Inicio
Vinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo Slider

Publicaciones del COPAO

Otras publicaciones

VIRUS INFORMÁTICO: CUIDADO CON LAS FACTURAS DE ENDESA

Compartir

Se ha detectado una nueva campaña de distribución de ransomware que utiliza como gancho una supuesta factura emitida por Endesa. Ante las graves consecuencias que ello puede acarrear, se recomienda extremar precauciones para evitar que el virus cifre nuestros ficheros.

Nos encontramos ante una nueva variante de ransomware de tipo TorrentLocker, un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el equipo desde una ubicación remota y cifrar nuestros archivos quitándonos el control de toda la información y datos almacenados.

Una vez infectado, nos exigen un pago por recuperar el los archivos cifrados.

Los archivos son irrecuperables a menos que la organización afectada tenga copias de seguridad y que estos datos no hayan sido ya afectados por el ransomware.

La vía de infección suele ser el correo electrónico simulando ser una factura de Endesa con un enlace que descarga el malware desde una ubicación remota.

Se ha detectado que el ransomware contacta con distintos dominios para comunicarse por lo que recomendamos su filtrado para evitar posibles conexiones. Los archivos quedan cifrados con la extensión .encrypted

Es importante aclarar que se trata de una suplantación que utiliza la imagen de la empresa para cometer el fraude y, en ningún caso, afecta a la seguridad de los servicios de la entidad. 

Los correos electrónicos detectados tienen como remitente a «Factura electrónica de Endesa» y en el asunto para dar más credibilidad al correo comienza con el nombre y apellidos asociados a la cuenta de correo del destinatario seguido de “Factura” y unos caracteres alfanuméricos generados aleatoriamente, como por ejemplo «Nombre Apellidos Factura WYS2414BA7775376». 



 

El correo tiene un enlace con el literal “Consulta tu factura y consumo” que al acceder a él redirige a una página en la que tras unos segundos de espera se descarga de un fichero zip (comprimido) llamado ENDESA_FACTURA.ZIP

Dentro hay un fichero  de extensión JS (JavaScript) con el código malicioso ofuscado utilizando técnicas habituales usando funciones como eval(), charAt(), charCodeAt(), fromCharCode():

ENDESA_FACTURA.js

Que descarga y ejecuta el EXE con el virus

Contramedidas: Desactivar Windows Script Host

 

Una solución para no quedar infectado es no poder ejecutar ficheros JS potencialmente peligrosos. Archivo de secuencia de Comandos de Jscript, wscript.exe

Dado que el script hace uso de Windows Script Host (WSH) para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) se puede deshabilitar:

Registro de Windows: el valor DWORD llamado Enabled

Valor  0 para deshabilitar wsh (valor 1 para habilitar wsh)

Valor 1 activará Windows Script Host

Vallor 0 desactivará Windows Script Host.

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled

O ejecutando el siguiente contenido dentro de un fichero.bat: 

REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0

 

Con el fin de reducir el riesgo de ser infectados con el Ransomware se deben realizar, en la medida de lo posible, las siguientes acciones:

Extremar las precauciones y, en caso de recibir un correo de origen sospechoso, notificarlo al administrador de seguridad del sistema o no abrirlo.

La eléctrica ha advertido a sus clientes que se trata de un virus que bloquea los archivos personales de los usuarios de ordenadores y les pide que paguen un rescate para recuperarlos. 

 

Almería
C/ Montellano, 2, Bajo
(Acceso desde Avda. Cabo de Gata,23)

04007 Almería.
Tfno./Fax: 950 27 61 02
Email: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Granada
C/ San Isidro, 23
18005, Granada
Telef.: 958 53 51 48 Fax: 958 26 76 74
e-mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Málaga
Av. Cánovas del Castillo, 4,
Entreplanta,

1º Dcha.

Edificio Calafate - 29016 Málaga
Tfno/Fax: 952 33 83 28
Email: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Jaén
C/ Plaza de la Libertad, nº 9, 1ª planta.
23007 Jaén
Tfno/Fax: 953 27 63 21
Email: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

www.copao.com utiliza cookies propias y de terceros para mejorar tu experiencia de navegación y realizar tareas de análisis. Al continuar navegando entendemos que aceptas nuestra Politica de Cookies.