AhnLab una empresa de ciberseguridad con sede en Corea del Sur ha lanzado una aplicación de vacuna que bloquea el ransomware de GandCrab para que no arraigue y encripte los archivos de los usuarios.
Esta aplicación de vacuna funciona al crear un archivo especial en las computadoras de los usuarios que el ransomware de GandCrab revisa antes de cifrar los datos del usuario.
Este archivo se llama [hexadecimal-string] .lock y se guarda en las siguientes ubicaciones.
- Win XP: C:\Documents and Settings\Todos los usuarios\Datos de la aplicación
- Win 7, 8, 10: C:\ProgramData
Trucos de la aplicación de vacunas GandCrab ransomware
La ID hexadecimal se genera en función de la información de volumen de la computadora del disco raíz y de un algoritmo personalizado de Salsa20, y es única por usuario.
GandCrab crea este archivo para saber si una computadora ya ha sido infectada e impide que los usuarios ejecuten el ejecutable de ransomware dos veces y el doble cifrado y la destrucción permanente de sus datos.
La aplicación de la vacuna AhnLab puede crear este archivo por adelantado, antes de que un usuario pueda infectarse, por lo tanto, engaña al ransomware para que crea que ya ha bloqueado los datos de la víctima.
Solo funciona con GandCrab v4.1.2
Lamentablemente, esta aplicación de vacuna solo funciona con la última versión del ransomware de GandCrab, versión 4.1.2, la versión que se distribuye actualmente en estado salvaje desde esta semana, 17 de julio.
La adición de este mecanismo de archivo .lock parece haberse agregado con el lanzamiento de GandCrab v4, a principios de julio, como se detalla en este análisis de Fortinet.
Si bien la aplicación de la vacuna actual bloquea GandCrab v4.1.2, también es posible respaldar la aplicación y evitar que las versiones anteriores de GandCrab v4 infecten también a los usuarios.
Esto se debe a que las versiones anteriores de GandCrab usaban incluso un método más simple para crear el archivo .lock. "Antes simplemente se cambiaba el número de serie del volumen correcto", dijo el equipo de Fortinet en Twitter.
Los usuarios pueden descargar la aplicación de vacunas GandCrab 4.1.2 de AhnLab desde aquí.
El ransomware de GandCrab se ha convertido lentamente en la cepa de ransomware más extendida actualmente en uso. La versión 4.1.x, en particular, recientemente ha captado algunos titulares.
A principios de mes, los investigadores de seguridad detectaron que GandCrab agregó soporte para el exploit de la NSA EternalBlue, sugiriendo que el ransomware podría usarlo para propagarse a otras computadoras cercanas en la misma red a través del protocolo SMB. Pero en un informe posterior , Fortinet dijo que esta rutina de autopropagación no parece ser utilizada por el ransomware en absoluto.
Los autores de GandCrab también han continuado con su hábito de mencionar los nombres de los investigadores de seguridad en el código fuente del ransomware. Mientras que Fabián Wosar de Emsisoft fue nombrado en v3 e investigador de seguridad independiente Daniel J. Bernstein en v4 , ahora están haciendo referencia a Fortinet y AhnLab en v4.1.2.
Fecha actualización el 2021-07-19. Fecha publicación el 2018-07-19. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer