[KB7049] Resolver una infección GandCrab usando la heramienta ESET GandCrab

Problema

  • Su producto ESET product detectó una infección de Win32/Filecoder.GandCrab
     
  • Descifrar variantes específicas de sus archivos utilizando la herramienta ESETGandCrabDecryptor.exe (Actualmente solo alrededor de 970 claves lanzadas para víctimas de Syrian se encuentran soportadas)
     
  • Sus archivos fueron encriptados
     
  • Sus archivos fueron renombrados con uno de las siguientes extensiones: .GDCB, .CRAB, .KRAB, o .CARACTERES_AL_AZAR
     
  • Aparece uno de los siguientes mensajes en el fondo de su Escritorio o en un archivo .txt o .html:

    - "Attention! All your files documents, photos, databases and other important files are encrypted and have the extension..."

Figura 1-1

Haga clic en +Detalles para conocer más al respecto y ver imágenes adicionales asociadas el ransomware

Detalles

Win32/Filecoder.GandCrab es un troyano que encripta archivos en unidades locales. A los usuarios se les comunica que deben descargar e instalar el navegador Tor (comunmente conocido por su uso en la Dark Web), enviar información y realizar un pago utilizando el servicio de pago por Bitcoin o Dash para poder desencriptar los archivos.

Galería de imágenes

Solución

  1. Descargue la herramienta ESET GandCrab y almacene el archivo en el Escritorio.

    ESETGandCrabDecryptor.exe
     
  2. Haga clic en InicioTodos los programas Accesorios, haga clic derecho en Símbolo del sistema y luego seleccione ejecutar como administrador dentro del menú contextual.
    • Usuarios de Windows 8 / 8.1 / 10: presione la tecla de Windows + Q para buscar aplicaciones, escriba Símbolo del sistema dentro del campo de búsqueda, haga clic derecho en Símbolo del sistema y luego seleccione Ejecutar como administrador dentro del menú contextual.
       
  3. Ingrese (o copie/pegue) el comando cd %userprofile%Desktop (no reemplace "userprofile" con su nombre de usuario–escríbalo exactamente como se muestra) y luego presione Enter.
     
  4. Escriba ESETGandCrabDecryptor.exe y presione Enter.
     
  5. Lea y acepte el acuerdo de licencia del usuario final.
     
  6. Ingrese ESETGandCrabDecryptor.exe C: y presione Enter para explorar la unidad C. Para explorar una unidad diferente reemplace C: por la letra correspondiente.

Variables para usar con GandCrabDecryptor

En la mayoría de los casos, ejecutar la herramienta ESET GandCrab como se muestra en el paso 6 es la mejor opción. De todas maneras, si le resulta familiar el uso de línea de comandos, se encuentran disponibles las siguientes variables para ser utilizadas con GandCrabDecryptor:

  • /s— ejecuta la herramienta en modo silencioso
  • /f— ejecuta la herramienta en modo forzado
  • /d— ejecuta la herramienta en modo de depuración
  • /n— ejecuta la herramienta y solo lista los archivos a ser desinfectados
  • /h or /? — muestra el uso
  1. La herramienta ESET GandCrab ejecutará y aparecerá el mensaje "Looking for infected files...". Si se descubre una infección, siga las instrucciones de la herramienta ESET GandCrab para limpiar su sistema.

Figura 1-2

En caso de que persista alguna duda, por favor contacte a nuestro Equipo de soporte.