Endesa: alerta de cryptolocker en su nombre, soluciónalo desde aquí.

La compañía eléctrica Endesa ha alertado de una campaña fraudulenta simulando avisos de factura de Endesa que invitan a descargarse la factura. Una vez abierto el mail, si haces “clic”, enlazas a una página con código malicioso que bloquea los archivos personales de los usuarios de ordenadores. Desde Endesa recomiendan no hacer clic en los enlaces de ningún eMail de factura que no cumpla que el remitente sea “Endesa Online”.

Este es el famoso Cryptolocker, una familia reciente de ransomware cuyo modelo de negocio (si, el malware es un negocio) se basa en la extorsión al usuario. Otro malware famoso que también se basa en la extorsión es el virus de la Policía, con el que había que pagar para poder recuperar el equipo. Pero a diferencia de este, el CryptoLocker se basa en el secuestro de los documentos del usuario y pedir un rescate por ellos (con tiempo límite para poder recuperarlos).

Numerosos usuarios se han visto afectados por este virus informático cuyos autores reclaman diferentes cantidades de dinero por desbloquear los archivos, en cantidades que oscilan entre los 300 y 600 euros. Al parecer, muchos usuarios habrían pagado a los piratas informáticos por recuperar sus archivos sin conseguirlo. Nunca lo conseguiréis, paguéis o no paguéis. La compañía eléctrica asegura que están llevando a cabo acciones contra los ciberdelincuentes.

La única forma de eliminarlo es contactar con CERTSI (CERT de Seguridad e Industria), donde os informarán de los pasos a seguir para eliminarlo de vuestro equipo, y que a contiuación os transcribo.

Manual de CERTSI para eliminación de Cryptolocker. 

Para desinfectar el equipo se deben realizar los siguientes pasos:

1. Reiniciar el equipo en modo seguro con funciones de red
• Windows XP / Windows 7:
  • presionar F8 (antes de que aparezca la pantalla de inicio de Windows) para entrar en el menú de opciones avanzadas de Windows
  • seleccionar la opción: «Modo seguro con funciones de red» (Safe Mode with Networking)
  
  
• Reinicio seguro con Windows 8 (Fuente ESET).
• Realizar una restauración de su sistema a un punto temporal anterior, cuando aún no estuviese bloqueado su equipo. Para ello se deben seguir las instrucciones de la web «OSI - Restauración del sistema».
Si no es posible restaurar el sistema o a pesar de haberlo realizado el problema persiste, se pueden seguir los pasos que se indican a continuación para eliminar el virus y recuperar los ficheros cifrados:

2. Determinar la versión de tu sistema operativo (32-bit o 64-bit) Microsoft Windows:
• Windows XP: hacer clic en Inicio, clic derecho en Mi PC y seleccionar Propiedades en el menú contextual.
  • si en la ventana aparece el texto Microsoft Windows XP x64 Edition Version la versión del sistema operativo será de 64-bit
  • si en la ventana aparece el texto Microsoft Windows XP Versión [Año] la versión del sistema operativo será de 32-bit
• Windows Vista y 7: hacer clic en Inicio y luego clic con el botón derecho del ratón en Equipo. Acceder a Propiedades en el menú contextual.
• Windows 8: haciendo clic con el botón derecho del ratón sobre la pantalla de inicio, diríjete a Todas las aplicaciones >Panel de control >Sistema.
3. Analizar y limpiar el virus con ESET Rogue Application Remover:
• descargar el analizador gratuito ESET Rogue Application Remover adecuado para tu sistema operativo y versión, y guárdalo en el Desktop
• ejecútalo haciendo doble clic sobre el icono o el fichero descargado, en el ejemplo ERARemover_x86.exe
• aceptar los Términos de la licencia software
• la herramienta comenzará a analizar el ordenador, avisando cuando encuentre CryptoLocker u otro malware; continuar hasta que elimine todo el malware


4. Para mayor seguridad analiza el sistema con otra herramienta, por ejemplo, Microsoft Malicious Software Removal Tool o alguna de las del listado de útiles gratuitos.
• descarga el analizador gratuito de Microsoft Malicious Software Removal Tool, la herramienta analiza el sistema para sugerir la versión adecuada para descargar 

 

• 
• hacer clic en el botón Descargar para que la descarga comience, guardar el fichero en el Desktop
• tras descargar el fichero, ejecútalo haciendo doble clic sobre el icono o el fichero
• la herramienta mostrará una ventana de bienvenida, hacer clic Siguiente
• a continuación solicita el tipo análisis, seleccionar Análisis completo para asegurarse que encuentra y elimina el virus CryptoLocker y otro malware
• esperar a que la herramienta Malicious Software Removal Tool termine el análisis
• al finalizar, la herramienta indicará todas las amenazas identificadas, elimínalas o bórralas todas
• una vez hecho puedes cerrar la herramienta y reiniciar el sistema
1. Aunque hayas eliminado el virus, tendrá algunos ficheros cifrados con Cryptolocker. A continuación indico un método para descifrarlos:
• descarga el fichero Panda Ransomware Decrypt pandaunransom.exe  y guarda el fichero en el Desktop
• tras descargar el fichero, ejecútalo haciendo doble clic sobre el icono o el fichero pandaunransom.exe, acepta los Términos de la licencia software
• verás una pantalla del programa Panda Ransomware Decrypt como la siguiente:
• a continuación, crea una carpeta «PandaTest» y copia alguno de los ficheros cifrados
• vuelve a la ventana del programa Panda Ransomware Decrypt y haz clic en el botón Select Folder y selecciona la carpeta creada
• hacer clic en el botón START para comenzar y esperar hasta que el proceso termine
• si la herramienta descifra los ficheros contenidos de la carpeta PandaTest, puedes ejecutar la herramienta sobre todos los ficheros y carpetas afectadas de tu equipo

Para evitar ser infectado por virus como éste, se pueden tomar las siguientes medidas:

• tener instalado un antivirus actualizado; se pueden encontrar antivirus gratuitos en la sección de "Útiles Gratuitos"
• actualizar nuestro ordenador y los programas instalados
• al navegar o instalar programas de ordenador ser cauto, para evitar ser víctimas de engaños cómo éste