La gravedad de escala:  
  (98/100)

Ransomware GandCrab2. ¿Cómo eliminar? (Guía de desinstalación de)

por Gabriel E. Hall - - | Escribe: Ransomware

GandCrab continúa: la versión ransomware GandCrab2 ha sido lanzada

Printscreen of GandCrab2 ransom note

GandCrab2 o GandCrab v2 es un crypto-ransomware que ha sido desarrollado justo tras GandCrab, una de las formas más agresivas de ransomware pero cuyo desencriptador apareció este mismo año. Al igual que su predecesor, la nueva versión se distribuye a través de campañas de mala publicidad que conducen a las víctimas al exploit kit RIG. Sin embargo, también puede disfrazarse bajo los pop-ups de la estafa HoeflerText Font Update. Tras una infiltración exitosa, el ransomware añade la extensión de archivo .CRAB a cada uno de los datos afectados y genera la nota de pago denominada CRAB-DECRYPTO.txt.

El malware redirige a sus víctimas al un sitio TOR que contiene instrucciones donde se explica a las víctimas qué tienen que hacer para desbloquear los archivos bloqueados. Aunque la variante original de GandCrab2 demandaba 1200$ en forma de monedas Dash, la nueva versión que se ha detectado a comienzos de Marzo del 2018 pide 500$ a través de la misma moneda. 

Sin embargo, los especialistas se burlan del intento de los desarrolladores del virus GandCrab2 para maximizar los beneficios, ya que el virus puede ser desencriptado usando el desencriptador gratuito para GandCrab disponible en NoMoreRansom. Sin embargo, los ladrones proporcionan un enlace a un tutorial de desencriptación en NoMoreRansom y asustan a la gente declarando falsamente que la herramienta no desbloqueará los archivos. Al contrario, los convertirá en ilegibles, dicen. Aún así, los expertos apuntan a que  GandCrab2 (versión 1.0.0r) y GandCrab (v2.3.*) pertenecen al mismo grupo y pueden ser desencriptados de la misma manera.

Para protegerte del ataque del ransomware GandCrab2, ten cuidado con los archivos adjuntos a emails que sean .doc. A pesar del hecho de que estos emails spam pueden ser enviados por autoridades oficiales o pretender ser parte de fuentes legítimas, al abrir el archivo .doc adjunto a un email sospechoso puede ejecutar un script PowerShell, el cual crea los archivos sct5.txt o 128384.txt, a través de los cuales se conecta a un servidor remoto y descarga la carga explosiva del ransomware GandCrab2. En el caso de ataque de la estafa HoeflerText Font Update, el sistema queda infectado con el archivo Font_Update.exe, el cual descarga un script g.js y da acceso a una herramienta remota conocida como NetSupport, la cual ejecuta por completo el ransomware.

Aquellos cuyos archivos ya hayan sido bloqueados por GandCrab2 deberían eliminar este virus de inmediato. Para ello, te recomendamos que uses la herramienta Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus o Malwarebytes Anti Malware, ya que son lo suficientemente poderosas y neutralizarán todos los componentes relacionados. Siguiendo con una eliminación exitosa, deberías descargar el desencriptador gratuito provisto en NoMoreRansom y desbloquear todos tus archivos con él.

Los ciber ladrones distribuye los virus a través de campañas de malspam y falsas actualizaciones

Los desarrolladores de las infecciones maliciosas están acostumbrados a usar exploit kits. Sus propósitos son detectar las vulnerabilidades del sistema y abrir las puertas traseras para que las infecciones entren rápidamente en el sistema. Este particular ransomware se basa en la combinación de dos exploit kits – RIG y GrandSoft.

Normalmente, la gente queda expuesta a exploit kits enviándoles emails maliciosos con archivos adjuntos .doc infectados. Los emails spam están desarrollados de un modo que imitan a marcas o instituciones oficiales bien conocidas. En este caso particular, la gente obtiene un mensaje con el título Receipt Feb-21310 [ números aleatorios] enviado por [nombre aleatorios ]@cdkconstruction.org. La mayoría de las víctimas han denunciado que estos emails no se explayan más que con el título y solo indican el hecho de que hay un archivo “Doc adjunto”. Ten cuidado, ya que los archivos adjuntos pueden también diferir, aunque normalmente las extensiones sospechosas suelen ser .EXE, .COM, .PIF, .SCR, .HTA, etc.

