SOBRE LA JUBILACION DE LOS CREADORES DEL RANSOMWARE GANDCRAB

Si bien no hay que confiar en ellos, la verdad es que yo tambien me lo pensaría despues de cobrar “mas de dos mil millones de dólares y un promedio de dos millones y medio por semana de sus víctimas” …

Aunque hoy hemos pasado a conocer otra variante de este ransomware, que pasamos a controlar a partir del ELISTARA 41.43 de hoy, a saber:

total.com/gui/file/5dde3386e0ce769bfd1880175168a71931d1ffb881b5050760c19f46a318efc9/detection

Añadiendo la extensión “.ay31dut49” a los ficheros cifrados, y con la consiguiente pantalla del pretendido rescate:

_____________

—=== Welcome. Again. ===—

[+] Whats Happen? [+]

Your files are encrypted, and currently unavailable. You can check it: all files on you computer has expansion ay31dut49.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).

[+] What guarantees? [+]

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities – nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service – for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise – time is much more valuable than money.

[+] How to get access on website? [+]

You have two ways:

1) [Recommended] Using a TOR browser!
a) Download and install TOR browser from this site: https://torproject.org/
b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/8C29EAEE50EE3C61

2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
b) Open our secondary website: http://decryptor.top/8C29EAEE50EE3C61

Warning: secondary website can be blocked, thats why first variant much better and more available.

When you open our website, put the following data in the input form:
Key:

3JtXHgxgy7j+malXWM9GP7gCmdJJqil9Vu5WD7lSIWNmQYwrZeTElAgoWfvZwFSP
0xtDffEaLShv3CJRjRAnhncauBoYNIaFpG7NVrZmr/K+NxN4QNYwLch6SaHhYG3l
FTp4CwieslgUThjB1bwLhEJ+i7staORrlytjecz6w8cC5/FHeGUPJu/ZQtpZpdEV
NNYj5CaTl3pskUVM3JKdNOwdMw51Ub5iEOON2iONUXAj6GQVBEUtfEhCt0kdMdE/
6V05UJIJKyC9YbiODco0aVCn6sYp01wLE5VvGJRAcldtIUJqknPJLJx0xXykMerL
74SGOsU4ejLASV0JHGt762NK3HVgR0+lOGcdU0SemPDkQVIWuBZMT+tWGUXLghiY
R79RUm/XRxLFRAwziGPUE1Ipk/K4nqdLriJFVf+9aM4v5DOYX7ZnuasW6iAoFxJJ
+O1giFwwn+sZT2A7iTMhZQbvlbGEN9J0P7nbkZgSs4PfOec0aFXMiNnDps18RBME
64HxKjHW+Tfri6/A6jymUW7jYJ8NBs9S5AoEa67EcS+Fm9wBlRroURksUxYTMPu/
2ekvvSHmZfR1auxIM47R24o34y63Oo9mU0arvNeXGqKDAUFI05oXH/7kN/sMEkwz
KQToiqtcxPuqPbl/eYNZ8Vp5UV1EDjyo6nXzQqFzbil/rQxjYQgnbuotjcu2kXPB
eELuqmkWV/K1WuaxdP+t64Bw0dwja8mth0d3PlNGoYmwlyi4GBjutPFpSOqpbXs8
8HQfmFCEOkLFYvV/K2zEgajwIz+HxO4u1pXvX/vXDEwkPYFY9tBNzpIvAuV3iG9A
ah1L6hV9XdDaFgyp25CK5iNryZYbeEQ6bAVSB461t8dDSGZl39ULapD0WQJoewEY
c0VbeEUOOP/R4Bk1OStcJzD7PrYlnTSP88GeG+3poxRoUBbDd/KaBlGunIxwcVIt
a3pAt/3RYC/BCaXmeSTo5opSiVbSlJzRuc7pvSpTQmlDrale/icINsSgGxMNZJCK
qh6szIwXJ+/XARzK379InD+PNUS2DfZ+ws5Np+Toe6hI/MXLSZoqLul2pEQtJ8ew
JfERa2txy1ucSRIHR/wMoRN+W0FqTKBGrpE1kre2TVRKeXQfs3GH2a/Q6QEElfOn
s9Li32T2gLCW6k8ztwcW3XCqaqWkh42u34NFELOeQFwNNkV2JAT+njAhH+TtXTUr
wl0dnCZU/prK9819gmcR2rr3iJ51neDrKiM=

