Ya es posible descifrar GandCrab 5.2

 

El 28 de enero de 2018, nuestros analistas de servicio vieron una pequeña imagen emergente en el Mapa de amenazas de Bitdefender . Fue uno de los millones de blips que vemos diariamente aquí en Bitdefender, pero ese pitido marcó el nacimiento de una nueva familia de ransomware que causaría un gran dolor a las víctimas inocentes de todo el mundo. El mismo bache aparecería al menos 50,000 veces más en el mes siguiente y varios millones más en el próximo año. Llegó a ser conocido como “GandCrab”.

Esta familia de ransomware, probablemente operada fuera del antiguo espacio soviético, tomó más del 50 por ciento de la cuota de mercado de ransomware hasta agosto de 2018. El acceso al ransomware GandCrab se vendió en mercados clandestinos a afiliados, quienes eran responsables de infectar a las víctimas y extorsionar dinero de ellos. A cambio, los afiliados dieron el 40% de sus ganancias a los desarrolladores originales de GandCrab. Esto fomentó un sistema de distribución diverso. Algunos afiliados enviarían correo basura a sus cargas útiles, mientras que otros infectarían a las víctimas mediante, por ejemplo, kits de explotación o acceso remoto a computadoras empresariales.

En Bitdefender, hemos contado cuidadosamente estos errores y no hemos escatimado esfuerzos para brindar alivio a los desafortunados que se cruzaron con el equipo GandCrab. En colaboración con agencias policiales asociadas, como Europol, la Policía de Rumania, DIICOT, FBI, NCA y la Policía Metropolitana, así como las Oficinas de Policía en Francia, Bulgaria, hemos logrado ofrecer varios descifradores para ayudar a las víctimas de GandCrab a recuperar sus datos de forma gratuita.

Estas herramientas totalizaron más de 30,000 desencriptaciones exitosas y han ahorrado a las víctimas aproximadamente US $ 50 MILLONES en un rescate no pagado. Y lo que es más importante, nos ayudó a debilitar a los operadores de ransomware cortando sus mecanismos de monetización y estableciendo una mentalidad positiva entre las nuevas víctimas, quienes preferirían esperar un nuevo descifrador que ceder a las demandas de rescate de los piratas informáticos.

En más de un año de operación, estimamos que GandCrab ha reclamado más de 1.5 millones de víctimas en todo el mundo, tanto usuarios domésticos como corporaciones. Los operadores y afiliados de GandCrab afirmaron audazmente en foros clandestinos privados recientemente que el equipo detrás del malware ha extorsionado más de $ 2 mil millones a las víctimas .

Si bien el número es claramente exagerado, la operación GandCrab fue lo suficientemente prolífica como para obtener suficientes ingresos para permitir que sus maestros se retiren. Según la misma afirmación, el equipo de GandCrab ha impedido que los afiliados accedan a nuevas versiones del malware y los ha instado a prepararse para un cierre inminente. El cierre será seguido por la eliminación de todas las claves, dejando a las víctimas incapaces de recuperar los datos rescatados, incluso si pagan rescate.

Anuncio de cierre de GandCrab – foto cortesía de bleepingcomputer.com

Afortunadamente, hemos lanzado una actualización de la herramienta que neutraliza las últimas versiones de GandCrab, incluida la versión 5.2. La herramienta está disponible de inmediato y se puede descargar de forma gratuita a continuación o desde el proyecto No More Ransom .

Hechos y cifras sobre GandCrab

Desde su inicio en enero de 2018, GandCrab se convirtió rápidamente en la herramienta de acceso de hackers para el ransomware basado en afiliados. Probablemente, basados ​​en el antiguo espacio soviético, sus operadores y afiliados apuntan a víctimas en todo el mundo, con la excepción de los países de habla rusa y varios otros donde la economía de mercado hace imposible que las víctimas paguen (como Siria). En menos de un año, GandCrab se convirtió en el ransomware más extendido del mundo, representando la mitad de todas las infecciones de ransomware.

Una ventaja clave de GandCrab sobre otras familias de ransomware es su modelo de licenciamiento de ransomware-as-a-service, donde los distribuidores compran y difunden el malware y dividen las tarifas de descifrado con el desarrollador original. Los afiliados se quedan con el 60%, mientras que el resto va a los desarrolladores. Esta segregación de tareas permite a los desarrolladores mejorar el código y agregar nuevas funciones (como las técnicas de evasión de antivirus) y permitir que los distribuidores se centren en la entrega y explotación de las víctimas.

