Saltar al contenido
  • Activa
  • Gravedad: Alta
  • Ransomware
  • Windows
  • Verificado · Jul 2018

Ransomware GandCrab 3¿Cómo eliminar?

Una guía de eliminación paso a paso para los dispositivos afectados. Sigue el procedimiento verificado a continuación: la mayoría de los lectores la completa en menos de 10 minutos.

Olivia Morelli · Editor sénior de seguridad

Ransomware GandCrab 3 – una nueva cepa del infame GandCrab

GandCrab 3 ransomware

GandCrab 3 es un virus crypto-ransomware que funciona como tercera versión del notorio malware GandCrab. A finales de Abril del 2018, solo un par de meses después del lanzamiento de GandCrab2, los hackers han golpeado de nuevo con una nueva fuerza a usuarios de países como Rusia, Bielorrusia, Kazajistán y Ucrania. El virus la encriptación AES-256 (CBC mode) + RSA-2048 para bloquear los archivos personales y en consecuencia marcarlos con la extensión de archivo .CRAB. El archivo CRAB-DECRYPT.txt es la nota de pago, la cual contiene una guía para explicar a la víctima cómo pagar. Solo se aceptan Bitcoins.

Nombre GandCrab 3
Versiones GandCrab, GandCrab 2
Clasificación Ransomware
Extensión de archivo .CRAB
Nota de pago CRAB-DECRYPT.txt
Principales síntomas Archivos personales inaccesibles, nota de pago creada en el escritorio, ralentización de PC, fondo de pantalla del escritorio comprometido, redirecciones en el navegador al sitio de pago
Principales peligros Compromete el sistema y puede causar cierres severos. Los archivos personales pueden ser permanentemente eliminados. Pérdida de dinero.
Eliminar el ransomware manualmente no es posible. Para deshacerte de él, deberías usar un programa anti-malware profesional como FortectIntego

A finales de Abril de 2018, los expertos en ciber seguridad detectaron un ejemplo del Ransomware GandCrab v3. Genealógicamente, sus predecesores son las versiones GandCrab y GandCrab2, ambos parecieron ser extremadamente exitosos desde la perspectiva de los ladrones. El lanzamiento inicial logró reunir más de 600.000$ en menos de cuatro meses.

Mientras que la variante inicial puede ser ya descifrada, la versión v2 no. El desencriptador para GandCrab-3 no está aún disponible tampoco. Actualmente, no está cien por cien claro qué técnicas de distribución pueden explotar los ciber criminales para difundir este malware. Sin embargo, basado en la información reunida sobre GandCrab, se pueden usar los siguientes métodos:

  • Exploit Kit Magnitude ;
  • Exploit Kit Rig;
  • Exploit Kit GrandSoft;
  • Campañas de mala publicidad;
  • Archivo adjunto Receipt Feb-21310 [números aleatorios] en un email spam;
  • Falsa actualización de la fuente de texto Hoefler;
  • Servicios hackeados de escritorio remoto, etc.

Tras la encriptación, el virus GandCrab 3 cambia la secuencia de inicio y elimina las Copias de Volumen usando el Símbolo del Sistema y Powershell como administrador y emplea los algoritmos de encriptación AES-256 (modo CBC) + RSA-2048. En el segundo plano del sistema, el malware ejecuta el archivo random.exe. Puede también hackear el archivo explorer.exe y forzar al sistema a reiniciarse tras finalizar la encriptación.

Al igual que sus versiones anteriores, añade la extensión de archivo .CRAB a los datos bloqueados. Afecta a más de 250 tipos de archivo, incluyendo los más populares (.jpg, .png, .doc, .pdf, .avi, .docx, etc.). Una vez que los archivos son encriptados, el virus genera una nota de pago llamada CRAB-DECRYPT.txt que dice:

—= GANDCRAB V3 =—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter «username»: 21b1a2d1729f0695
1) Enter «password»: your password
2. Add new account in Psi
3. Add and write Jabber ID: [email protected] any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!

A diferencia de las dos versiones previas que aceptaban moneda virtual DASH, el ransomware GandCrab 3 pide a la víctima pagar en Bitcoins. Además, los investigadores en malware han detectado que GandCrab-3 es más prominente en Rumanía.

Si tienes la más mínima sospecha de que estás infectado con este ransomware, asegúrate de eliminar GandCrab 3 del sistema cuanto antes. Para ello, te recomendamos que uses las herramientas antivirus FortectIntego, SpyHunterCombo Cleaner o MalwarebytesMalwarebytes. Mientras lo tengas instalado, no serás capaz de recuperar tus archivos sin pagar.

Tras la eliminación de GandCrab-3, deberías intentar recuperar los archivos bloqueados con la extensión .CRAB con la ayuda de herramientas de recuperación de datos de terceros o intentar habilitar versiones anteriores de Windows. Puedes encontrar una guía completa sobre cómo recuperar los datos encriptados por GandCrab-3 a final de este artículo.

GandCrab 3 virus removal

Los criminales pueden usar múltiples técnicas para difundir malware

El equipo de Bedynet.ru declara que este particular ransomware no es muy común de confinarse a sí mismo a un solo método de distribución. Mientras logra encontrar su principal método de distribución, es difícil denominar la completa lista de técnicas con precisión. Sin embargo, la gente debería tener cuidado con el archivo adjunto Receipt Feb-21310 [ números aleatorios] enviados por [nombre aleatorio ]@cdkconstruction.org. En cuanto veas este email sospechoso enviado por este remitente desconocido, te recomendamos que lo reportes como spam de inmediato.

Los Exploit Kits, incluyendo Magnitude, RIG y GrandSoft son también conocidos por ser ampliamente usados por portadores de ransomware. Para prevenir que programas maliciosos exploten las vulnerabilidades de tu PC, asegúrate de instalar todas las actualizaciones y parches del sistema.

Por último, pero no por ello menos importante, ten cuidado con las descargas gratuitas de Internet. Se ha detectado que muchas páginas webs ilegales y sospechosas contienen falsas actualizaciones o descargas de programas. Uno de los ejemplos usados para difundir el ancestro de este ransomware es la fuente de texto Hoefler. La potencial víctima es redirigida al sitio hackeado el cual muestra un texto revuelto y muestra una alerta pop-up que insta a descargar la última actualización de la fuente para ver el contenido.

Opciones de eliminación de GandCrab-3

Solo hay una posibilidad para eliminar el ransomware GandCrab 3 del sistema: automáticamente. Esto es así porque este proceso requiere el uso de un programa anti-malware profesional. La eliminación de manual, a la hora de intentar deshacerse del virus, es prácticamente imposible a no ser que no te importe dañar el sistema y dañar permanentemente los datos.

En vez de ello, te recomendamos encarecidamente que uses un programa de seguridad profesional, por ejemplo, FortectIntego. Tras una eliminación exitosa, intenta recuperar tus archivos usando los métodos de recuperación de datos que aparecen abajo.

Sé el primero en comentar

LosVirus
Preferencias de privacidad

Usamos cookies para mejorar tu experiencia y analizar el tráfico. Algunas cookies habilitan contenido incrustado como vídeos y publicaciones sociales. Elige qué permites: puedes cambiarlo cuando quieras.