GANDCRAB 5.0.3 Ransomware - cómo eliminarla (+ Restaurar archivos)

GANDCRAB 5.0.3 Virus – ¿Cómo se Infect

Para el GANDCRAB 5.0.3 ransomware virus sea eficaz durante el curso de su infección, la ransomware pretende ser replicado a través de varios métodos diferentes, se informó el principal de los cuales para ser llevado a través de correos electrónicos afectados incoar que contienen adjuntos de correo electrónico malicioso, posando como documentos importantes. La estrategia principal de los hackers es engañar a las víctimas para que abra el archivo adjunto o haciendo clic en la URL que ellas quieren, que finalmente desencadena el proceso de infección.

Estos tipos de correos electrónicos a menudo se hacen pasar por los mensajes procedentes de las grandes empresas de la talla de DHL, eBay y muchos otros sitios de buena reputación y utilizados de forma masiva. Los archivos adjuntos a sí mismos pueden hacerse pasar por muchos documentos de suma importancia, por ejemplo:

• documento de cancelación de pedidos.
• Factura.
• Recibo.
• extracto de cuenta.
• Otros archivos.

El método primario de infección que es característico de la infección de la magnitud de la que hasta ahora ha sido reportado por investigadores ransomware GANDCRAB que se llevó a cabo a través malicioso Los archivos PDF, que contienen macros, incrustado directamente en ellas. Una vez abierto, el archivo PDF a continuación, lleva a un documento de Microsoft Word, que pide a la víctima para permitir la edición con el fin de desbloquear el contenido del documento. Permitir la edición desencadena las macros malicous y la infección comienza. Para explicar mejor cómo funciona, hemos diseñado una secuencia de ejemplo infección que contiene todos los pasos de infección en un orden cronológico:

Y los correos electrónicos a sí mismos no son hechas por aficionados, así. Contienen remitentes aparentemente de buena reputación. Aquí está un correo electrónico malintencionado extendiendo tal archivo .PDF que contiene GANDCRAB:

Desde: “Brandon arcilla” Brandon@cdkconstruction.org
Tema: factura de la luz Feb-6509
Adjunto archivo: Feb-10451.pdf
Cuerpo de texto: Descargar el archivo adjunto.

Además, GANDCRAB 5.0.3 También puede infectar a las víctimas de una manera similar a la GANDCRAB 5.0.1 y que hace es utilizar grietas maliciosos con el fin de replicar.

Relacionado: GandCrab ransomware Ahora Infecta grietas a través del software

Estos tipos de grietas se cargan como archivos .exe en un sitio de WordPress que se sea hackeado por el spammer malware o creado por el propio spammer. Ellos imitan los activadores para diferentes programas gratuitos que podría ser útil para los usuarios que trabajan con documentos. Una de las páginas de la grieta se ha mostrado en la imagen de abajo:

GANDCRAB 5.0.3 Ransomware - ¿Qué hace

GANDCRAB 5.0.3 ransomware infecta a los usuarios mediante la ejecución de su archivo ejecutable malicioso. De acuerdo a últimos informes, la muestra en sí es un tipo de descarga de archivos JavaScript, llamado "GandCrab 5.0.3 downloader.js". Cuenta con los siguientes indicadores de compromiso:

→ Nombre: GandCrab 5.0.3 downloader.js
MD5: 595A31A4913951D3EB7211618AE75DEA
tamaño: 986 KB
Ubicación: C:\Usuarios Admin AppData Temp

El script malicioso genera otros dos procesos maliciosos, probablemente en la misma ubicación. Ellos tienen los siguientes nombres:

• dsoyaltj.exe
• wermgr.exe

Los procesos maliciosos obtener privilegios de administrador y ejecute los siguientes comandos en el símbolo del sistema de Windows como administrador:

→ wmic.exe ShadowCopy eliminar
wmd.exe / c de tiempo de espera -c 5 & del “C” Windows System32 wermgr.exe”/ f / q
wimeout.exe -c 5

Entonces, el malware que cae del archivo de la nota de rescate mediante la creación de miles de copias de la misma en cada una de las carpetas en las que se cifran los archivos. La nota de rescate contiene la extensión de archivo de los archivos cifrados y luego el sufijo “-DECRYPT.txt". Tiene el siguiente mensaje a las víctimas:

- = GANDCRAB v5.0.3 = -
Atención!
Todos los archivos, documentos, fotos, bases de datos y otros archivos importantes están encriptados y tienen la extensión: {5 letras al azar}
El único método de recuperación de archivos es la compra de una clave privada única. Sólo podemos darle esta clave y sólo podemos recuperar sus archivos.
El servidor con la clave está en una red cerrada TOR. Se puede llegar por las siguientes maneras:
------------------------
| 0. Descarga navegador Tor - https://www.torproject.org/
| 1. Instalar Tor Browser
| 2. Abrir Tor Browser
| 3. Abrir enlace en el navegador TOR https://gandcrabmfe6mnef.onion/{ID único de la víctima}
| 4. Siga las instrucciones de esta página
En nuestra página podrás ver instrucciones sobre el pago y obtener la oportunidad de descifrar 1 presentar de forma gratuita.
ATENCIÓN!
PARA EVITAR DAÑOS DE DATOS:
• No modifique los archivos cifrados
• No cambie los datos por debajo

El objetivo principal de la nota de rescate es conseguir que las víctimas que temer suficiente para visitar la página de pago de Tor GANDCRAB, que es una página muy bien diseñado para la extorsión cibernética (ver imagen abajo) que incluso contiene “atención al cliente” y proporciona el descifrado de forma 1 expediente:

Además, junto con la nota de rescate de GANDCRAB 5.0.3, El virus también cae es archivo de la nota de rescate en el siguiente directorio de Windows:

→C:\Usuarios Admin AppData Temp Liebert.bmp

La nota de rescate se establece como fondo de pantalla muestra el siguiente mensaje de extorsión:

Nota de Imagen:

Cifrada por GANDCRAB 5.0.3
administrador ESTIMADO,
Los archivos se portection BAJO FUERTE por nuestro software. A fin de restablecer TI usted debe comprar descifrador.
Para leer más medidas {extensión}-DECRYPT.txt que se encuentra en cada carpeta cifrada.

Pero la parte triste es que GANDCRAB 5.0.3 no se queda ahí, ya que también tiene acceso a Editor del Registro de Windows con el fin de obtener furthr permisos sobre la máquina infectada. El virus se cree que acceder a las siguientes sub-claves y manipular entradas dentro de ellas:

→ HKEY_CURRENT_USER Control Panel International
HKEY_CURRENT_USER SOFTWARE keys_data data
HKEY_LOCAL_MACHINE HARDWARE DESCRIPTION System CentralProcessor 0
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Wbem CIMOM
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion
HKEY_LOCAL_MACHINE SOFTWARE ex_data data
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters

GANDCRAB 5.0.3 no se detiene allí como el virus establece cientos de conexiones y una gran cantidad de tráfico de la POST, todos los cuales se pueden ver visitando el informe completo en la página web de Any.run:

• Informe completo Any.Run de GANDCRAB 5.0.3 El ransomware

GANDCRAB 5.0.3 El ransomware – información de cifrado

GANDCRAB familia de los virus son únicos por el hecho de que utilizan un algoritmo de cifrado diferente que la mayoría de las infecciones ransomware por ahí y la versión 5.0.3 no es una excepción. Los usos de virus Salsa20 algoritmo de cifrado, lo que garantiza que para cifrar los archivos más rápido en los ordenadores de las víctimas. El proceso de cifrado de GANDCRAB 5.0.3 se lleva a cabo en los siguientes pasos:

Paso #1: GANDCRAB 5.0.3 comienza a escanear su ordenador para los documentos, vídeos, imágenes, archivos de sonido, archivo, bases de datos y otros archivos importantes, basado en sus extensiones de archivo. El virus puede atacar y cifrar archivos de los siguientes tipos:

→ .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3PR, .7desde, .7cremallera, .aac, .AB4, .abd, .acc, .accdb, .ADCC, .accdr, .accdt, .ach,.acr, .acto, .adb, .adp, .anuncios, .AGDL, .a, .aiff, .perteneciente a, .Alabama, .Aoi, .APJ, .apk, .arw, .ascx, .asf, .pers, .áspid, .aspx,.baza, .asx, .ATB, .avi, .awg, .atrás, .apoyo, .backupdb, .detrás, .banco, .bahía, .vg, .BGT, .bik, .soy, .BKP,.mezcla,.bmp, .dpw, .bsa, .c, .efectivo, .cdb, .CDF, .cdr, .CDR3, .CDR4, .cdr5, .cdr6, .CDRW, .CDX, .ce1, .ce2, .cielo, .cfg, .CFN,.cgm, .bolsillo, .clase, .cls, .cmt, .config, .contacto, .cpi, .cpp, .cr2, .buche, .crt, .crw, .llorar, .cs, .CSH, .CSL, .css, .csv,.d3dbsp, .Dacian, .la, .que, .db, .db_journal, .DB3, .dbf, .dbx, .dc2, .dcr, .DCS, .ddd, .muelle, .NRW, .dds, .def, .la, .de,.diseño, .DGC, .con, .este, .djvu, .DNG, .doc, .docm, .docx, .punto, .dotm, .DOTX, .DRF, .DRW, .dtd, .dwg, .dxb, .dxf, .DXG, .edb,.eml, .eps, .erbsql, .erf, .exf, .FDB, .EF, .fff, .En nombre de, .FHD, .fla, .flac, .FLB, .FLF, .flv, .flvv, .forjar, .fpx, .FXG, .GBR, .gho,.gif, .gris, .gris, .grupos, .juego, .h, .media pensión, .hdd, .hpp, .html, .iBank, .EII, .FLR, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.este, .gente, .tarro, .Java, .BUS, .JPE, .jpeg, .jpg, .js, .JSON, .k2p, .kc2, .kdbx, .KDC, .clave, .KPDX, .Historia, .laccdb, .lbf, .lck, .LDF, .iluminado,.litemod, .litesql, .bloquear, .Iniciar sesión, .LTX, .tomar, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .pero, .MAB, .MAPIMAIL, .max, .Perspectivas, .Maryland, .CIS, .MDC, .mdf, .mef, .MFW,.medio, .mkv, .mlb, .MMW, .MNY, .dinero, .MoneyWell, .MOS, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.MSF, .msg, .mundo, .Dakota del Norte, .DDN, .ndf, .nave, .NK2, .nop, .nrw, .ns2, .ns3, .ns4, .NSD, .NSF, .NSG, .NSH, .nvram, .nwb,.nx2, .nxl, .nyf, .OAB, .obj, .odb, .Ep, .odf, .respuesta, .odm, .Responder, .párrafo, .odt, .ogg, .petróleo, .Dios mio, .uno, .orf, .ost,.OTG, .OTH, .OTP, .ots, .hay, .p12, .p7b, .p7c, .ayudar, .páginas, .no, .palmadita, .PBF, .PCD, .pct, .pdb, .pdd, .pdf, .PEF,.pem, .pfx, .php, .pif, .pl, .Sociedad Anónima, .plus_muhd, .pm!, .pm, .PMI, .pmj, .PML, .pmm, .PMO, .PMR, .PNC, .PND, .png, .pnx,.maceta, .senderos, .Potx, .PDMA, .pps, .PPSM, .PPSX, .ppt, .pptm, .pptx, .prf, .privado, .PD, .psafe3, .psd, .PspImage, .PST (Tiempo Estándar del Pacífico,.ptx, .pub, .pwm, .py, .supremo, .QBB, .QBM, .qbr, .QBW, .QBX, .QBY, .qcow, .qcow2, .CQD, .QTB, .r3d, .raf, .rar, .rata, .prima, .rdb, .RE4, .rm,.rtf, .RVT, .rw2, .rwl, .RWZ, .s3db, .a salvo, .sas7bdat, .semana, .salvar, .decir, .sd0, .SDA, .sdb, .sin hogar, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-SHM, .sqlite-wal, .SR2, .serbio, .SRF, .srs, .srt, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .std, .STI, .STL, .stm, .STW, .stx, .svg, .swf,.sxc, .sxd, .sxg, .ella, .sxm, .sxw, .impuesto, .TBB, .Tbk, .tbn, .Texas, .tga, .thm, .tif, .pelea, .pcs, .TLX, .txt, .ufc, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .VPD, .VSD, .DHS, .taco, .billetera, .fue, .wav, .wb2, .wma, .WMF, .wmv, .WPD, .wps, .x11, .X3F, .película, .XLA, .xlam, .XLK, .XLM, .xlr, .xls, .xlsb, .xlsm, .xlsx,.XLT, .XLTM, .xltx, .xlw, .xml, .XPS, .xxx, .YCbCr, .yuv, .cremallera

Durante la exploración, GANDCRAB 5.0.3 puede saltarse el cifrado de archivos en los siguientes directorios de Windows, por lo que todavía puede usar su PC para pagar el rescate:

→ \Datos de programa
\Archivos de programa
\Tor Browser
El ransomware
\Todos los usuarios
\Configuraciones locales
desktop.ini
autorun.inf
ntuser.dat
Iconcache.db
bootsect.bak
boot.ini
Ntuser.dat.log
thumbs.db

Paso #2: GANDCRAB 5.0.3 copia los archivos originales y cifra las copias, después de lo cual elimina las versiones originales de los propios archivos.

Paso #3: Después, el virus crea una clave de descifrado única, que está oculto y podría tener ya sea la .KEY o el sufijo .lock añaden a ella. El archivo no se puede abrir por cualquier forma de software, ya que también está cifrada.

Paso #4: GANDCRAB 5.0.3 ransomware añade una extensión 5.letter a los archivos codificados, haciéndolos aparecer como la imagen de abajo muestra: