La empresa coreana Sur Ahnlab ha desarrollado un Killswitch para la última versión del virus, que se hace llamar v4.1.2, haciendo que el ransomware deje de funcionar.
Ahnlab ha analizado los informes, la versión interna 4.1.2 de ransomware GandCrab, que es parte de la 4.1 versión, utilizando el .extensión de archivo KRAB después de cifrado de archivos. Luego, los investigadores han diseñado una aplicación, que funciona como una medida defensiva y se puede quitar en los ordenadores de los usuarios antes de que se infectan con el GandCrab 4.1.2. Para la táctica de defensa para trabajar, tendrá que obtener el archivo, que tiene una cadena en su nombre y tiene la extensión de archivo .lock. Tales archivos .lock son esenciales para el funcionamiento del modo de GandCrab y aquí están los pasos en los que se crean:
Paso 1: GandCrab 4.1.2 infecta el equipo y cifra sus archivos.
Paso 2: El virus crea un archivo .lock con un mutex, para lo cual los análisis de virus para comparar el archivo de los archivos .lock de otros ordenadores infectados.
Paso 3: Si el archivo .lock ya pertenece a la lista de los equipos de los infectados de GandCrab, el virus se apaga y no cifra nada para evitar la doble encriptación y la infección que tenga lugar.
Los investigadores han ideado un archivo hábilmente tales .lock, que actúa como un killswitch y toda la aplicación se puede descargar desde el siguiente enlace (También disponible en asec.ahnlab.com/1145):
NOTICIA IMPORTANTE! Su antivirus puede detectar la killswitch como un virus, pero también está disponible en el sitio de investigación de Anhlab arriba y creemos que el archivo se puede confiar, porque no es un GandCrab real, sino simplemente un método usado para prevenir la amenaza real así que se recomienda deshabilitar el software antivirus y anti-malware antes de descargar el archivo.
Después de descargar el archivo, las víctimas deben guardarlo ya sea en el %Aplicación del directorio de datos% para las versiones más antiguas de Windows o en el %directorio ProgramData% para Windows 7 y versiones más recientes del sistema operativo. Esto impide que el equipo determinado de cifrado de archivos, incluso si v4.1.2 GandCrab ya ha infectado a la máquina.
Nuevas actualizaciones en v4.1.2 GandCrab<
GandCrab es el tipo de ransomware que ha sido la difusión e infectando ordenadores desde Enero, 2018. El virus ha sufrido grandes cambios desde entonces, el uso de falsos registros dentales y otros archivos .exe falsos para infectar el PC del usuario. El malware, que oró en usuarios que había permitido SMBv1 en su máquina se ha actualizado en una 4.1 versión, que ha evolucionado en su actual 4.1.2 variante interna. La última versión de GandCrab está utilizando cada vez más los métodos para difundir, al igual que los nuevos exploits utilizados en el EternalBlue brote WannaCry, que sucedió en 2017. Pero en el mismo tiempo, esta nueva versión del virus también se ha dejado de utilizar algunos exploits de más edad, como SMB para infectar ordenadores, sugiriendo sistemas operativos más recientes que se orienten. Una cosa ha quedado determinado - GandCrab sigue utilizando los mismos métodos para difundir y no son propensos a ser automática, ya que los usos de virus correos electrónicos no deseados con archivos adjuntos maliciosos de todo tipo y también puede cargar los archivos de infección en los sitios sospechosos de reputación y baja. Es muy recomendable aplicar la protección antimalware adecuado y también asegurarse de que aprender cómo almacenar de forma segura sus archivos importantes con el fin de protegerse de las infecciones de malware, gusta GandCrab (véanse los artículos relacionados a continuación):
Relacionado: Protegerse se Infectados por malintencionados e-mails
Relacionado: Con seguridad almacenar sus archivos y protegerlos del malware