Cibersecuestro GANDCRAB 3

Conocido también como: GANDCRAB 3 virus
Propagación: Moderado
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico GANDCRAB 3

¿Qué es GANDCRAB 3?

GANDCRAB 3, descubierto hace poco por el investigador de seguridad Marcelo Rivero,  es una nueva versión del cibersecuestro de alto riesgo GANDCRAB V2.0. Tras introducirse en el equipo, GANDCRAB 3 encripta casi todos los archivos almacenados y añade la extensión ".CRAB" a los nombres de archivo. Por ejemplo, el archivo "sample.jpg" pasaría a llamarse "sample.jpg.CRAB". Los datos afectados se vuelven inutilizables. Una vez que se completa el proceso de cifrado, GANDCRAB 3 crea un archivo de texto ("CRAB-DECRYPT.txt") y pone una copia en cada carpeta existente. Estas funciones han sido copiadas de la versión previa a GANDCRAB 3. A diferencia de las versiones anteriores, no obstante, GANDCRAB 3 cambia también el fondo de escritorio.

El nuevo fondo de escritorio contiene un breve mensaje donde se dice que los datos han sido encriptados y se insta a los usuarios a leer el archivo de texto que proporciona información más detallada. En el archivo de texto, se dice básicamente que para la desencriptación se necesita una clave generada de forma única para cada víctima. Por desgracia, esta información es correcta. No se sabe aún si GANDCRAB 3 usa criptografía simétrica o asimétrica (esta información no se facilita); se precisa una clave única para recuperar los datos. Los desarrolladores almacenan todas las claves en un servidor remoto y chantajean a las víctimas con un rescate que debe ser pagado a cambio de la clave. Para realizar el pago, los usuarios han de seguir las instrucciones publicadas en el sitio web de GANDCRAB 3. El coste es $1000 y se tiene que pagar en la criptomoneda Bitcoin o Dash. En el sitio web, hay también un temporizador con una cuenta atrás. Cuando se ponga a cero, el coste se duplicará. El sitio web incorpora también una función que permite a los usuarios desencriptar un único archivo sin ningún coste. Con esto, se intenta "garantizar" que es posible realmente desencriptar los archivos. A pesar de esas amenazas y promesas, no debería confiar en los ciberdelincuentes. Tenga en cuenta que la recompensa solicitada en este caso es desorbitada (solo unos cuantos pagarán miles de dólares por recuperar sus archivos personales como música, fotos, etc.). Por otra parte, pagar tampoco suele dar fruto. Los estudios ponen de manifiesto que los desarrolladores de ransomware ignoran a sus víctimas una vez que han realizado el pago. Aparte de perder su dinero, estará apoyando el modelo de negocio malicioso de los ciberdelincuentes. Por ello, no intente nunca contactar con esa gente ni pagar un rescate. Por desgracia, no existen herramientas capaces de desencriptar los datos afectados por GANDCRAB 3 y solo hay una solución: restaurar todo a partir de una copia de seguridad o respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación GANDCRAB 3

GANDCRAB 3 comparte muchas similitudes con decenas de virus encriptadores como 8chan, OBLIVION, Kraken 2.0  y nRansom. Aunque esos virus han sido desarrollados por diferentes ciberdelincuentes, todos funcionan de forma idéntica: encriptan los archivos y realizan peticiones de rescate. En realidad, los virus de tipo ransomware presentan solo dos diferencias importantes: 1) cuantía del rescate y 2) tipo de algoritmo encriptador usado. Casi todos usan algoritmos diseñados para generar claves de descifrado únicas (por ejemplo, RSA, AES, etc.). Por tanto, es imposible restaurar los archivos de forma manual sin contar con los desarrolladores (no es recomendable contactar con los desarrolladores), a no ser que el malware esté sin desarrollar al completo (que tenga errores o fallos de seguridad). Los cibersecuestros son unas de las principales razones por las que debería mantener copias de seguridad de sus archivos; no obstante, es muy importante almacenar los archivos de respaldo en un servidor remoto o una unidad de almacenamiento externo; de lo contrario, también serán encriptados.

¿Cómo llegó el cibersecuestro a mi equipo?

Los virus de tipo criptográfico se propagan de distintas formas; sin embargo, las más comunes son: 1) correos basura (adjuntos infecciosos); 2) redes P2P, 3) fuentes de descarga de no oficiales, 4) herramientas de actualización de software fraudulentas y 5) troyanos. Los adjuntos maliciosos son con toda probabilidad archivos JavaScript o algún documento MS Office. Una vez abiertos, ejecutan código diseñado para instalar o descargar software malicioso de forma silenciosa mientras que las redes P2P ((torrents, eMule o similar) y otras fuentes de descarga no oficiales (portales de descarga gratuitos, sitios web de almacenamiento de archivos gratis) presentan a menudo archivos maliciosos como software legítimo. Por tanto, se engaña a los usuarios para que descarguen e instalen virus. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando virus en vez de la aplicación seleccionada. Los troyanos son probablemente los más simples de todos; casi ninguno hace algo más que abrir "puertas traseras" para que otros virus de alto riesgo se cuelen en el sistema. Los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente.

¿Cómo protegerse de los cibersecuestros?

Lo fundamental de la seguridad informática es la precaución. Por tanto, preste especial atención al navegar por internet. Antes de abrir los adjuntos en correos, asegúrese de que los archivos son importantes y que se reciben de fuentes reconocibles y de confianza. Si no es así, elimine los correos de inmediato y no abra los adjuntos bajo ningún concepto. Asimismo, nunca use ninguna herramienta de descarga o instalación de terceros, ya que suelen incluir apps engañosas. Descargue su software solo de fuentes oficiales usando los enlaces de descarga directa. Mantenga actualizado el software instalado y use una solución antivirus o antiespía fiable; sin embargo, dado que los delincuentes usan actualizadores falsos para propagar el malware, use la funcionalidad integrada de actualizaciones o, al menos, un herramienta que ofrezca un desarrollador oficial.

Texto mostrado en el archivo de texto del ransomware GANCRAB 3:

—= GANDCRAB V3 =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor browser
3. Open link in TOR browser: http://gandcrab2pie73et.onion/
4. Follow the instructions on this page
If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:

ATTENTION! Use regular browser only to contact us. Buy decryptor only through TOR browser link or Jabber Bot!
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us to use Habber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: https://sj.ms/register.php
0) Enter “username”:
1) Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot
It is a bot! It’s fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availability anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

Captura de pantalla del fondo de escritorio GANDCRAB 3:

fondo de escritorio GANDCRAB 3

Captura de pantalla del sitio web de GANDCRAB 3:

sitio web GANDCRAB 3

Texto mostrado en este sitio web:

What the matter?

Your computer has been infected with GandCrab Ransomware. Your files have been encrypted and you can't decrypt it by yourself.
In the network, you can probably find decryptors and third-party software, but it won't help you and it only can make your files undecryptable
What can I do to get my files back?

You should buy GandCrab Decryptor. This software will help you to decrypt all of your encrypted files and remove GandCrab Ransomware from your PC.
Current price: $2,000.00. As payment, you need cryptocurrency DASH or Bitcoin
What guarantees can you give to me?

You can use test decryption and decrypt 1 file for free

What is cryptocurrency and how can I purchase GandCrab Decryptor?

You can read more details about cryptocurrency at Google or here.
As payment, you have to buy DASH or Bitcoin using a credit card, and send coins to our address.

How can I pay to you?

You have to buy Bitcoin or DASH using a credit card. Links to services where you can do it: Dash exchanges list, Bitcoin exchanges list
After it, go to our payment page Buy GandCrab Decryptor, choose your payment method and follow the instructions

Captura de pantalla de archivos cifrados por GANDCRAB 3 (extensión ".CRAB"):

archivos cifrados por GANDCRAB 3

Eliminar el cibersecuestro GANDCRAB 3:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus GANDCRAB 3. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten


Descargar programa para eliminar GANDCRAB 3 virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware GANDCRAB 3 se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus GANDCRAB 3.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de GANDCRAB 3 eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por GANDCRAB 3, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como GANDCRAB 3.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus GANDCRAB 3:

Fuente: https://www.pcrisk.com/removal-guides/12712-gandcrab-3-ransomware