Cibersecuestro GandCrab 5.1

Conocido también como: el virus GandCrab 5.1
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico GandCrab 5.1

¿Qué es GandCrab 5.1?

GandCrab 5.1 es una versión de la familia de ransomware GANDCRAB que fue descubierta por TMMalAnalyst. Es un virus de alto riesgo que está diseñado para cifrar datos y mostrar peticiones de rescate en el archivo "[victim's_ID]-DECRYPT.txt" y en el fondo de pantalla modificado. El archivo de texto generado se pone en cada una de las carpetas del sistema. Se cambia el nombre de cada archivo encriptado añadiéndole una nueva extensión que es el identificador único de la víctima. Por ejemplo, si el identificado de la víctima es ".hjnakliq", GandCrab 5.1 renombrará el archivo "1.jpg" por "1.jpg.hjnakliq".

Como se afirma en el fondo de escritorio modificado por el cibersecuestro GandCrab 5.1, los archivos de la víctima han sido encriptados usando un potente algoritmo de cifrado. Para recuperar los archivos, es necesario comprar un "desencriptador" (herramienta de descifrado). En el archivo de texto "[victim's_ID]-DECRYPT.txt", se detalla cómo comprar esta herramienta. Como mencionamos en la introducción, este archivo de texto puede encontrarse en todas las carpetas existentes (y encriptadas). Según el mensaje de petición de rescate, no se debería eliminar hasta que los datos se recuperen o se compre la herramienta de descifrado. También se indica que los ciberdelincuentes que desarrollaron este ransomware son los únicos que pueden ofrecer esa herramienta. Para conseguirla, las víctimas de GandCrab 5.1 tendrán que descargar el navegador Tor y abrir el enlace facilitado con él. En ese sitio web, se mostrarán más instrucciones. En primer lugar, abre el sitio web de autenticación en el que se tiene que cargar un archivo"*-DECRYPT.txt" o "*-DECRYPT.html" ("*" es la extensión, un identificador único del archivo encriptado). Se advierte de que ningún archivo encriptado debe cambiar de nombre. Una vez hecho esto, va a otra página con más detalles sobre el pago, etc. Como se especifica en esta web, el precio de la herramienta de descifrado ("GandCrab decryptor") es de 1200 USD. Sin embargo, si no se realiza el pago dentro del plazo previsto (puede verse en la parte superior del sitio web), el precio se duplicará. El rescate debe efectuarse transfiriendo una cantidad equivalente en criptomonedas (Bitcoin o DASH) a la dirección facilitada del monedero. No se sabe qué algoritmo criptográfico (simétrico o asimétrico) usan los desarrolladores del ransomware GandCrab 5.1 para cifrar los datos de sus víctimas; sin embargo, casi todos los ciberdelincuentes usan encriptaciones fuertes que no pueden deshacerse. Esto quiere decir que es probablemente que sea cierto que sean los únicos que tienen la herramienta requerida para el descifrado. Casi todos los ciberdelincuentes usan criptografías que generan claves únicas, esas claves suelen almacenarse en servidores remotos y nadie puede acceder a ellas, solo los desarrolladores del ransomware. Sin embargo, esto no quiere decir que haya que confiar en los ciberdelincuentes. Todo lo contrario, casi todos ellos ignoran a sus víctimas una vez que reciben la cantidad exigida del rescate. Dado que no existe ninguna herramienta que pueda ayudar a las víctimas de GandCrab 5.1 con la desencriptación, la única solución gratuita es usar una copia de seguridad creada y recuperar los archivos de ahí.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación GandCrab 5.1

GandCrab 5.1 se parece a otras infecciones informáticas de este tipo como Anatova, Ppam, Jundmd@cock.liy muchas otras. Esos programas han sido diseñados para cifrar datos y chantajear a sus víctimas (haciendo peticiones de rescate). Las diferencias más comunes están en la cuantía del rescate y el tipo de algoritmo usado para el descifrado. Por desgracia, casi nunca es posible realizar el descifrado sin que intervengan los ciberdelincuentes a no ser que el ransomware tenga fallos, errores o esté en desarrollo. Sea como fuere, recomendamos mantener copias de seguridad con regularidad y almacenarlas en un dispositivo de almacenamiento extraíble o servidores remotos.

¿Cómo llegó el cibersecuestro a mi equipo?

