GandCrab continúa: la versión ransomware GandCrab2 ha sido lanzada

GandCrab2 o GandCrab v2 es un crypto-ransomware que ha sido desarrollado justo tras GandCrab, una de las formas más agresivas de ransomware pero cuyo desencriptador apareció este mismo año. Al igual que su predecesor, la nueva versión se distribuye a través de campañas de mala publicidad que conducen a las víctimas al exploit kit RIG. Sin embargo, también puede disfrazarse bajo los pop-ups de la estafa HoeflerText Font Update. Tras una infiltración exitosa, el ransomware añade la extensión de archivo .CRAB a cada uno de los datos afectados y genera la nota de pago denominada CRAB-DECRYPTO.txt.
El malware redirige a sus víctimas al un sitio TOR que contiene instrucciones donde se explica a las víctimas qué tienen que hacer para desbloquear los archivos bloqueados. Aunque la variante original de GandCrab2 demandaba 1200$ en forma de monedas Dash, la nueva versión que se ha detectado a comienzos de Marzo del 2018 pide 500$ a través de la misma moneda.
Sin embargo, los especialistas se burlan del intento de los desarrolladores del virus GandCrab2 para maximizar los beneficios, ya que el virus puede ser desencriptado usando el desencriptador gratuito para GandCrab disponible en NoMoreRansom. Sin embargo, los ladrones proporcionan un enlace a un tutorial de desencriptación en NoMoreRansom y asustan a la gente declarando falsamente que la herramienta no desbloqueará los archivos. Al contrario, los convertirá en ilegibles, dicen. Aún así, los expertos apuntan a que GandCrab2 (versión 1.0.0r) y GandCrab (v2.3.*) pertenecen al mismo grupo y pueden ser desencriptados de la misma manera.
Para protegerte del ataque del ransomware GandCrab2, ten cuidado con los archivos adjuntos a emails que sean .doc. A pesar del hecho de que estos emails spam pueden ser enviados por autoridades oficiales o pretender ser parte de fuentes legítimas, al abrir el archivo .doc adjunto a un email sospechoso puede ejecutar un script PowerShell, el cual crea los archivos sct5.txt o 128384.txt, a través de los cuales se conecta a un servidor remoto y descarga la carga explosiva del ransomware GandCrab2. En el caso de ataque de la estafa HoeflerText Font Update, el sistema queda infectado con el archivo Font_Update.exe, el cual descarga un script g.js y da acceso a una herramienta remota conocida como NetSupport, la cual ejecuta por completo el ransomware.
Aquellos cuyos archivos ya hayan sido bloqueados por GandCrab2 deberían eliminar este virus de inmediato. Para ello, te recomendamos que uses la herramienta FortectIntego, SpyHunterCombo Cleaner o MalwarebytesMalwarebytes, ya que son lo suficientemente poderosas y neutralizarán todos los componentes relacionados. Siguiendo con una eliminación exitosa, deberías descargar el desencriptador gratuito provisto en NoMoreRansom y desbloquear todos tus archivos con él.

Los ciber ladrones distribuye los virus a través de campañas de malspam y falsas actualizaciones
Los desarrolladores de las infecciones maliciosas están acostumbrados a usar exploit kits. Sus propósitos son detectar las vulnerabilidades del sistema y abrir las puertas traseras para que las infecciones entren rápidamente en el sistema. Este particular ransomware se basa en la combinación de dos exploit kits – RIG y GrandSoft.
Normalmente, la gente queda expuesta a exploit kits enviándoles emails maliciosos con archivos adjuntos .doc infectados. Los emails spam están desarrollados de un modo que imitan a marcas o instituciones oficiales bien conocidas. En este caso particular, la gente obtiene un mensaje con el título Receipt Feb-21310 [ números aleatorios] enviado por [nombre aleatorios ]@cdkconstruction.org. La mayoría de las víctimas han denunciado que estos emails no se explayan más que con el título y solo indican el hecho de que hay un archivo «Doc adjunto». Ten cuidado, ya que los archivos adjuntos pueden también diferir, aunque normalmente las extensiones sospechosas suelen ser .EXE, .COM, .PIF, .SCR, .HTA, etc.
A parte del malspam, la gente puede acabar con este ransomware tras descargar un falso «Paquete de Fuentes para Chrome» en sitios webs hackeados. La gente puede quedar expuesta a dominios comprometidos al escribir mal el nombre del dominio o tras hacer click en anuncios infectados. La página web hackeada muestra un texto revuelto por defecto y genera una notificación que dice «The “HoeflerText” font wasn't found» e insta a la gente a instalar un falso paquete de fuente para ver el contenido en la web de forma normal.
Tutorial de eliminación de GandCrab2
La eliminación manual de GandCrab2 no es posible. En general, el virus ransomware no puede ser manualmente eliminado, ya que inyecta numerosos archivos, registros corruptos, cambia la configuración del inicio e inicia otros cambios en el sistema para evadir una fácil detección y eliminación.
Para eliminar el virus GandCrab2 y recuperar los datos, los expertos de senzavirus.it recomiendan a la gente que descarguen FortectIntego, SpyHunterCombo Cleaner, MalwarebytesMalwarebytes u otro programa anti-malware legítimo. Si actualmente estás usando uno, asegúrate de actualizar su base de datos antes de ejecutar la comprobación.
No entres en pánico si no puedes abrir tu anti-virus. El virus GandCrab2 puede usar objetos de ayuda que bloquean cualquier herramienta de seguridad. En este caso, deberías intentar reiniciar el sistema en Modo Seguro con Funciones de Red o usar otro de los métodos para sobrepasar los muros del ransomware. Puedes aprender a deshacerte de GandCrab2 y recuperar los datos siguiendo las instrucciones paso a paso de abajo.
¿Te ha resultado útil esta guía?
Sé el primero en comentar