Ransomware GANDCRAB 5.3

Conocido también como: el virus GANDCRAB 5.3
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico GANDCRAB 5.3

¿Qué es GANDCRAB 5.3?

GANDCRAB 5.3 (conocido también como GANDCRAB V5.3), descubierto por Jakub Kroustek, es un ransomware de alto riesgo que pertenece a la familia de software malicioso GANDCRAB. Tras introducirse en el equipo, GANDCRAB 5.3 encripta casi todos los archivos almacenados y añade una extensión aleatoria a los nombres de archivo. Por ejemplo, el archivo "sample.jpg" encriptado pasaría a llamarse algo como "sample.jpg.awqrsj". Asimismo, GANDCRAB 5.3 cambia el fondo de escritorio de las víctimas y coloca una archivo de texto (p. ej., "AWQRSJ-MANUAL.txt") en cada carpeta existente.

El fondo de escritorio GANDCRAB 5.3 muestra un breve mensaje donde se dice que los datos han sido encriptados y que solo pueden recuperarse con una herramienta de descifrado única (creada por los desarrolladores de GANDCRAB 5.3) que las víctimas tienen que comprar. El fondo de escritorio también anima a las víctimas a leer el archivo de texto creado para recibir instrucciones más detalladas. En el archivo de texto se afirma también que los datos han sido encriptados y que solo pueden recuperarse si se usa una clave única de descifrado, que las víctimas tienen que comprar. En resumen, los ciberdelincuentes intentan vender a las víctimas una herramienta de descifrado con una clave incrustada. El precio no se sabe todavía, todos los datos se facilitan por e-mail. Sin embargo, cabe resaltar que los ciberdelincuentes suelen pedir entre $500 y $1500 y los rescates tienen que pagarse en Bitcoins, Monero, Ethereum u otra criptomoneda. Sin embargo, no importa lo bajo o alto del precio, nunca debería pagar. Los estudios demuestran que estos individuos suelen ignorar a las víctimas una vez que realizan el pago del rescate. Con otras palabras, no conseguirá probablemente nada con pagar y será estafado. Por este motivo, debe ignorar todas las peticiones de contacto con esas personas y no pagar ninguna recompensa. Lamentablemente, no existen herramientas capaces de "crackear" la encriptación de GANDCRAB 5.3 para recuperar los archivos de forma gratuita. Sin embargo, Bitdefender ha desarrollado una herramienta de descifrado para las versiones anteriores del ransomware GANDCRAB, lo cual quiere decir que la situación puede cambiar. No obstante, la única solución es restaurar el sistema desde una copia de respaldo si hay una creada.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación GANDCRAB 5.3

Hay decenas de programas encriptadores que comparten similitudes entre sí. Cube, Gotcha y Guvara son solo algunos ejemplos de una larga lista. Sepa que aunque los desarrolladores sean diferentes, el comportamiento es exactamente el mismo; esas infecciones comprometen los datos (normalmente, encriptando) y hacen peticiones de rescate a cambio de restablecer el equipo. El problema es que casi todas las infecciones emplean criptografías que generan claves únicas de descifrado. Por tanto, a no ser que el software malicioso esté en desarrollo o tenga ciertos fallos/errores, se hace imposible recuperar los archivos manualmente sin la ayuda de los desarrolladores. Los cibersecuestros nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. No obstante, asegúrese de almacenarlas en dispositivos extraíbles o servidores remotos, porque las copias de seguridad almacenadas de forma local podrían comprometerse junto con los datos del sistema.

¿Cómo llegó el cibersecuestro a mi equipo?

