Ayer mismo, sin ir más lejos, este intento de extorsión visitó mi correo electrónico. El correo había sido enviado desde un ordenador de una PYME de Gipuzkoa. Me puse en contacto con ellos, pero ya era tarde, el virus Factura Endesa les había infectado el ordenador de la empresa y les había encriptado toda la información, pero no era tarde sólo por eso, sino porque habían cedido a la extorsión y habían pagado 300 euros para que los ciberdelincuentes desencriptasen su PC. Aún albergaban la esperanza de que esto fuese cierto, a pesar de que en muchos de estos casos lo único que se consigue pagando es alentar al extorsionador para que nos pida más dinero…

En los últimos meses este tipo de ataques están siendo desgraciadamente cotidianos y sobre todo se están cebando con las pequeñas y medianas empresas a sabiendas de que muchas de ellas no disponen siquiera de copias de seguridad de sus archivos y al verse atacados y con la angustia de haber perdido toda la información vital para su empresa pagan a la desesperada con la esperanza de resolver el caos en el que se encuentran.

Como funciona el virus Factura Endesa ?

El funcionamiento es relativamente sencillo. Se trata de ingeniería social pura y dura. Los ciberdelincuentes se apoyan habitualmente en engañar a la víctima usando la imagen de una gran empresa, una comunicación institucional, una petición de un jefe, presidente de corporación o cualquier elemento que haga que la victima reaccione con “obediencia debida” sin parase a pensar si es real lo que está viendo o se trata de un Fake que intenta robarle sus claves o que ejecute o descargue algún programa con sorpresa desagradable incluida.

En este caso además se incluye otro factor que es el de la indignación al ver que se te ha enviado una factura con un montante muy superior al que habitualmente tienes en tus recibos mensuales, lo que hace reaccionar a la víctima de forma irreflexiva y descargar la “factura endesa” para guardarla y poder poner una queja donde corresponda. Y la reacción es tan sumamente irreflexiva que han sido infectados cientos de ordenadores cuyos propietarios ni siquiera eran clientes de Endesa.

Phising con el virus Factura Endesa.

El Instituto Nacional de Ciberseguridad avisa de que esta campaña delictiva, de tipo phishing y calificada como “crítica”, utiliza la imagen de Endesa para cometer el fraude. Sin embargo, el organismo aclara que la estafa “en ningún caso” afecta a la seguridad de los servicios que ofrece la compañía a través de internet.

El remitente de los correos electrónicos es habitualmente “Factura electrónica de Endesa”, aunque de un tiempo a esta parte esto también está cambiando.

El Asunto del correo comienza con el nombre y apellidos que figuran en la cuenta de correo del destinatario, “Factura” y números y letras generados posiblemente de forma aleatoria.

El virus cifra los archivos del ordenador para que no se pueda acceder a ellos y pide un rescate para desbloquearlos.

El virus en cuestión está tras en un enlace que aparece en la parte final del correo electrónico. Cuando la víctima, presa de las prisas, la indignación o la ingenuidad hace click en el link “Consulta tu factura y consumo”, se ve redirigida a una página en la que se descarga un fichero comprimido llamado “Endesa_Factura.zip”, que cuando se ejecuta instala un código malicioso en el ordenador.

Cómo evitar ser víctima del fraude del virus Factura Endesa.

La Oficina de Seguridad del Internauta aconseja:

  • No responder a ninguna solicitud de información personal a través del correo electrónico, aunque proceda supuestamente de una entidad legítima.
  • Acceder directamente al sitio web de la compañía, institución u organismo.
  • Asegurarse de que realmente se encuentra en la página real de la empresa, compañía o institución antes de introducir su contraseña en el portal web.

Solución al virus Factura Endesa

Si bien es cierto que el programa en sí es eliminable , las consecuencias de este son casi imposibles de solucionar sin que se tenga la clave de descifrado de los archivos que desgraciadamente está en manos de los extorsionadores. No obstante existen algunas versiones de Ramsonware de las que se dispone de la clave de desencriptación al haber sido detenidos los remitentes de estas campañas de phising.


Si te han infectado date una vuelta por la Red y cruza los dedos para tener suerte y que la clave de la versión de tu virus esté publicada y se pueda remediar el perjuicio causado.

Suerte.


 

El Instituto Nacional de Ciberseguridad (INCIBE) dispone de un servicio de descifrado de ficheros afectados, para identificar el tipo de virus y si los datos pueden ser recuperados hacerlo a través del CERT de Seguridad e Industria

incidencias@certsi.es