Nuevo decrypter para archivos afectados por Gandcrab 5.2

Hoy tenemos muy pero que muy buenas noticias para usuarios afectados por este ransomware. Parece que la triste historia de GandCrab llegó a su fin. Hace poco os contaba la solución para la versión 5.1. Ahora podemos recuperar los archivos afectados por la última versión, Gandcrab 5.2.

La colaboración entre diferentes cuerpos de seguridad y organismos internacionales ha dado sus frutos. Tanto Bitdefender como Europol han anunciado un nuevo decrypter (como se conoce a este tipo de herramientas):

La herramienta se ha desarrollado en colaboración con agencias de seguridad de Austria, Bélgica, Bulgaria, Francia, Alemania, Holanda, Rumanía, Reino Unido, EEUU y Europol, junto el partner privado Bitdefender.

Al igual que pasaba con las últimas versiones de los remedios publicados por Bitdefender, no se ha llegado a esta solución atacando algún punto flaco en el algoritmo de cifrado del ransomware, sino atacando directamente los servidores C&C (Comando y control) para obtener las llaves privadas con las que descifrar los ficheros afectados de los usuarios.

Gandcrab llega a su fín

Gandcrab ha sido uno de los más activos desde su aparición años atrás, generando páginas y páginas desde su primera versión aparecida en enero de 2018 (procedente de Exploit.in). En sus orígenes se distribuía mediante el kit de exploit RIG y añadía una simple extensión a los archivos secuestrados: .GDCB.

Los desarrolladores del ransom además se jactaban de retar a los investigadores al inicio, enviándoles los C2 / C&C:

bleepingcomputer.bit
nomoreransom.bit
esetnod32.bit
emsisoft.bit
gandcrab.bit

En la siguiente imagen podemos ver las diferencias entre la ransom note de la v1 y la de la última versión aparecida, la 5.2. Son muy parecidas en esencia.

Los creadores han tenido sus altibajos durante estos casi 2 años, porque se les han hackeado los servidores varias veces, además de que los “buenos” han ido sacando vacunas para las versiones 1, 2 y 3. Pero, en cualquier caso, han ganado un “pastizal” tan grande que cuesta imaginarlo.

En un post publicado en el foro de hacking Exploit.in, afirman haber obtenido durante todo este tiempo unos 2 billones de dólares en pagos de rescates, quedando para ellos unos 150 millones de beneficio.

Como recuperar archivos afectados por Gandcrab 5.2

Bien, en realidad lo que vamos a ver es como recuperar cualquier archivo afectado por este ransomware, tanto si es la versión 1 como la última (5.2) pasando por la v4 y las 5.x. Para esto solo tendremos que descargar la herramienta Gandcrab Decryptor de Bitdefender.

Una vez la tengamos y abramos el programa, aceptaremos el EULA o contrato de licencia y empezaremos a trabajar con ella. Se nos mostrará una ventana emergente donde se indica que necesitamos acceso a internet para comprobar los archivos suministrados contra los servidores de Bitdefender.

Gandcrab 5.2 decrypter Bitdefender

Podemos decirle al programa que busque y descifre todo lo que encuentre, pero también especificar una ruta concreta. Os recomiendo esta opción y probar así con pocos archivos antes a modo de prueba, por si acaso.

Gandcrab 5.2 decrypter Bitdefender 2

Las opciones del programa también permiten sobreescribir los archivos originales, en caso de que no queremos generar duplicados “sanos” de los originalmente afectados.

Una vez aclarado esto, podemos proceder mediante el botón Start Tool.

gandcrab 5.2 decrypter Bitdefender 3

Esto hará que comience el proceso de descifrado, pero antes el software buscará la ransom note (nota de pago) por nosotros para recuperar algunos datos, que devolverá a los servidores de Bitdefender. Caso de encontrar una clave apropiada, se devuelve al programa y el proceso continúa.

Hecho esto, irá apareciendo en el log cada archivo que sea tratado, mostrando un mensaje de éxito (OK) o fracaso. No debería extrañarnos, sin embargo, encontrarnos al final con una ventana como esta.

Gandcrab 5.2 decrypter Bitdefender 4

Esto significa que algunos archivos no han podido ser recuperados. En el ejemplo expuesto por BleepingComputer, se trataba de archivos pertenecientes a programas, no al usuario. En cualquier caso puede verificarse el log en:

%Temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt

Eso es todo. ¡Enhorabuena a todos los afectados por esta familia de ransom, estáis más cerca de vuestros archivos!

Más información en BleepingComputer

Anuncios

2 comentarios en “Nuevo decrypter para archivos afectados por Gandcrab 5.2

  1. Hola como estan ? Necesito ayuda con la siguiente variante que contiene la cadena “.id[CC3A8E5C-0001].[autrey.b@aol.com] “ con la extension “.phoenix”. Cualquier dato de como poder solucionarlo me vendria barbaro.

    Saludos y gracias.

    Me gusta

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.