El ransomware suele propagarse a través de campañas de correo basura, troyanos, descargas de software de terceros y asistentes falsos de actualizaciones de software. Las campañas de spam se usan básicamente para enviar cientos de miles de correos que consisten en mensajes engañosos y adjuntos maliciosos. Los mensajes muestran adjuntos así como "documentos importantes" (p. ej. facturas, recibos, etc.) y animan a los usuarios a abrirlos. No obstante, abrirlos tiene como consecuencia la infección del sistema. Las fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo, por lo que engañan a las víctimas para que descarguen e instalen software malicioso. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Lo mismo aplica al software pirateado. La idea que subyace en las herramientas de pirateo es activar software de pago gratuitamente. No obstante, suelen usarse para propagar software malicioso, los usuarios suelen acabar infectando sus equipos en vez de conseguir acceso gratuito a programas de pago. El último, pero no el menos importante, es el troyano. Los troyanos son aplicaciones maliciosas que, una vez infiltradas, inyectan software malicioso adicional en el sistema. Esto se conoce como "infecciones en cadena".

Datos básicos de la amenaza:
Nombre el virus GANDCRAB 5.3
Tipo de amenaza Ransomware, virus criptográfico, cibersecuestro
Extensión de archivos encriptados caracteres aleatorios
Petición de rescate fondo de escritorio, archivo de texto
Contacto del ciberdelincuente jokeroo@protonmail.com
Detectado como Avast (Win32:Trojan-gen), BitDefender (Generic.Ransom.GandCrab5.5B2B9420), ESET-NOD32 (a variant of Win32/Filecoder.GandCrab.F), Kaspersky (HEUR:Trojan.Win32.Generic), Full List Of Detections (VirusTotal)
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribució Adjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
Daño Todos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus GANDCRAB 5.3, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Todo el mundo debería saber que los motivos principales por los que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. La clave para mantener el equipo seguro es la precaución. Por este motivo, es necesario tener mucho cuidado al navegar por internet y al descargar, instalar y actualizar software. Nunca abra ningún adjunto de e-mail que parezca irrelevante o si el remitente parece sospechoso o desconocido. Asimismo, descargue software solo de fuentes oficiales usando enlaces de descarga directa preferentemente. Los instaladores o descargadores de terceros incluyen a menudo (empaquetan) programas dudosos y estas herramientas no deberían usarse. Es también muy importante mantener actualizadas las aplicaciones instaladas. Sin embargo, para lograrlo, los usuarios deberían usar solo funciones de actualización integradas o herramientas facilitadas por los desarrolladores oficiales. Tenga en cuenta que la piratería de software está considerada un ciberdelito. Asimismo, el riesgo de infección es extremadamente alto. Por esa razón, nunca debería intentar piratear apps instaladas. Asimismo, asegúrese de tener instalada una solución antivirus o antiespía reputable en funcionamiento porque tales herramientas detectan y eliminan muy probablemente el software malicioso antes de que pase algo malo. Si su equipo está infectado ya con GandCrab 5.3, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware GANDCRAB V5.3:

---=    GANDCRAB V5.3    =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

    *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .AWQRSJ       

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
 
Only us can recover your files
                   
You need follow the next instructions:  

----------------------------------------------------------------------------------------

  1. Send a mail to us at the next address with this note:113737081e857d00 ADDRESS: jokeroo@protonmail.com                                                                                                                                                        

----------------------------------------------------------------------------------------                    
    

We will send you the instructions to pay.
---BEGIN GANDCRAB KEY---
-
---END GANDCRAB KEY---

---BEGIN PC DATA---
-
---END PC DATA---

Captura de pantalla del fondo de pantalla de GandCrab 5.3:

fondo de escritorio GANDCRAB 5.3

Captura de pantalla de archivos cifrados por GANDCRAB 5.3 (extensión aleatoria):

archivos cifrados por GANDCRAB 5.3

Eliminar el cibersecuestro GANDCRAB 5.3:

Eliminar automáticamente de forma instantánea el virus GANDCRAB 5.3: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus GANDCRAB 5.3. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus GANDCRAB 5.3. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware GANDCRAB 5.3 se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus GANDCRAB 5.3.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de GANDCRAB 5.3 eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por GANDCRAB 5.3, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como GANDCRAB 5.3.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus GANDCRAB 5.3:

Fuente: https://www.pcrisk.com/removal-guides/14896-gandcrab-5-3-ransomware