A parte del malspam, la gente puede acabar con este ransomware tras descargar un falso “Paquete de Fuentes para Chrome” en sitios webs hackeados. La gente puede quedar expuesta a dominios comprometidos al escribir mal el nombre del dominio o tras hacer click en anuncios infectados. La página web hackeada muestra un texto revuelto por defecto y genera una notificación que dice “The “HoeflerText” font wasn't found” e insta a la gente a instalar un falso paquete de fuente para ver el contenido en la web de forma normal.

Tutorial de eliminación de GandCrab2

La eliminación manual de GandCrab2 no es posible. En general, el virus ransomware no puede ser manualmente eliminado, ya que inyecta numerosos archivos, registros corruptos, cambia la configuración del inicio e inicia otros cambios en el sistema para evadir una fácil detección y eliminación.

Para eliminar el virus GandCrab2 y recuperar los datos, los expertos de senzavirus.it recomiendan a la gente que descarguen Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus, Malwarebytes Anti Malware u otro programa anti-malware legítimo. Si actualmente estás usando uno, asegúrate de actualizar su base de datos antes de ejecutar la comprobación.

No entres en pánico si no puedes abrir tu anti-virus. El virus GandCrab2 puede usar objetos de ayuda que bloquean cualquier herramienta de seguridad. En este caso, deberías intentar reiniciar el sistema en Modo Seguro con Funciones de Red o usar otro de los métodos para sobrepasar los muros del ransomware. Puedes aprender a deshacerte de GandCrab2 y recuperar los datos siguiendo las instrucciones paso a paso de abajo.

Podemos estar afiliados con cualquier producto que recomendamos en nuestro sitio. Publicación completa en nuestros Acuerdos de Uso. Al descargar cualquier proporcionado software anti-spyware para eliminar Ransomware GandCrab2 está de acuerdo con nuestra política de privacidad y Acuerdo de Uso.
¡Hazlo ahora!
Descarga
Reimage (eliminador) Felicidad
Garantía
Descarga
Reimage (eliminador) Felicidad
Garantía
Compatible con Microsoft Windows Compatible con OS X
¿Qué hacer si falla?
Si fallas a la hora de eliminar la infección usando Reimage, envía una pregunta a nuestro equipo de asistencia y proporciona toda la información que puedas.
Reimage es recomendado para desinstalar Ransomware GandCrab2. Los escaneos gratuitos te permiten comprobar si tu PC está infectado o no. Si necesitas eliminar malware, debes comprar la licencia de versión de la herramienta de eliminación de malware Reimage.
Más información sobre este programa puede ser encontrada en el análisis Reimage.
Menciones en prensa de Reimage

Guía de eliminación manual del virus GandCrab2:

Eliminar GandCrab2 usando Safe Mode with Networking

Si el ransomware bloquea las herramientas anti-virus, intenta reiniciar el sistema en Modo Seguro con Funciones de Red y re-intenta abrirlo en este modo:

  • Paso 1: Reinicia tu ordenador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Safe Mode with Networking de la lista Selecciona 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Networking en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Networking'
  • Paso 2: Eliminar GandCrab2

    Loguéate en tu cuenta infectada y comienza a navegar. Descarga Reimage u otro programa anti-spyware legítimo. Actualízalo antes de ejecutar un escaneo completo del sistema y elimina los archivos maliciosos que pertenezcan al ransomware y completa la eliminación de GandCrab2.

Si el ransomware está bloqueando Safe Mode with Networking, intenta el método adicional.

