La solución permite que las víctimas del GandCrab pueden descifrar los archivos de forma gratuita y segura
Las empresas y los usuarios domésticos afectados por las últimas versiones del ransomware GandCrab ahora pueden recuperar sus archivos bloqueados de forma gratuita, gracias a una nueva herramienta de descifrado.
Es la herramienta de descifrado más completa disponible hasta la fecha para esta familia de ransomware en particular: funciona para todas las versiones de malware excepto las dos existentes (v.1,4 y 5), independientemente de la ubicación geográfica de la víctima. Esta herramienta se lanzó una semana después de que el grupo criminal detrás de GandCrab hiciera claves de descifrado públicas que permitieran que solo un grupo limitado de víctimas ubicadas en Siria recuperaran sus archivos.
El GandCrab 5.0.5 Ransomware continúa siendo distribuido a través de archivos corruptos de Microsoft Word, archivos PDF, páginas de phishing y actualizaciones falsas de las fuentes utilizadas en Mozilla Firefox y Google Chrome. Como se mencionó anteriormente, el GandCrab Ransomware se opera como una plataforma de Ransomware-as-a-Service, y la amenaza se propaga de varias formas. Se recomienda a los usuarios de PC que eviten archivos de ubicaciones no verificadas y remitentes de correo electrónico y se abstengan de usar software pirateado.
¿Qué es GandCrab?
El ransomware GandCrab se descubrió a fines de enero de 2018 cuando se ofrecía com Ransomware como servicio (RaaS por sus siglas en Inglés Ransomware-as-a-Service) y pronto se convirtió en el ransomware más popular y extendido del año.
El ransomware es un tipo de malware que encripta todos los datos en una máquina, red y nube, y exige un rescate en criptomoneda para regresar la clave de descifrado. Las víctimas generalmente solo tienen unos pocos días para pagar o nunca volverán a ver su información.
¿Cómo funciona GandCrab?
GandCrab se distribuye a través de múltiples vectores de difusión, que incluyen correos electrónicos no deseados (también conocidos como spam), kits de explotación y otras campañas de programas maliciosos afiliados. Estos correos electrónicos no deseados engañan a los usuarios para que abran el archivo contenido en el archivo ZIP adjunto, que generalmente es un script que descarga el ransomware de GandCrab y lo ejecuta.
El archivo JavaScript está muy oculto. Tras la ejecución, decodifica una URL donde se aloja GandCrab. El script luego descarga el malware a un archivo en el disco y lo ejecuta.
Una vez que GandCrab se apodera de la computadora de la víctima y encripta sus archivos, exige un rescate que oscila entre los US$300 y los US$6000. El rescate se debe pagar a través de monedas virtuales DASH que hacen que las transacciones en línea sean menos rastreables.
¿Porqué es tan peligroso GandCrab?
GandCrab está disponible para todos los cibercriminales basados en un modelo de malware como servicio, lo que lo convierte en una de las amenazas de ransomware más agresivas que existen actualmente. Los ciberdelincuentes sin experiencia pueden usar el kit de herramientas de GandCrab para lanzar sus propios ataques si aceptan pagar un recorte del 30 por ciento a los creadores del ransomware.
En febrero, la policía rumana puso a disposición una primera herramienta de descifrado en No More Ransom, con el apoyo de la compañía de seguridad de Internet Bitdefender y Europol. Una segunda versión del ransomware GandCrab fue posteriormente lanzada por los delincuentes, esta vez con una codificación mejorada que incluía comentarios para provocar la aplicación de la ley, compañías de seguridad y No More Ransom. Una tercera versión siguió un día después.
Ahora en su quinta versión, este malware de bloqueo de archivos continúa actualizándose a un ritmo agresivo. Sus desarrolladores están lanzando constantemente nuevas versiones, con nuevas y más sofisticadas muestras disponibles para evitar las contramedidas de los proveedores de ciberseguridad.
Incluso con la nueva herramienta de descifrado disponible, es probable que GandCrab evolucione y continúe atacando a los usuarios, al menos hasta que sus autores sean identificados y arrestados.
¿Cómo descifrar archivos infectados por GandCrab?
Las víctimas del ransomware GandCrab pueden recuperar sus archivos sin ceder a las demandas de los delincuentes gracias a una nueva herramienta de descifrado publicada gratuitamente en https://www.nomoreransom.org/es/decryption-tools.html
La herramienta de descifrado, dice Bitdefender, se ha desarrollado en estrecha colaboración con Europol y la policía rumana, con el apoyo del FBI y «otras agencias de aplicación de la ley».
«El lanzamiento de esta herramienta de descifrado es un avance espectacular que destaca la efectividad de la colaboración entre los proveedores de seguridad y las agencias de aplicación de la ley», dijo un portavoz de Bitdefender.
«Hemos pasado meses investigando criptografía y desplegando una infraestructura considerable para hacer esto posible y ayudar a las víctimas a recuperar el control de sus vidas digitales sin costo alguno».
Los expertos en seguridad cibernética están advirtiendo a todos, empresas y personas, que se mantengan seguros, tengan cuidado al abrir enlaces y archivos adjuntos en los correos electrónicos, que guarden una copia de seguridad de los archivos importantes en un disco fuera de línea y que instalen una solución antivirus.
Referencias:
https://www.itproportal.com/news/gandcrab-ransomware-toppled-by-bitdefender/
https://www.acronis.com/en-us/articles/gandcrab/
Most GandCrab Ransomware Victims Can Now Recover Their Files for Free
https://www.nomoreransom.org/es/decryption-tools.html
leer más