El negocio de GandCrab también trae nuevas funciones, como un servicio de chat para que las víctimas se comuniquen con los afiliados para negociar descuentos, extender el plazo de pago o pedir ayuda para intercambiar dinero fiduciario en moneda digital.

Además de conectar las comunicaciones con la víctima, el chat también tiene un área “secreta” que otorga a las compañías de recuperación de datos dudosas un descuento en nombre de las víctimas para enmascarar un pago de rescate como una “tarifa de recuperación de datos” para los clientes.

No todas las víctimas reciben el mismo trato: GandCrab prioriza la información rescatada y establece los precios individuales por tipo de víctima. Una computadora promedio cuesta entre $ 600 y $ 2,000 para descifrar, y un descifrado de servidor cuesta $ 10,000 y más. Mientras ayudamos a las víctimas con el descifrado, hemos visto notas de rescate que piden tanto como $ 700,000, que es un buen precio por un clic incorrecto.

Los tres descifradores lanzados en colaboración con las agencias policiales asociadas, y en particular el descifrador GandCrab para la versión 5.1, obligaron a los afiliados de GandCrab a reducir su negocio para evitar costos innecesarios. Por ejemplo, en febrero de 2019, después del lanzamiento del descifrador para la versión 5.1, los afiliados continuaron publicando versiones descifrables del malware durante más de una semana, permitiendo a las nuevas víctimas descifrar sus datos de forma gratuita. A partir de marzo de 2019, la cuota de mercado de GandCrab se ha reducido a 30 por ciento, con casi una de cada tres infecciones vinculadas al grupo.

Cómo mantenerse seguro

El descifrado de ransomware es un asunto delicado, ya que los creadores de malware utilizan la misma tecnología que ayuda a las personas a proteger sus transacciones bancarias, comunicaciones e interacciones en línea. El cifrado es fácil, pero el descifrado sin una clave es casi imposible. Cada mes, Bitdefender ve 12 nuevas cepas de ransomware, lo que significa que los ciberdelincuentes expulsan a un total de más de 140 nuevas familias al año. De estos, casi el 10 por ciento se puede descifrar aprovechando las lagunas en el código de los atacantes o mediante asociaciones con organizaciones encargadas de hacer cumplir la ley.

Cuando se trata de ransomware, la prevención es clave. Una vez que su sistema se encripta, las posibilidades de descifrado son escasas, a pesar de los esfuerzos de la industria por recuperar sus datos. Aquí hay algunos consejos para ayudarlo a prevenir ataques de ransomware y minimizar la cantidad de dinero que fluye a los operadores de delitos cibernéticos:

  1. Ejecutar una solución de seguridad. Si tiene instalada una solución de seguridad, asegúrese de estar utilizando toda la gama de tecnologías para defenderse de un ataque de ransomware. La detección basada en el comportamiento, las heurísticas basadas en el aprendizaje automático y la reparación de ransomware son tecnologías clave para detectar y bloquear los ataques de ransomware. Si no tiene uno instalado, Bitdefender ofrece una solución de seguridad altamente efectiva y gratuita .
  2. Hacer copias de seguridad frecuentes en los medios sin conexión. Las copias de seguridad son una solución extremadamente efectiva contra la pérdida de datos en caso de desastre. Obtenga un disco duro portátil y respalde religiosamente los datos importantes a medida que los crea. NO mantenga la unidad conectada durante más tiempo del necesario para realizar copias de seguridad, ya que la mayoría del ransomware cifra la información de las unidades extraíbles conectadas y las redes compartidas.
  3. Si todo lo demás falla, no pagues el rescate. Los pagos de rescate permiten a los atacantes prosperar y les permite desarrollar cepas de malware más agresivas. Si su sistema se infecta, haga una copia de seguridad de los datos afectados y notifique inmediatamente a la policía. Si bien es posible que no puedan ayudarlo inmediatamente con el descifrado, registrarán el incidente y comenzarán a trabajar en una solución con las empresas privadas asociadas de ciberseguridad.

¿ Listo para recuperar tus datos ? 

Descargue la herramienta de descifrado GandCrab

 

 

 

 

Fuente: labs.bitdefender

Follow me:

También te puede interesar

Deja un comentario

error: Content is protected !!