Eliminar GandCrab2 usando System Restore

En caso de que el primero método de eliminación no te haya funcionado, sigue estos pasos:

  • Paso 1: Reinicia tu ordenador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Command Prompt de la lista Selecciona 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Command Prompt en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Command Prompt'
  • Paso 2: Restaura tus archivos del sistema y configuraciones
    1. Una vez aparezca la ventana Command Prompt, inserta cd restore y haz click en Enter. Inserta 'cd restore' sin comilla y pulsa 'Enter'
    2. Ahora escribe rstrui.exe y pulsa de nuevo en Enter.. Inserta 'rstrui.exe' sin comilla y pulsa 'Enter'
    3. Cuando una nueva ventana aparezca, haz click en Next y selecciona tu punto de restauración que sea anterior a la infiltración de GandCrab2. Tras hacer esto, haz click en Next. Cuando aparezca la ventana 'System Restore', selecciona 'Next' Selecciona tu punto de restauración y haz click en 'Next'
    4. Ahora haz click en Yes para comenzar la restauración del sistema. Haz click en 'Yes' y comienza la restauración del sistema
    Una vez que restaures tu sistema a su fecha anterior, descarga y escanea tu ordenador con Reimage y asegúrate de que la eliminación de GandCrab2 se ha realizado correctamente.

Bonus: Recuperar tus datos

La guía que se presenta a continuación te intentará ayudar a eliminar GandCrab2 de tu ordenador. Para recuperar tus archivos encriptados, te recomendamos que uses una guía detallada por los expertos de seguridad de losvirus.es.

Si tus archivos han sido encriptados por GandCrab2, puedes usar varios métodos para restaurarlos:

Data Recovery Pro – un programa que puede recuperar archivos encriptados por cualquier ransomware

Originalmente, la herramienta Data Recovery Pro fue desarrollada para recuperar archivos que hubiesen sido accidentalmente eliminados o perdidos por un fatal cierre o caída del sistema. Sin embargo, su motor de búsqueda poderoso y su función de recuperación ha hecho que Data Recovery Pro sea capaz de desencriptar los archivos bloqueados por virus ransomware.

  • Descarga Data Recovery Pro (https://losvirus.es/download/data-recovery-pro-setup.exe);
  • Sigue los pasos establecidos en Data Recovery e instala el programa en tu ordenador;
  • Ejecútalo y escanea tu ordenador en busca de los archivos encriptados por el ransomware GandCrab2;
  • Restauralos.

Función Versiones Antiguas de Windows – un método de recuperación de datos alternativo

Si creas puntos de restauración del sistema a menudo, entonces debes haber creado uno antes del ataque del malware GandCrab2. Habilitar la versión previa del sistema puede ayudarte a desencriptar archivos bloqueados.

  • Encuentra un archivo encriptado que desees recuperar y haz click derecho en él;
  • Selecciona “Properties” y ve a la pestaña “Previous versions”;
  • Aquí, comprueba cada copia disponible del archivo “Folder versions”. Deberías seleccionar la versión que quieres recuperar y hacer click en “Restore”.

Recuperar los datos desde las Copias de Volumen Anteriores

Aunque la mayoría de los virus ransomware eliminan las Copias de Volumen de los datos, algunos fallan a la hora de hacerlo. No obstante, no hay modo de comprobarlo excepto que descargues ShadowExplorer e intentes recuperar los archivos encriptados usándolo.

  • Descarga Shadow Explorer (http://shadowexplorer.com/);
  • Sigue el Asistente de Configuración de Shadow Explorer e instala esta aplicación en tu ordenador.
  • Ejecuta el programa y ve hacia el menú desplegable en la esquina superior izquierda para seleccionar el disco con tus datos encriptados. Comprueba qué carpetas son ahí;
  • Click derecho en la carpeta que quieres restaurar y selecciona “Export”. Puedes también seleccionar dónde quieres que sea almacenada.

Usa el desencriptador gratuito para GandCrab2

El virus GandCrab2 puede ser descifrado con la ayuda del desencriptador para GandCrab que puede ser descargado desde NoMoreRansom

Finalmente, deberías pensar en la protección contra crypto-ransomwares. Para poder proteger tu ordenador de GandCrab2 u otros ransomwares, usa un anti-spyware legítimo, como Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus o Malwarebytes Anti Malware

Sobre el autor

Gabriel E. Hall
Gabriel E. Hall

Si esta guía de eliminación gratuita te ha ayudado y te sientes satisfecho con nuestro servicio, por favor, considera hacer una donación para mantener nuestro servicio funcionando. ¡Incluso las cantidades más pequeñas son bien recibidas!

Contactar con Gabriel E. Hall
Sobre la empresa Esolutions

Guías de eliminación en otros idiomas