Cómo evitar el ransomware GandCrab

6 Mar 2019

“Hemos secuestrado tu webcam, te hemos pillado viendo porno y hemos cifrado tus datos, lo restauraremos todo a cambio de un rescate”. Puede que recuerdes que el año pasado hubo un caso similar de chantaje en Internet que causó mucho revuelo y, bueno, parece que los rumores de que el ransomware detrás de esta estafa ha desaparecido son un poco exagerados.

El ransomware GandCrab vuelve a estar en activo. Sus desarrolladores no dejan de lanzar nuevas versiones para no perder esa presencia en el mercado que tanto les ha costado conseguir, un 40 % del total. Los atacantes que adquieren y propagan GandCrab también se han puesto al día y han optado por diversas tácticas creativas, a veces hasta románticas, para infectar a las víctimas.

Ransomware para sentimentales

Los correos cuyos asuntos incluyen declaraciones de amor pueden resultar muy apetecibles, pero títulos como “Mi declaración de amor”, “Me he enamorado de ti” o “Estos son mis sentimientos por ti” pueden originar un desastre. El problema es que cerca del día de San Valentín, Navidad, Año Nuevo, tu cumpleaños o un triste lunes en el trabajo, este mensaje puede que no despierte sospechas. Pero, al igual que el resto de los correos electrónicos, este también merece una consideración especial.

La variante más común de correo electrónico malicioso que ronda estos días cuenta con una frase romántica en el asunto, un icono con forma de corazón en el cuerpo y un adjunto, un documento ZIP que se suele llamar Love_You seguido de varios dígitos. Si extraes y ejecutas el archivo JavaScript que contiene, descargará el ransomware GandCrab.

Entonces, te dirigirá a una nota que te informará que todos los datos de tu ordenador han sido cifrados y que puedes pagar el rescate (normalmente en bitcoins) para recuperarlos. Los atacantes ponen a disposición de los usuarios que no estén familiarizados con las criptomonedas una ventana de chat en vivo para enseñarte cómo comprar la cantidad necesaria y pagar el rescate.

Ransomware para empresas

En el 2017 se lanzó un parche de seguridad que solucionaba una vulnerabilidad en una herramienta utilizada para sincronizar datos entres dos sistemas de gestión para empresas informáticas. Pero no todos instalaron el parche y los que quedaron desprotegidos son el objetivo actual de GandCrab, que cifra todos los ordenadores a su alcance.

Este error de seguridad permite a los ciberdelincuentes generar nuevas cuentas de administrador y, desde ahí, enviar comandos para instalar el ransomware en los endpoint que gestione. En otras palabras, cifran las maquinas de los clientes de la compañía atacada y solicitan una recompensa (siempre en criptomonedas).

Ransomware para precavidos (todos)

¿Cuántos de nosotros abriría el archivo adjunto de un correo electrónico si dice que es un mapa actualizado de la salida de emergencia de tu trabajo? ¿Incluso aunque proceda de una dirección desconocida? Lo más probable es que lo abriéramos bastantes. A fin de cuentas, casi nadie recuerda el nombre de los responsables de seguridad.

Los atacantes comenzaron a aprovecharse de esta oportunidad y enviaron correos maliciosos con un archivo Word adjunto. Quienes descargaron el documento solo vieron el título (Mapa de salida de emergencia) y el botón para habilitar el contenido. Al hacer clic, instalaron el ransomware GandCrab.

Ransomware para pagadores

Otra táctica utiliza un correo electrónico para simular una factura o una confirmación de pago disponible para su descarga desde WeTransfer. El enlace normalmente dirige a un documento ZIP o RAR con contraseña. Te haces una idea de lo que hay dentro del archivo, ¿verdad?

Ransomware para italianos

Otra variante puede utilizar una “solicitud de pago” en forma de un archivo adjunto en Excel. Si intentas abrirlo, una ventana te advertirá de que no puedes previsualizarlo online y te sugerirá que hagas clic en Habilitar edición y Habilitar contenido.

Lo curioso es que este ataque online en específico solo se lleva a cabo en Italia (al menos por el momento). Si haces clic en los botones requeridos, activarás un script que comprobará si tu ordenador está en Italia, basándose en el lenguaje administrativo del sistema operativo.

Si no estás en Italia, no pasa nada, pero si sí, te enfrentas al sentido del humor del atacante representado por la imagen de Super Mario Bros.

Esta imagen de Mario contiene código malicioso que descarga malware

La imagen, descargada cuando haces clic para ver el contenido del archivo, contiene código PowerShell malicioso y comienza a descargar malware. De momento los investigadores desconocen cuál en concreto: GandCrab, que cifra tus datos, o Ursnif, que roba tus credenciales bancarias y de cuentas online. Sinceramente, carece de importancia, lo importante es el método de entrega del malware, aunque esto también evoluciona continuamente.

Cómo mantenerte a salvo

Son muchos los que distribuyen GandCrab, estamos hablando de ransomware como servicio, desarrollado por un equipo de ciberdelincuentes y adquirido por otros que intentan cifrar tantos objetivos como sea posible. Pero, a pesar de las diferencias en los métodos de entrega, podrás protegerte contra GandCrab siguiendo estos consejos de ciberseguridad:

  • Cuando recibas un correo electrónico inesperado, intenta asegurarte de que es un mensaje auténtico antes de abrir el adjunto. Por ejemplo, llama al remitente.
  • Ten siempre a mano copias de seguridad probadas y de confianza de tus datos principales, de esta forma podrás restaurarlos en caso de emergencia.
  • Utiliza un buen paquete de seguridad para garantizar que el ransomware no infecte tu equipo.

Esto debería ser suficiente para no tener que enfrentarte a GandCarb, pero si tu ordenador ya está cifrado, siempre puedes minimizar los daños de este ransomware:

  • Es posible que puedas recuperar tus archivos de una forma totalmente gratuita, utiliza la herramienta de descifrado en la página web del proyecto No More Ransom. Algunas versiones de GandGrab tienen fallos que permiten el descifrado.
  • Antes de descargar e iniciar la herramienta de descifrado, utiliza una solución antivirus de confianza para eliminar el ransomware de tu dispositivo, si no el malware seguirá bloqueando el sistema o cifrará archivos.