Cibersecuestro GandCrab 5.0.9

Conocido también como: el virus GandCrab 5.0.9
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico GandCrab 5.0.9

¿Qué es GandCrab 5.0.9?

GandCrab 5.0.9 es una infección de alto riesgo de tipo ransomware llamada GandCrab. Esta versión fue descubierta por Marcelo Rivero. Como casi todos los virus de este tipo, está diseñado para encriptar datos, para inutilizar los archivos afectados. Cambia el nombre de todos los archivos cifrados asignando el identificador de víctima como extensión de archivo (p. ej. ".wwzaf"). Por ejemplo, cambia "1.jpg" por "1.jpg.wwzaf" y así sucesivamente. GandCrab 5.0.9 genera también una petición de rescate en un archivo de texto "WWZAF-DECRYPT.txt", su nombre depende del identificador de la víctima (igual que la extensión puesta). Este archivo de texto se guarda en todas las carpetas que contengan archivos encriptados. GandCrab 5.0.9 cambia también el fondo del escritorio.

Una vez que el ransomware GandCrab 5.0.9 se ejecuta, una ventana emergente aparece con el mensaje "We will become back very soon;)" (volveremos muy pronto). Eso no dice mucho, la información importante está en el archivo "WWZAF-DECRYPT.txt" (o en otra nota de rescate generada). Según los desarrolladores de GandCrab 5.0.9, todos los datos del usuario (como las fotos, varios documentos, bases de datos) han sido encriptados y bloqueados, la única forma de recuperarlos (desencriptarlos o desbloquearlos) es comprando una clave de descifrado privada. Con otras palabras, pagando un rescate. En este caso, se insta a las víctimas de GandCrab 5.0.9 descargar un navegador Tor y abrir el enlace mostrado usando este navegador específico, luego seguir las restantes instrucciones. Se pide a las víctimas de este cibersecuestro no modificar los archivos encriptados. No se sabe ciertamente qué tipo de algoritmo criptográfico (simétrico o asimétrico) se usa para el cifrado en este caso. De una forma o de otro, casi todas las veces, los ciberdelincuentes usan algoritmos que generan claves únicas. Las almacenan en servidores remotos que son controlados por ellos. Asimismo, no existe ninguna herramienta capaz de saltarse el cifrado de GandCrab 5.0.9 de forma gratuita, al menos no por el momento. No debe fiarse de los ciberdelincuentes, suelen ignorar con frecuencia a las víctimas aunque hayan comprado la clave o herramienta de descifrado (al pagar el rescate). Esto quiere decir que la única forma de restaurar sus archivos es usar una copia de seguridad de Windows.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación GandCrab 5.0.9

StevenSeagal, CmdRansomware y Risk - esos son solo algunos ejemplos de otros virus de este tipo, hay muchos otros. Por regla general, los desarrolladores de ransomware usan esas infecciones por dos motivos: encriptar datos y hacer peticiones de rescate. Normalmente, las únicas diferencias entre virus de este tipo están en el algoritmo criptográfico usado y en la cantidad de dinero que se requiere para el descifrado. Casi siempre, una desencriptación gratuita (sin que intervengan los ciberdelincuentes) es imposible. A no ser que el ransomware esté en desarrollo o tenga algunos fallos o errores sin resolver. No obstante, para evitar la pérdida de datos, recomendamos mantener copias de seguridad con regularidad y almacenarlas en un dispositivo de almacenamiento extraíble o servidores remotos.

¿Cómo llegó el cibersecuestro a mi equipo?

Se desconoce cómo los desarrolladores de GandCrab 5.0.9 propagan esta infección; sin embargo, hay varios métodos muy comunes para lograrlo. Los ciberdelincuentes suelen usar campañas de correo basura, troyanos, varios programas de dudosa fiabilidad y falsos actualizadores. Usan campañas de correo basura enviando una serie de correos electrónicos que contienen un adjunto malicioso. El adjunto mostrado podría un documento Microsoft Office, archivo ejecutable (.exe), archivo (como RAR), archivo PDF, etc. Los equipos son infectados cuando esos adjuntos infecciosos se abren o se les da permiso para ejecutar acciones maliciosas. Varias plataformas gratuitas de alojamiento de archivos, sitios web de descargas gratuitas, redes P2P y otras fuentes sospechosas de descarga de software pueden usarse para presentar archivos infectados como legítimos. En tales casos, la gente es engañada para que descarguen e instalen virus por sí mismos. Los troyanos son infecciones diseñadas para distribuir otros virus. Tener un troyano instalado pone en peligro el equipo de otros virus que podrían instalarse. Los actualizadores falsos de software suelen infectar sistemas, bien descargando software malicioso en vez de actualizaciones, o bien abusando de fallas de seguridad en el software.

