Endesa factura falsa virus correo – Cryptolocker/Locky ransomware

Los clientes de Endesa, la compañía eléctrica líder en España, han estado expuestos a una campaña de ingeniería social a gran escala que se instala una muestra de crypto ransomware. Esta farsa, aun en curos, se basa en facturas falsas enviadas a miles de clientes de Endesa. Una vez abiertas, estas facturas descargan automáticamente una variante de CryptoLocker o Locky, que de manera directa encripta los archivos personales del usuario

Un atributo importante de la evolución ransomware es que la propagación de estas cripto-infecciones es cada vez más focalizada. Como se mencionó anteriormente, el reciente incidente afecta a los usuarios de computadoras en España, en específico a aquellos que tienen una relación contractual con el renombrado proveedor de electricidad. Sus clientes han estado recibiendo mensajes de correo electrónico enmascarados como facturas de Endesa por servicios consumidos previamente. El remitente de estos correos electrónicos falsos es “Factura electrónica de Endesa”, mientras que las facturas originales deberían ser enviadas por “Endesa Online”. Estos mensajes falsos llevan a los usuarios a descargar un archivo llamado ‘ENDESA_FACTURA.zip’. El archivo contiene un objeto JavaScript (.js) oculto, el cual lleva a cabo la ejecución de una instancia de ransomware de encriptación de archivos en la máquina.

Facturas falsas enviadas por correo electrónico a nombre de Endesa

El programa malicioso que circula a través de este intrincado esquema es, de acuerdo con informes, una edición del infame CrypLolocker o una versión de Locky, otra plaga sumamente extendida en el mismo ámbito de software malicioso. Lo que hace es que escanea lateralmente el disco duro de la computadora, los dispositivos externos y recursos compartidos de red en busca de elementos de datos con extensiones específicas. De esta manera obtiene una lista de los archivos personales de la víctima, incluyendo todo tipo de documentos de Microsoft Office, diferentes entidades multimedia, imágenes, bases de datos y otros objetos de valor. Una vez que la lista está terminada, el ransomware utiliza una combinación de sistemas criptográficos RSA y AES para encriptar la información.

Endesa_Factura.zip adjunto en el correo de phishing

El impacto negativo afecta tanto a la accesibilidad de la información del usuario como a los nombres de los archivo. A los archivos mutilados se les añade la extensión .encrypted. Además, el Troyano crea las llamados notas de rescate dentro de cada carpeta con estos archivos, dejando también una copia en el escritorio. De acuerdo con las demandas de los extorsionadores, el usuario puede recuperar su información sensible mediante el envío de una cierta cantidad de bitcoins a la cartera privada mencionada en las notas. La suma del rescate puede depender del número de equipos infectados en una red – si ese es el caso – pero ronda por lo general en el rango de 1-1,2 BTC.

Desafortunada pero previsiblemente, uno no puede estar seguro de que los delincuentes proporcionarán el descifrador después de recibir el pago. Por si fuera poco, hay demasiada entropía en el sistema de cifrado como para recuperar la clave privada de descifrado con las herramientas disponibles generalmente. En este predicamento, la restauración de las versiones anteriores de archivos a través de VSS (Volume Shadow Copy Service) y el uso de software forense especialmente diseñado podrían ser de ayuda.

¿Cómo remover el ransomware de Endesa?

Remoción del virus por email falso de Endesa

La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.

  • y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .

  • El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.

¿Cómo restaurar archivos cifrados?

Solución 1: Utilizar software recuperador de archivos

Stellar Data Recovery boxEs importante saber que el ransomware Endesa crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.

Descargar Stellar Data Recovery

Stellar Data Recovery

Solución 2: hacer uso de copias de seguridad

En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.

Solución 3: Utilizar copias de volumen de sombra

En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.

  • Utiliza las Versiones anteriores

    El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.

    Versiones anteriores

  • Aplicar la herramienta ShadowExplorer

    Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.

    ShadowExplorer

Verifique si el virus de phishing Endesa ha sido completamente removido

Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.

Últimas guías

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí