Disponible un decrypter para nuevas versiones del ransomware GandCrab

Disponible un decrypter para nuevas versiones del ransomware GandCrab

Recibo muchos mensajes de mis lectores pidiendo ayuda para recuperar archivos cifrados por ransomware. En muchas ocasiones me tengo que limitar a enumerar unas recomendaciones más o menos genéricas (no por ello menos útiles) y decirles a los usuarios que esperen a que suceda el milagro.

Y a veces, sucede. Bitdefender lanzó allá por Febrero de 2018 una herramienta de descifrado para archivos afectados por Gandcrab, que ha actualizado muy recientemente y ahora es capaz de desencriptar archivos afectados por Gandcrab 5.1. Esto ha sido posible gracias a una nueva cooperación de varias partes, entre ellas Europol.

La firma de antivirus rumana fue la primera en dar con una cura para los archivos secuestrados por Gandcrab en su momento. Desde aquella v1/v2 ha llovido y los productores del cryptoware no se han estado quietos. Así hemos llegado a las versiones 4 y Gandcrab 5.1 más recientemente (incluso mientras escribo estas lineas ha aparecido la 5.2!)

Gandcrab 5.1 y familias anteriores pueden ser descifrados

Ya no tenéis que pagar si estáis en esta situación. Bitdefender permite descargar su herramienta Gandcrab Decryption Tool para recuperar los archivos. En la siguiente tabla podéis consultar las versiones soportadas por la herramienta. FIjaos tras “extension” para ver si alguna de las extensiones de vuestros archivos coinciden.

Version 1: file extension is .GDCB. Starts with —= GANDCRAB =—, ……………. the extension: .GDCB
Version 2: file extension is .GDCB. Starts with —= GANDCRAB =—, ……………. the extension: .GDCB
Version 3: file extension is .CRAB. Starts with —= GANDCRAB V3 =— ……….. the extension: .CRAB
Version 4: file extension is .KRAB. Starts with —= GANDCRAB V4 =— ……….. the extension: .KRAB
Version 5: file extension is .([A-Z]+). Starts with —= GANDCRAB V5.0 =— ………. the extension: .UKCZA
Version 5.0.1: file extension is .([A-Z]+). Starts with —= GANDCRAB V5.0.1 =— …. the extension: .YIAQDG
Version 5.0.2: file extension is .([A-Z]+). Starts with—= GANDCRAB V5.0.2 =— …. the extension: .CQXGPMKNR
Version 5.0.3: file extension is .([A-Z]+). Starts with—= GANDCRAB V5.0.3 =— …. the extension: .HHFEHIOL
Version 5.0.3: file extension is .([A-Z]+). Starts with—= GANDCRAB V5.0.4 =— …. the extension: .BYACZCZI
Version 5.0.5: file extension is .([A-Z]+). Starts with—= GANDCRAB V5.0.5 =— …. the extension: .KZZXVWMLI
Version 5.0.5: file extension is .([A-Z]+). Starts with—= GANDCRAB V5.1 =— …. the extension: .IJDHRQJD

NOTA: es necesario contar con una ransom note del malware que nos afecta para poder usar la herramienta con éxito. También es obligatorio contar con conexión a internet activa.

La nota dejada por el ransomware se necesita para obtener de ahí la clave privada que descifra los archivos, la conexión a internet, para conectar con los servidores de Bitdefender e intentar recuperar una clave privada RSA-2048 válida.

  • Puedes descargar Gandcrab Decryption Tool en el enlace superior de este artículo.
  • Cuando hayas descargado la herramienta debes ejecutar el archivo y aceptar el mensaje del UAC (control de cuentas de usuario). Acepta el Acuerdo de Licencia de Usuario Final.

Gandcrab decrypter

  • Ahora es necesario seleccionar “scan entire system” para localizar los archivos afectados. O bien escoger el directorio que deseamos comprobar.

Gandcrab decrypter 2

Ojo! es recomendable marcar la casilla “backup files” para crear salvaguardas de los archivos, por si algo sale mal. La herramienta siempre intenta descifrar 5 archivos afectados por Gandcrab y verifica si la operación es exitosa. En caso contrario, interrumpe la operación.

Ahora veremos el resultado, ya sean los archivos detectados o, en este caso, ninguna coincidencia. Si os aparece esta ventana alertando de que no hay restos quiere decir que no se ha reconocido este tipo de ransomware o es una nueva variante que no está soportada.

Gandcrab decrypter 3

Ojalá no tengáis que usarlo, pero si tenéis dudas preguntad en los comentarios e intentaré ayudaros 🙂

Anuncios

2 comentarios en “Disponible un decrypter para nuevas versiones del ransomware GandCrab

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.