Sabemos que uno de los métodos de distribución usados para propagar GandCrab 5.1 es a través de campañas de correo basura. En ese sentido, los ciberdelincuentes envían correos con adjuntos maliciosos, normalmente un archivo que contiene código JavaScript malicioso. El objetivo principal es engañar al destinatario del e-mail para que abra el adjunto. Al abrirlo, se descargará e instalará una infección informática particular. Al abrirlo, este archivo JavaScript iniciará el proceso de instalación del cibersecuestro GandCrab 5.1. Los ciberdelincuentes suelen usar falsos actualizadores de software y fuentes de descarga de software no fiables para propagar infecciones de tipo ransomware también. Los falsos actualizadores ofrecen a sus usuarios solucionar varios errores de software; sin embargo, en vez de hacer eso, descargan e instalan infecciones informáticas. En otros casos, se aprovechan de errores o fallos en el software instalado que está desactualizado. Los troyanos son programas maliciosos que ocasionan infecciones en cadena. Los troyanos instalados son capaces de instalar otras infecciones como ransomware. Algunas fuentes de descarga de terceros como las redes P2P (torrents, eMule, etc.), sitios de descarga de programas gratuitos, sitios de alojamiento de archivos gratuitos, descargadores de software de terceros pueden usarse para hacer que la gente descargue e instale software malicioso en vez del archivo que esperan. Con otras palabras, al usar estas fuentes, los ciberdelincuentes suelen engañar a los usuarios para que instalen virus por sí mismos.

¿Cómo protegerse de los cibersecuestros?

Evite abrir adjuntos o enlaces web que estén presentes en correos por parte de remitentes desconocidos, direcciones sospechosas o cuando el e-mail sea irrelevante en sí. Descargue software solo de fuentes oficiales y de confianza usando enlaces de descarga directa en vez de las fuentes no fiables mencionadas anteriormente. Actualice su software usando solo las funciones o herramientas facilitados por desarrolladores oficiales. Tenga un software antiespía o antivirus instalado y en funcionamiento, las herramientas de este tipo suelen ser capaces de detectar y eliminar virus antes de que puedan ocasionar daños en el sistema operativo. Si su equipo está infectado ya con GandCrab 5.1, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware GandCrab 5.1 ("[victim's_ID]-DECRYPT.txt"):

---= GANDCRAB V5.1 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .HJNAKLIQ

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/da9ad04e1e857d00
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

---BEGIN GANDCRAB KEY---
******
---END GANDCRAB KEY---

---BEGIN PC DATA---
******
---END PC DATA---

Captura de pantalla del fondo de pantalla de GandCrab 5.1:

fondo de escritorio GandCrab 5.1

Texto mostrado en este fondo de escritorio:

ENCRYPTED BY GANDCRAB 5.1
DEAR [username]
YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DECRYPTOR
For further steps read [victim's_ID]-DECRYPT.txt that is located in every encrypted folder

Captura de pantalla del sitio web de GandCrab 5.1 (autenticación):

sitio web de autenticación grandcrab 5.1 ransomware

Texto mostrado en la página de autenticación:

Authentication

For authorization find and upload *-DECRYPT.txt or *-DECRYPT.html.
* - is extension of encrypted files.

File name and content should not be changed

Captura de pantalla de la página principal de GandCrab 5.1:

pantalla de pago del sitio web grandcrab5.1

Texto mostrado en esta página:

If the payment isn't made until 1/18/2019, 11:11:06 AM, the cost of decrypting files will be doubled
Countdown to double price: 1 day, 00:44:24
What's the matter?
Your computer has been infected with GandCrab Ransomware.
All your files have been encrypted and you are not able to decrypt it by yourself.

To decrypt your files you have to buy GandCrab decryptor
The price is - 1200 USD
What can I do to get my files back?
You should buy our software GandCrab Decryptor. It will scan your PC, network share, all connected devices and check for encrypted files and decrypt it. Current price: 1200 USD. We accept cryptocurrency DASH and Bitcoin
What guarantees can you give me?
To be sure we have the decryptor and it works you can use free decrypt and decrypt one file for free.
But this file must be an image, because images usually are not valuable.
I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
Easy. The list of the most popular exchange services:

BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

The full list of exchange services for Bitcoin here and for DASH here.

Create an account
Charge the balance with a credit card or paypal
Buy requested amount of coins (Bitcoin or DASH)
Make withdrawal to our address

Attention
Don't delete file *-DECRYPT.txt before full restore of your PC.

Captura de pantalla de los archivos cifrados por GandCrab 5.1 (en nuestro ejemplo, con la extensión ".hjnakliq"):

archivos cifrados por GandCrab 5.1

Eliminar el cibersecuestro GandCrab 5.1:

Eliminar automáticamente de forma instantánea el virus GandCrab 5.1: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus GandCrab 5.1. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus GandCrab 5.1. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware GandCrab 5.1 se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus GandCrab 5.1.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de GandCrab 5.1 eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por GandCrab 5.1, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como GandCrab 5.1.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus GandCrab 5.1:

Fuente: https://www.pcrisk.com/removal-guides/14320-grandcrab-51-ransomware