Everbe – otro virus ransomware que sigue apareciendo con nuevas versiones

Everbe es un crypto-locker que apareció por primera vez en Marzo del 2018. El virus pronto volvió a aparecer de nuevo en Mayo del mismo año, volviendo como ransomware Embrace y virus PainLocker. El malware bloquea todos los archivos personales (audios, vídeos, textos, documentos, imágenes, etc.) usando los cifradores AES o DES y añade una extensión de archivo de la siguiente manera: [extension compuesta].[nombre del virus]. Por ejemplo, la variante original añadía la extensión [[email protected]] .everbe a cada archivo infectado. Cada versión del virus coloca una nota de pago txt !=How_recovery_files=!.txt. la cual explica a las víctimas que necesitan contactar con los hackers para poder restaurar sus datos bloqueados.
| Resumen | |
|---|---|
| Nombre | Everbe |
| Tipo | Ransomware |
| Variantes | |
| Nivel de peligro | Alto. Realiza cambios en el sistema y bloquea los archivos |
| Sistema operativo afectado | Windows |
| Extensión de archivo adjunta | .[[email protected]].everbe, [[email protected]].embrace, |
| Direcciones email de contacto | [email protected], [email protected], [email protected], [email protected] |
| Recuperación de los datos | Imposible sin copias de seguridad |
| Para desinstalar Everbe, instalaFortectIntego y lleva a cabo una comprobación completa del sistema | |
Cuando el nombre es modificado, los datos inmediatamente se comprometen y se convierten en inútiles debido a un algoritmo de encriptación sofisticado. El virus Everbe luego genera una nota de pago y difunde copias en todas las carpetas existentes:
Hi !
If you want to restore your files write on email – [email protected]
In the subject write – [redacted victim ID number]
Como puedes ver en la cita de arriba, este corto mensaje motiva a los usuarios a contactar con los desarrolladores a través del email [email protected] si quieres restaurar los datos bloqueados. La nota de pago también proporciona una ID de víctima única, la cual piden insertar en el título del email.
Sin embargo, nosotros no te recomendamos que contactes con los creadores del ransomware Everbe ni que sigas sus instrucciones. No hay dudas de que te pedirán Bitcoins o cualquier otra moneda virtual a cambio de una única clave de descifrado creada para cada víctima. No obstante, una vez que los ciber criminales reciban el pago, pueden desaparecer y dejarte con grandes pérdidas.
No importa cuánto necesites recuperar tus archivos, debes recordar que no hay garantías de que los ladrones vayan a mantener sus promesas y te vayan a ayudar con la recuperación de los datos. Adicionalmente, pagar no genera resultados en la eliminación de Everbe. Aquí, tu ordenador seguirá siendo vulnerable y lento.
En cuanto te des cuenta del ataque del ransomware, deberías obtener un programa de seguridad apropiado y limpiar tu ordenador. Te recomendamos que uses FortectIntego para llevar a cabo una comprobación apropiada del sistema y una eliminación del virus.
Desafortunadamente, aún no hay herramientas que puedan ayudarte con la restauración de los datos cifrados por Everbe. Solo puedes restaurar cualquier cosa desde copias de seguridad. Aún así, NO deberías tener prisas a la hora de insertar dispositivos externos con copias de seguridad o acceder al almacenamiento en la nube mientras el virus esté en el ordenador.
Recuerda que necesitas eliminar primero Everbe y entonces podrás proceder con la recuperación de los datos. Sin embargo, si no tienes copias de seguridad, puedes intentar usar herramientas adicionales que te presentamos al final de este artículo. Si no te ayudan, deberías tener paciencia y esperar a que los investigadores en malware creen una herramienta gratuita de descifrado.

Dos nuevas variantes aparecieron en Mayo del 2018
Tristemente, Everbe no es aún descifrable, ya que ningún investigador en malware ha logrado aún romper el código malicioso. Por ello, no es sorprendente que el ransomware esté activo y vuelva de nuevo. Las dos nuevas versiones aparecieron rápidamente una tras otra, diferenciándose muy poco aunque cada una se llama de manera distinta.
Ransomware Embrace
El ransomware Embrace volvió de nuevo con la primera continuación del malware Everbe. Se difundía a través de redes RDP desprotegidas, usando archivos maliciosos adjuntos en emails spam o inyectándose en páginas maliciosas. Usó el mismo algoritmo de encriptación (AES o DES) para bloquear los archivos y colocaba la extensión [[email protected]].embrace. Por ejemplo, una imagen llamada imagen.jpg sería convertida a imagen.jpg.[[email protected]] .embrace.
La nota de pago !=How_recovery_files=!.txt difiere levemente de la primera variante e insta a los usuarios a contactar con los criminales a través del correo [email protected]. Se alerta también a las víctimas que en caso de que el pago no se realice en siete días, el precio se duplicará. Se desconoce cuánto dinero piden los ladrones; sin embargo, el precio suele oscilar entre los 500$ y 1500$, y el pago se realiza a través de Bitcoins u otras monedas virtuales.
Como es lógico, nosotros recomendamos a los usuarios ignorar a los autores del ransomware y eliminar el virus Embrace de tu ordenador cuanto antes.
Ransomware PainLocker
PainLocker es la última adición a la familia del crypto-malware Everbe. Añade la extensión [[email protected]].pain a cada archivo afectado y genera la nota de pago con el mismo nombre- !=How_recovery_files=!.txt., la cual declara lo siguiente:
########## PAIN LOCKER ##########
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore files?
Write to our email – [email protected] or [email protected] and tell us your unique ID
Painlocker quiere el dinero de los usuarios. Por ello, estos hackers no son tus amigos(¡aunque así se proclamen ellos!). Tristemente, esta variante del virus tampoco es descifrable. Con esto, es vital mantener copias de seguridad de manera regular y emplear programas de seguridad legítimos que puedan detectar las amenazas maliciosas y eliminarlas antes de que puedan entrar. Si te encuentras con tus archivos codificados, date prisa y elimina PainLocker usando una herramienta anti-malware.

Fuentes de descarga de programas de terceros pueden ayudar a difundir ransomwares
El principal modo en que los ransomwares se difunden por la web y son instalados en los ordenadores es a través de emails spam. Éstos a menudo incluyen archivos maliciosos adjuntos que ejecutan la descarga e instalan el malware en los ordenadores. Los correos pueden hacerse pasar por empresas reales y grandes como PayPal, DHL, LinkedIn y otras.
Adicionalmente, los archivos infectados en emails suelen parecer seguros de abrir. Los creadores de malware a menudo inyectan un código malicioso en documentos Word o PDF. En algunos casos, el malware puede llegar en un archivo ZIP. Por ello, deberías tener extremo cuidado con los emails recibidos.
Los especialistas en seguridad de NoVirus.uk también alertan de que los autores de malware pueden otras otros métodos para difundir virus de encriptación de archivos, como:
- Fuentes de descarga de programas no oficiales o redes peer-to-peer que promueven y ofrecen la instalación de programas sospechosos;
- Falsas actualizaciones que pueden incluir malware en vez de actualizar cualquier programa;
- Pop-ups de seguridad que pueden pedir instalar falsos programas de seguridad que son malwares;
- Anuncios maliciosos colocados tanto en sitios webs legítimos como de alto riesgo.
Para evitar la infiltración de estas ciber amenazas, no solo deberías tener cuidado con los emails y aprender a identificar los mensajes engañosos enviados por hackers, sino que también tienes que seguir los principales consejos de seguridad, como evitar visitar sitios potencialmente peligrosos, descargar programas de anuncios o de sitios de descargas no autorizados. Adicionalmente, las copias de seguridad y la instalación de un programa antivirus ayudan a minimizar el riesgo de ataque de un ransomware.
La eliminación de Everbe debe completarse inmediatamente
La eliminación de Everbe necesita realizarse con un programa anti-malware. Te recomendamos que uses FortectIntego, SpyHunterCombo Cleaner, y también MalwarebytesMalwarebytes para limpiar tu ordenador. Sin embargo, siéntete libre de usar tu antivirus preferido, ¡pero no te olvides de actualizarlo antes! Sin embargo, el virus ransomware puede bloquear el acceso a tu programa de seguridad o a su proceso de instalación. Por ello, puedes necesitar realizar otros pasos que mencionamos en la guía de abajo.
Una vez elimines Everbe de tu ordenador, puedes empezar con el procedimiento de recuperación de datos. Desafortunadamente, aún no está disponible un descifrador gratuito, por lo que la única opción de recuperación completa es a través de copias de seguridad. No obstante, si no las tienes, abajo puedes ver otras opciones para restaurar tus datos.
¿Te ha resultado útil esta guía?
Sé el primero en comentar