Extension name:

ay31dut49

—————————————————————————————–

!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions – its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!
___________

Pero esto es lo que dicen sobre que ya tienen suficiente :

Los desarrolladores del ransomware GandCrab anunciaron que dejarán de operar
Según comunicaron los desarrolladores del ransomware GandCrab, luego de recaudar una millonaria suma de dinero de las víctimas, dejarán de operar

Hacia fines de enero de 2018 los cibercriminales detrás del ransomware GandCrab comenzaron a promocionar el malware y en poco tiempo se posicionó entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis; aunque con la particularidad también de ser un malware que recibió una gran cantidad de actualizaciones en un corto período de tiempo. Sin embargo, luego de aproximadamente un año y medio de actividad, sus operadores comunicaron que darán de baja esta familia de ransomware.

Fuente: Twitter@Damian1338B

Es importante destacar que GandCrab se distribuía hasta ahora como un ransomware como servicio (RaaS), por lo que los operadores de esta familia ofrecían a los interesados la posibilidad de participar de un “programa de partners” y dividir
las ganancias.

Si bien, tal como se aprecia en la captura de pantalla que compartió el investigador en seguridad Damian, los operadores de GandCrab aseguran que obtuvieron ganancias de más de dos mil millones de dólares y un promedio de dos millones y medio por semana de sus víctimas, la veracidad de estas afirmaciones son imposibles de confirmar; más aun teniendo en cuenta que las bromas y la ironía es algo que ha caracterizado a los actores detrás de esta familia de ransomware en sus comunicados y en otras instancias de su accionar.

Igualmente, algo que sí podemos asegurar es que rápidamente se metió entre las familias de ransomware con más detecciones en la región, y para el mes de agosto de 2018, cinco países de América Latina figuraban entre los diez países en los que más detecciones se habían registrado de esta amenaza a nivel mundial. Estos eran: Perú (45,2%), México (38%), Ecuador (17,2%), Colombia (9,9%) y Brasil (8,7%).

La forma de distribuirse ha sido muy diversa. Si bien a nivel global se detectaron campañas de spam distribuyendo la amenaza a través del correo, en América Latina, al menos durante los primeros cuatro meses, utilizaron técnicas de ingeniería social para engañar a sus víctimas con la excusa de ser una actualización de fuentes para el sistema operativo. Sin embargo, el salto en las detecciones de esta familia en la región se registró meses después, cuando los cibercriminales comenzaron a utilizar aplicaciones para crackear programas de distinto tipo, desde editores de texto o multimedia hasta videojuegos, tal como vimos en el primer análisis que realizamos de esta familia.

En su comunicado, publicado en un conocido foro de hacking, los actores maliciosos detrás de este ransomware dicen que ya dejaron de promocionar el malware y que solicitaron a quienes lo distribuyen que dejen de hacerlo en un plazo de 20 días desde la publicación del anuncio. Además, advierten a las víctimas que si no pagan ahora para recuperar sus archivos nadie podrá recuperarlos luego, ya que las llaves serán eliminadas.

Muchas veces sucede que cuando cibercriminales deciden descontinuar una amenaza, como un ransomware, deciden publicar la llave maestra de manera pública. Esto permite crear herramientas para descifrar los archivos que fueron afectados por una familia en particular, tal como fue el caso de TeslaCryp, cuando gracias a que publicaron la llave maestra los investigadores de ESET pudieron crear una herramienta de descifrado para las víctimas del ransomware. En el caso de GandCrab aún no sabemos qué pasará. Si bien los responsables de esta familia dicen que vencido el plazo las llaves se eliminarán, no sabemos si se trata de un engaño para que las víctimas paguen por el rescate sabiendo que existe el riesgo de que con el cierre también se irán las llaves de descifrado.

Ver información original al respecto en Fuente>

Comentario:

Y si es verdad que se retiran, tanto mejor !!!

Esperando que lo indicado les será de utilidad, reciban saludos

saludos

ms, 5-6-2019