAB.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de GANDCRAB eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por GANDCRAB, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como GANDCRAB.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus GANDCRAB:

Fuente: https://www.pcrisk.com/removal-guides/12212-gandcrab-ransomware