Cómo eliminar GANDCRAB V4 y recuperar archivos .KRAB

¿Qué es el ransomware Gandcrab v4?

La semana pasada se detectó una nueva versión del ransomware Gandcrab; cambia la extensión .KRAB a archivos cifrados y deja notas de descifrado llamadas KRAB-DECRYPT.txt en cada carpeta. El contenido de KRAB-DECRYPT.txt:

- = GANDCRAB V4 = -
¡Atención!
Todos sus archivos, documentos, fotos, bases de datos y otros archivos importantes están encriptados y tienen la extensión: .KRAB
El único método para recuperar archivos es comprar una clave privada única. Solo nosotros podemos darte esta clave y solo nosotros podemos recuperar tus archivos.
El servidor con su clave está en una red cerrada TOR. Puede llegar de las siguientes formas:
------------------------------
| 0. Descarga el navegador Tor - https://www.torproject.org/
| 1. Instale el navegador Tor
| 2. Abra el navegador Tor
| 3. Abra el enlace en el navegador TOR:
| 4. Siga las instrucciones de esta página.
------------------------------
En nuestra página, verá instrucciones sobre el pago y tendrá la oportunidad de descifrar 1 archivo de forma gratuita.
¡ATENCIÓN!
PARA PREVENIR DAÑOS EN LOS DATOS:
* NO MODIFIQUE ARCHIVOS CIFRADOS
* NO CAMBIE LOS DATOS A CONTINUACIÓN
[...]

El ransomware es un tipo de malware que restringe el acceso de las víctimas a sus datos y exige dinero para devolverlos. En la actualidad, la mayoría de los ransomware cifran los archivos importantes de los usuarios (documentos, imágenes, bases de datos, etc.) con un método de cifrado sólido, y la única forma de descifrarlos es utilizando la clave de descifrado que se almacena en los servidores de los autores de ransomware y es individual para cada caso. víctima. A veces, los descifradores gratuitos están disponibles, pero eso no es una garantía: los investigadores de seguridad siempre analizan nuevas variantes de ransomware para intentar encontrar alguna vulnerabilidad que les permita descifrar archivos, pero a menudo no tienen éxito. En el caso de Gandcrab, se ha descubierto que la primera variante es descifrable, sin embargo, en la segunda versión se ha corregido esa vulnerabilidad. Hasta ahora no hay forma de descifrar archivos .KRAB de forma gratuita, pero existen métodos de recuperación de archivos que pueden tener éxito en algunos casos.

Actualización (30 de octubre de 2018): La empresa de antivirus Bitdefender desarrolló y lanzó un descifrador para las versiones 1, 4 y 5 de Gandcrab.

Cómo quitar Gandcrab v4 Ransomware

Si tiene copias de seguridad en funcionamiento de sus archivos cifrados o no va a intentar recuperar los archivos perdidos, escanee su computadora con uno o varios programas antivirus y antimalware o reinstale el sistema operativo por completo.

Algunas alternativas:

Norton (Windows, macOS, iOS, Android) Es posible que el enlace no funcione correctamente si su país se encuentra actualmente bajo sanciones.
Norton (Windows, macOS, iOS, Android) Es posible que el enlace no funcione correctamente si su país se encuentra actualmente bajo sanciones.

Sin embargo, si desea probar todas las formas posibles de recuperar archivos cifrados, incluidas las herramientas de recuperación de datos, le sugiero que use estas herramientas primero y luego escanee con anti-malware. Saltar a la explicación

Cómo recuperar archivos cifrados por Gandcrab v4 ransomware

Si desea recuperar archivos cifrados por ransomware, puede intentar descifrarlos o utilizar métodos de recuperación de archivos.
Formas de descifrar los archivos:

1. Póngase en contacto con los autores del ransomware. pagar el rescate y posiblemente obtener el descifrador de ellos. Esto no es confiable: es posible que no le envíen el descifrador en absoluto, o puede que esté mal hecho y no pueda descifrar sus archivos.
2. Espere a que los investigadores de seguridad encuentren alguna vulnerabilidad en el ransomware eso le permitiría descifrar archivos sin pagar. Este giro de los acontecimientos es posible, pero no muy probable: de miles de variantes de ransomware conocidas, solo se descubrió que docenas se podían descifrar de forma gratuita. Puedes visitar NoMásRansom sitio de vez en cuando para ver si existe un descifrador gratuito para Gandcrab v4.
3. Utilice servicios de pago para el descifrado. Por ejemplo, proveedor de antivirus Dr. Web ofrece sus propios servicios de descifrado. Son gratuitos para los usuarios de Dr.Web Security Space y algunos otros productos de Dr. Web si Dr. Web se ha instalado y se está ejecutando en el momento del cifrado (mas detalle). Para los usuarios de otros antivirus, el descifrado, si se considera posible, costará 150 €. Según las estadísticas de Dr. Web, la probabilidad de que puedan restaurar archivos es aproximadamente del 10%.

Otras formas de recuperar archivos cifrados:

1. Reinstalar desde el respaldo. Si realiza copias de seguridad periódicas en un dispositivo separado y comprueba de vez en cuando que estén en buen estado y que los archivos se puedan restaurar con éxito, bueno, probablemente no tendrá ningún problema para recuperar sus archivos. Simplemente escanee su computadora con un par de antivirus y programas anti-malware o reinstale el sistema operativo, y luego restaure desde la copia de seguridad.
2. Recuperar algunos archivos del almacenamiento en la nube (DropBox, Google Drive, OneDrive, etc.) si tiene uno conectado. Incluso si los archivos cifrados ya se sincronizaron con la nube, muchos servicios en la nube mantienen las versiones antiguas de los archivos alterados durante algún tiempo (generalmente 30 días).
3. Recupere copias de volumen de sombra de sus archivos si están disponibles, el ransomware generalmente intenta eliminarlos también. Volume Shadow Copy Service (VSS) es una tecnología de Windows que crea periódicamente instantáneas de sus archivos y le permite revertir los cambios realizados en esos archivos o recuperar archivos eliminados. VSS está habilitado junto con Restaurar sistema: está encendido de forma predeterminada en Windows XP a Windows 8 y deshabilitado de forma predeterminada en Windows 10.
4. Utilice un software de recuperación de archivos. Es probable que esto no funcione para las unidades de estado sólido (SSD: es un tipo de dispositivo de almacenamiento de datos más nuevo, más rápido y más caro), pero vale la pena intentarlo si almacena sus datos en una unidad de disco duro (HDD: más antiguo y más común hasta ahora dispositivo de almacenamiento). Cuando elimina un archivo de su computadora, y me refiero a eliminar por completo: use Shift + Del o vacíe la Papelera de reciclaje, en SSD se borra de la unidad de inmediato. Sin embargo, en el disco duro, se marca como eliminado y el espacio que ocupa en un disco duro, como disponible para escribir, pero los datos todavía están allí y, por lo general, se pueden recuperar con un software especial. Sin embargo, cuanto más use la computadora, especialmente si hace algo que escribe nuevos datos en el disco duro, más posibilidades hay de que su archivo eliminado se sobrescriba y desaparezca para siempre. Por eso, en esta guía intentaremos recuperar archivos borrados (como recordarás, el ransomware crea una copia encriptada de un archivo y borra el archivo original) sin instalar nada en un disco. Solo sepa que esto podría no ser suficiente para recuperar sus archivos con éxito; después de todo, cuando el ransomware crea archivos cifrados, escribe nueva información en un disco, posiblemente sobre los archivos que acaba de eliminar. En realidad, esto depende de cuánto espacio libre haya en su disco duro: cuanto más espacio libre, menos posibilidades hay de que los datos nuevos sobrescriban los datos antiguos.

Yendo más allá, necesitamos 1) evitar que el ransomware encripte los archivos que recuperamos, si el malware aún está activo; 2) intente no sobrescribir los archivos eliminados por ransomware. La mejor manera de hacerlo es desconectar su disco duro y conectarlo a otra computadora. Podrá navegar por todas sus carpetas, escanearlas con programas antivirus, usar software de recuperación de archivos o restaurar datos de instantáneas de volumen. Aunque es mejor descargar todas las herramientas que necesitará de antemano y desconectar la computadora de Internet antes de conectar el disco duro infectado, solo para estar seguro.
Desventajas de este método:

• Esto podría anular su garantía.
• Es más difícil de hacer con las computadoras portátiles y necesitará un estuche especial (caja de disco) para colocar un disco duro antes de conectarlo a otra máquina.
• Es posible infectar la otra computadora si abre un archivo de la unidad infectada antes de escanear la unidad con AV y eliminar todo el malware encontrado; o si todos los antivirus no encuentran y eliminan el malware.

Otra forma más fácil es cargar en modo seguro y realizar todas las medidas de recuperación de archivos desde allí. Sin embargo, eso significará usar el disco duro y posiblemente sobrescribir algunos datos. En este caso, es preferible usar solo versiones portátiles de software de recuperación (las que no requieren instalación), descargarlas en un dispositivo externo y guardar los archivos recuperados en un dispositivo externo también (disco duro externo, unidad de memoria USB, CD , DVD, etc.).

Arrancar en modo seguro:

Windows XP, Windows Vista, Ventanas 7:

1. Reinicia la computadora.
2. Una vez que vea una pantalla de inicio, toque F8 continuamente hasta que aparezca una lista de opciones.
3. Con las teclas de flecha, seleccione Modo seguro con funciones de red.
4. Prensa Participar.

8 de Windows, 8.1 de Windows, Ventanas 10:

1. Sujetar Windows clave y golpear X clave.
2. Seleccione Apagar o cerrar sesión.
3. Prensa Shift tecla y haga clic en Reanudar.
4. Cuando se le solicite que elija una opción, haga clic en Opciones avanzadas => Configuración de inicio.
5. Haga Clic en Reanudar en la esquina inferior derecha.
6. Después de que Windows se reinicie y le ofrezca una lista de opciones, presione F5 para seleccionar Habilitar el modo seguro con funciones de red.

Haga una copia de seguridad de sus archivos cifrados

Siempre es recomendable crear una copia de los archivos cifrados y guardarla. Eso podría ayudarlo si el descifrador de ransomware gratuito está disponible en el futuro, o si decide pagar y obtener el descifrador, pero algo sale mal y los archivos se dañan irreparablemente en el proceso de descifrado.

Utilice herramientas de recuperación de archivos para recuperar archivos

Stellar Windows Data Recovery Professional es un software de recuperación de datos de Windows fácil de usar para recuperar documentos perdidos, correos electrónicos, fotos, videos y muchos más desde HDD, USB, tarjeta de memoria, etc.
Descarga Stellar Data Recovery

Captura de pantalla:


Acerca de Stellar Data Recovery

R-Recuperar


Recuperación de archivos Puran


Recupere archivos cifrados a partir de instantáneas.

La forma más sencilla de acceder a Shadow Volume Copies es mediante una herramienta gratuita llamada Shadow Explorer. Simplemente descargue la última versión e instálela (o descargue la versión portátil).

1. Inicie Shadow Explorer.
2. En la parte superior izquierda de la ventana, puede seleccionar un disco (C: \, D: \, etc.) y una fecha en la que se tomó una instantánea de los archivos.
3. Para recuperar un archivo o carpeta, haga clic derecho sobre él y seleccione Exportar….
4. Elija dónde desea colocar los archivos.

Quitar Gandcrab v4 Ransomware

Ahora que tiene sus archivos recuperados o aún cifrados en un dispositivo externo, es hora de escanear su computadora con software antivirus y anti-malware o, mejor aún, reinstalar el sistema operativo, para deshacerse por completo de posibles rastros de ransomware. ¡Recuerde también escanear su dispositivo externo antes de volver a poner archivos en su computadora!

Descargar SpyHunter