Cibersecuestro GANDCRAB V5.0

Conocido también como: el virus GANDCRAB V5.0
Propagación: Media
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico GANDCRAB V5.0

¿Qué es GANDCRAB V5.0?

GANDCRAB V5.0, descubierto por el investigador de seguridad S!Ri, es una nueva versión del cibersecuestro de alto riesgo GANDCRAB 3. Justo después de introducirse, GANDCRAB V5.0 encripta casi todos los datos almacenados siendo imposible usarlos. En ese proceso, GANDCRAB V5.0 añade una extensión aleatoria a los nombres de archivo (p. ej., "sample.jpg" pasaría a llamarse algo como "sample.jpg.vsvdv"). Una vez que los datos estén encriptados, GANDCRAB V5.0 genera un archivo de texto (p. ej., "VSVDV-DECRYPT.html") y coloca una copia en todas las carpetas existentes.

El nuevo fondo de escritorio contiene un breve mensaje donde se dice que los datos han sido encriptados y se insta a los usuarios seguir las instrucciones de descifrado en "VSVDV-DECRYPT.html". En este archivo también se afirma que los datos están encriptados y que la víctima debe visitar el sitio web de GANDCRAB V5.0 en la red Tor para obtener la clave de descifrado necesaria para restaurar los datos. Tras abrir el sitio, se muestra a los usuarios un mensaje donde se dice que para recibir la clave de la víctima, se debe pagar un rescate de $800 en las criptomonedas Bitcoins o DASH. El sitio también contiene un temporizador que indica a qué hora se duplicará el precio. El problema está en que los ciberdelincuentes no son de confianza. Los estudios demuestran que estos individuos suelen ignorar a las víctimas una vez que realizan el pago del rescate. Por este motivo, es muy probable que pagar no dé ningún resultado positivo y que simplemente se estafe a los usuarios. Por esta razón, le recomendamos ignorar todas las instrucciones para realizar el pago y no contactar con esas personas. No existen herramientas capaces de "crackear" la encriptación de GANDCRAB V5.0 para recuperar los archivos de forma gratuita. La única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación GANDCRAB V5.0

Internet está repleto de virus encriptadores similares a GANDCRAB V5.0. Qinynore, Rektware, SAVEfiles y BadNews son solo algunos ejemplos de una larga lista. A pesar de que los desarrolladores son diferentes, todas esas aplicaciones actúan exactamente del mismo modo: encripta datos y hacen peticiones de rescate. Solo constatamos dos diferencias principales: el algoritmo de encriptación usado y la cuantía del rescate. El problema está que la mayor parte de esos virus usan RSA, AES y otros algoritmos que generan claves únicas de desencriptación. Por tanto, a no ser que el virus no esté 100 % desarrollado o tenga ciertos fallos/errores, se hace imposible recuperar los archivos manualmente sin la ayuda de los desarrolladores. Tal software malicioso es una de las razones principales por las que debería mantener copias de seguridad frecuentes de sus archivos. Sin embargo, asegúrese de almacenarlas en un dispositivo de almacenamiento extraíble o servidor remoto. Si no, se encriptarán también junto con cualquier archivo.

¿Cómo llegó el cibersecuestro a mi equipo?

El ransomware suele propagarse a través de campañas de correo basura, troyanos, descargas de software de terceros y asistentes falsos de actualizaciones de software. Las campañas de correo basura generan anuncios maliciosos (p. ej. documentos MS Office, archivos JavaScript, etc.) que cuando se abren, descargan e instalan malware. Los troyanos han sido diseñados para propagar otros virus; ocasionan las denominadas "infecciones en cadena": Las redes P2P, sitios web de almacenamiento de archivos, sitios de descargas gratuitas y otras fuentes de descarga no oficiales presentan los ejecutables maliciosos como software legítimo, por lo que engañan a los usuarios para que descarguen e instalen virus. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. En última instancia, los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente.

¿Cómo protegerse de los cibersecuestros?

Es importante saber que la clave para la seguridad informática es la precaución; por ello, es imprescindible prestar atención al navegar por internet y al descargar e instalar software. Es muy importante analizar con cuidado cada uno de los adjuntos recibidos en un e-mail. Aquellos archivos que no sean interesantes o que hayan sido enviados por direcciones desconocidas o sospechosas no deberían abrirse nunca. Recomendamos descargar el software solo de fuentes oficiales a través de enlaces directos de descarga. Esas herramientas suelen incluir aplicaciones maliciosas, de ahí que no debe usarlas nunca más. La misma norma aplica a la actualización de software. Es muy importante mantener las aplicaciones actualizadas. Sin embargo, para lograrlo, los usuarios deberían usar solo funciones de actualización integradas o herramientas facilitadas por los desarrolladores oficiales. Es imprescindible usar una solución fiable antivirus o antiespía. La clave para mantener el equipo seguro es la precaución. Si su equipo está infectado ya con GANDCRAB V5.0, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware GANDCRAB V5.0:

---= GANDCRAB V5.0 =---
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .VSVDV
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:>
---------------------------------------------------------------------------------------->
Download Tor browser - hxxps://www.torproject.org/
Install Tor browser
Open Tor Browser
Open link in TOR browser: hxxp://gandcrabmfe6mnef.onion/113737081e857d00
Follow the instructions on this page

----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

Captura de pantalla del fondo de escritorio GANDCRAB V5.0:

GANDCRAB V5.0 wallpaper

Captura de pantalla del sitio web de GANDCRAB V5.0:

GANDCRAB V5.0 website

Texto mostrado en este sitio:

What the matter?

Your computer has been infected with GandCrab Ransomware. Your files have been encrypted and you can't decrypt it by yourself.
In the network, you can probably find decryptors and third-party software, but it won't help you and it only can make your files undecryptable
What can I do to get my files back?

You should buy GandCrab Decryptor. This software will help you to decrypt all of your encrypted files and remove GandCrab Ransomware from your PC.
Current price: $800.00. As payment, you need cryptocurrency DASH or Bitcoin
What guarantees can you give to me?

You can use test decryption and decrypt 1 file for free

What is cryptocurrency and how can I purchase GandCrab Decryptor?

You can read more details about cryptocurrency at Google or here.
As payment, you have to buy DASH or Bitcoin using a credit card, and send coins to our address.

How can I pay to you?

You have to buy Bitcoin or DASH using a credit card. Links to services where you can do it: Dash exchanges list, Bitcoin exchanges list
After it, go to our payment page Buy GandCrab Decryptor, choose your payment method and follow the instructions

Captura de pantalla de archivos cifrados por GANDCRAB V5.0 (extensión aleatoria):

archivos cifrados por GANDCRAB V5.0

Eliminar el cibersecuestro GANDCRAB V5.0:

Eliminar automáticamente de forma instantánea el virus GANDCRAB V5.0: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus GANDCRAB V5.0. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus GANDCRAB V5.0. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware GANDCRAB V5.0 se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus GANDCRAB V5.0.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de GANDCRAB V5.0 eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por GANDCRAB V5.0, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como GANDCRAB V5.0.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomwareGANDCRAB V5.0 Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus GANDCRAB V5.0:

Fuente: https://www.pcrisk.com/removal-guides/13664-gandcrab-v50-ransomware