Datos básicos de la amenaza:
Nombreel virus GandCrab 5.0.9
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus GandCrab 5.0.9, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Para evitar los virus de tipo ransomware o infecciones informáticas, es importante navegar por internet, instalar, descargar y actualizar el software con cuidado. No abra adjuntos que están presentes en correos por parte de remitentes desconocidos o sospechosos. Si cree que el correo recibido es irrelevante, simplemente ignórelo. Actualice su software (o sistema operativo en sí) usando solo las funciones o herramientas facilitados por desarrolladores oficiales. Evite descargar cualquier software usando sitios web inoficiales, de dudosa fiabilidad o algún asistente de descarga de terceros. Varios asistentes de descarga o instalación de terceros suelen contener aplicaciones maliciosas que podrían ocasionar infecciones informáticas de alto riesgo. Siempre es buena idea tener instalada una solución reputable antivirus o antiespía. Esos programas suelen detectar y eliminar varios virus antes de que se pueda hacer daño o afectar a los equipos de cualquier forma. Si su equipo está infectado ya con GandCrab 5.0.9, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto "(victim's_ID)-DECRYPT.txt":

---= GANDCRAB V5.0.9 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .WWZAF

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - hxxps://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: hxxp://gandcrabmfe6mnef.onion/da9ad04e1e857d00
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

---BEGIN GANDCRAB KEY---
-
---END GANDCRAB KEY---

---BEGIN PC DATA---
-
---END PC DATA---

Captura de pantalla del fondo de pantalla de GandCrab 5.0.9:

captura de pantalla de la nota de rescate de GandCrab 5.0.9

Texto mostrado en el fondo de pantalla del ransomware de GandCrab 5.0.9:

ENCRYPTED BY GANDCRAB 5.0.9

YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DECRYPTOR

For further steps read WWZAF-DECRYPT.txt that is located in every encrypted folder

Captura de pantalla del sitio web del ransomware de GandCrab 5.0.9:

Captura de pantalla del sitio web del ransomware de GandCrab 5.0.9

Texto mostrado en este sitio:

If the payment isn't made until 3/8/2018, 10:45:13 AM, the cost of decrypting files will be doubled
Countdown to double price: Time is up. Price is doubled!
What's the matter?
Your computer has been infected with GandCrab Ransomware.
All your files have been encrypted and you are not able to decrypt it by yourself.

To decrypt your files you have to buy GandCrab decryptor
The price is - 800 USD
What can I do to get my files back?
You should buy our software GandCrab Decryptor. It will scan your PC, network share, all connected devices and check for encrypted files and decrypt it. Current price: 800 USD. We accept cryptocurrency DASH and Bitcoin
What guarantees can you give me?
To be sure we have the decryptor and it works you can use free decrypt and decrypt one file for free.
But this file must be an image, because images usually are not valuable.
I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
Easy. The list of the most popular exchange services:

BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

The full list of exchange services for Bitcoin here and for DASH here.

Create an account
Charge the balance with a credit card or paypal
Buy requested amount of coins (Bitcoin or DASH)
Make withdrawal to our address

Captura de pantalla de archivos cifrados por GandCrab 5.0.9 (extensión ".wwzaf"):

Captura de pantalla de archivos cifrados por GandCrab 5.0.9

Captura de pantalla de la ventana emergente de GandCrab 5.0.9:

ventana emergente de GandCrab5 mostrado una vez se ejecuta el ransomware

Texto mostrado en la ventana emergente del ransomware de GandCrab 5.0.9:

We will come back very soon! ;)

Eliminar el cibersecuestro GandCrab 5.0.9:

Eliminar automáticamente de forma instantánea el virus GandCrab 5.0.9: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus GandCrab 5.0.9. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus GandCrab 5.0.9. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware GandCrab 5.0.9 se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus GandCrab 5.0.9.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de GandCrab 5.0.9 eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por GandCrab 5.0.9, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como GandCrab 5.0.9.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus GandCrab 5.0.9:

Fuente: https://www.pcrisk.com/removal-guides/14138-gandcrab-5-0-9-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus GandCrab 5.0.9 Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus GandCrab 5.0.9 desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus GandCrab 5.0.9:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.