Vacuna para GandCrab Ransomware v4.1.2

El ransomware GandCrab asigna la extensión .GDCB o .CANGREJO a los archivos que encripta.
Se distribuye a través de correos electrónicos de spam y archivos adjuntos a los mismos. Por lo general se presentan como archivos pdf comprimidos pero en realidad contiene archivos de infección .js.

AhnLab publicó una vacuna que bloquea el ransomware GandCrab para que no pueda encriptar los archivos del usuario.

Esta vacuna engaña a este ransomware porque crea un archivo especial en la máquina igual al archivo que chequea el ransomware GandCrab antes de encriptar los datos del usuario víctima.

Se crea el archivo [hexadecimal-string].lock el cual se almacena en los siguientes directorios:

  • Win XP: C:\Documents and Settings\All Users\Application Data
  • Win 7, 8, 10: C:\ProgramData

El valor hexadecimal es único para cada usuario y se genera a partir de la información del disco raíz y un algoritmo personalizado Salsa20.

GandCrab crea este archivo para identificar si esa máquina ya fue infectada y evitar que se vuelva a encriptar la información, ya que al parecer esta doble acción destruiría los datos de forma permanente.

Los usuarios pueden bajar la vacuna de AhnLab para GandCrab 4.1.2 desde:
http://asec.ahnlab.com/1145

Referencias:
https://www.bleepingcomputer.com/news/security/vaccine-available-for-gandcrab-ransomware-v412/
https://sensorstechforum.com/es/gandcrab-ransomware-removal-restore-gdcb-files/