MavkSoft.es » Seguridad » Soporte » Troyano » Windows
Tags:

Falsa factura electrónica de Endesa con infección Ransomware

Comment

Seguridad Soporte Troyano Windows
Virus Endesa Ransomware

De nuevo podemos recibir una Falsa factura electrónica, en este caso de Endesa, con infección ransomware. Para lo que no conozcan este tipo de virus, lo que hace en nuestro sistema es ENCRIPTAR los datos a los cuales tiene acceso.

Se centra en archivos con datos importantes como son; base de datos, fotos, archivos word, excel y un largo etc. El problema es que dependiendo del tipo de encriptación puede ser imposible revertir el proceso por nuestra cuenta, obligándonos a pagar un «rescate» por los datos.

Cuando ya tenemos las infección en el equipo, el desarrollador del virus se encarga de mostrarnos de alguna forma, la cantidad económica a desembolsar y el proceso para realizar el pago por BitCoins, especificando una hora tope, que si se sobrepasa, el importe aumenta.

El correo tiene el siguiente contenido:
Factura falsa ENDESA

Al realizar click en CONSULTA TU FACTURA Y CONSUMO >, realizamos la descarga del archivo que contiene el virus:

Descarga de archivo adjuntoCuando abrimos el archivo encontramos que dentro hay otro archivo que se llama endesa_factura.js

Si ejecutamos este archivo es cuando contaminamos el ordenador, ya que es el que desencadena la encriptación de archivos. Es común que después de la infección veamos alguna pantalla como la siguiente en la que nos especifica la cantidad a pagar y el tiempo que tenemos para ello, aumentando dependiendo del tiempo que transcurra:
Imagen pago rescate CryptoLocker

Dependiendo del tipo de infección será posible revertir el proceso sin pagar, pero en la mayoría de los casos no queda otra que acceder a la extorsión. Todo depende del valor de los datos bloqueados.

Si podemos realizar un cambio en la configuración de nuestro equipo para evitar que, en un futuro, podamos ejecutar estos archivos y prevenir la infección. Porque si recordáis, hace relativamente poco, la misma infección usó un falso comunicado de Correos para conseguir que pulsaremos en el enlace e infectarnos de la misma manera.

El proceso para evitar que podamos ejecutar Scripts de Java o de Visual Basic sería crear un valor en el editor de registros para deshabilitarlo. Los pasos son los siguientes:

Los pasos son los siguientes:

Pulsamos la Tecla Windows + R, se abrirá la ventana de ejecutar y escribimos «Regedit» y luego a Aceptar:

Pulsamos Windows + R
Se abrirá la ventana principal de Editor de Registro, y tenemos que abrir la siguiente ruta:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings

Ventana principal Regedit
Pulsando con el botón derecho sobre la línea Windows Script Host, elegimos Nuevo y por último Valor de DWORD (32 bits):

Creamos el Valor Dword
  En el nombre escribimos «Enabled» y dejamos el valor en «0» para que quede deshabilitado.

Ya queda deshabilitado
Con este proceso queda deshabilitada la ejecución de Scripts, por lo que aunque pulsemos de forma accidental sobre el archivo infectado, no se ejecutará.

Un saludo y hasta la próxima.

Related posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies