GandCrab es un ransomware que cifra los archivos y les agrega su propia extensión, haciéndolos inutilizables. Una vez que tenga un sistema, cambiará el fondo de escritorio a una imagen de nota de rescate y mostrará una nota de rescate HTML en el navegador predeterminado de la víctima. El mensaje de rescate explica que las víctimas deben pagar en criptomonedas para recuperar sus archivos.
Este malware se propaga a través de kits de exploits, que son paquetes plug-and-play de tecnologías diseñadas para aprovechar las debilidades o vulnerabilidades en un sistema objetivo. Este kit utiliza un script de PowerShell para descargar un archivo malicioso que luego instala el ransomware GandCrab. También se sabe que GandCrab se propaga mediante el uso de alertas falsas de actualización de software que pretenden ser de proveedores de software legítimos.
Una vez que GandCrab está en una máquina infectada, escanea las letras de unidad en busca de tipos de archivos específicos y los cifra. Una vez que se crea un archivo cifrado, obtiene una extensión .krab o.crab, mientras que la versión más reciente agrega una extensión aleatoria de cinco letras. GandCrab es extremadamente activo y crea contramedidas casi al instante, lo que significa que constantemente surgen nuevas versiones.
El equipo de investigación de Malwarebytes informa que las detecciones de GandCrab están en declive, aunque otros ransomware como Sodinokibi y Ursnif siguen causando dolores de cabeza a los consumidores y las empresas. La mejor manera de protegerse contra GandCrab y otros tipos de ransomware es pensar siempre antes de hacer clic en archivos adjuntos o enlaces en correos electrónicos sospechosos, y asegurarse de tener una buena copia de seguridad de sus datos.
