GandCrab: nueva familia de ransomware que crece rápidamente en Latinoamérica

ransomware
gandcrab

#1

GandCrab: nueva familia de ransomware que crece rápidamente en Latinoamérica

A nivel global, 5 de los 10 países en los que se registra la mayor cantidad de detecciones de GandCrab son latinoamericanos: Perú (45,2%), México (38%), Ecuador (17,2%), Colombia (9,9%) y Brasil (8,7%).

GandCrab intenta cifrar archivos con distintas extensiones, como pueden ser: MS Office, OpenOffice, PDF, archivos de texto, bases de datos, fotos, música, video, y archivos de imágenes.

Una vez que el archivo llega al equipo de la víctima y se ejecuta, la amenaza recopila información del dispositivo, como el nombre del equipo, la dirección IP y el nombre de usuario, entre otros datos más. Antes de comenzar a cifrar la información, se encarga de finalizar todos los procesos que pudieran estar utilizando los archivos a encriptar. De esta manera se asegura que logrará cifrar la mayor cantidad de archivos posibles. En este punto comienza el proceso de cifrado, seguido por el borrado de las copias de seguridad del sistema operativo hasta mostrar el mensaje de extorsión.

Finalmente, después de todo este proceso de ejecución, el resultado para la víctima es el mismo que con cualquier otro ransomware: toda su información es cifrada y prácticamente imposible de recuperar, a menos que cuente con una copia de seguridad, haya sido víctima de una de las primeras versiones de este ransomware, para las cuales se desarrollaron algunas herramientas para el descifrado de los archivos, o bien que realice el pago a los delincuentes para recuperar la información aunque siempre hay que recordar que esto no tiene garantías de que realmente suceda y nunca es la mejor opción.

Más de la cuarta parte de las variantes analizadas durante los primeros meses del 2018 utilizaron como estrategia de ingeniería social la excusa de ser una actualización de fuentes tipográficas para el sistema operativo. En ese margen de tiempo se identificaron por lo menos 120 archivos maliciosos diferentes que trataron de afectar a usuarios de al menos 10 países de la región destacándose Argentina, Brasil, Ecuador, Chile, Colombia y México, entre otros. A partir de mayo, la cantidad de archivos maliciosos de este tipo aumentó considerablemente llegando a detectar al menos 2000 archivos diferentes propagado las últimas variantes de esta familia GandCrab.

La propagación de este ransoware se relaciona con los archivos para modificar software legal, o lo que en otras palabras se conoce como cracks. Los troyanos que fueron identificados y que tienen mayores niveles de detección, es decir, lo más descargados por los usuarios, están relacionados con lo que supuestamente son aplicaciones para crackear aplicaciones funcionales como Adobe Acrobat, aplicaciones de ofimática o Adobe Flash, así como también editores de audio, juegos como Minecraft, CounterStrike, Starcraft y Bejeweled 3 o también soluciones de seguridad.


Archivos encriptados con extensión .INJEHEPYBS
#3

Actualmente el ransomware GandCrab se sigue extendiendo como la pólvora… ya han liberado la versión 5 (versión interna 5.0.4 hasta hoy) y sigue posicionarse como el rey de los ransomware.

Desafortunadamente aun no hay manera de recuperar los archivos cifrados, por lo que la prevención es vital para mantenerse lejos de infectarse por el :crab: :wink:

Salu2


#4

Gracias por la noticia Marcelo, interesante ver los países de sudamérica donde este ransomware prospera, como bien lo dice en la noticia ingresa con programas crack, el famoso PROGRAMA X FULL, donde no pagas ni un centavo pero tienes tu programa favorito en versión completa “Gratis”, esto es muy popular justamente en Ecuador por algo el porcentaje de detecciones, forma parte de una mala cultura de querer todo free sin pensar al riesgo que se enfrentan. Lamentablemente ninguna institución estatal realiza campañas de concienciación o educación en seguridad informática.

Nuevamente gracias por la noticia, hasta pronto


#5

Muy buena información :grinning::+1: estamos esperando las soluciones :eye:


#6

Al parecer más de lo mismo Gracias por la noticia Marcelo !