La gravedad de escala:  
  (99/100)

Ransomware Everbe. ¿Cómo eliminar? (Guía de desinstalación de)

por Gabriel E. Hall - - | Escribe: Ransomware

Everbe – otro virus ransomware que sigue apareciendo con nuevas versiones

Everbe ransomware delivers ransom note

Everbe es un crypto-locker que apareció por primera vez en Marzo del 2018. El virus pronto volvió a aparecer de nuevo en Mayo del mismo año, volviendo como ransomware Embrace y virus PainLocker. El malware bloquea todos los archivos personales (audios, vídeos, textos, documentos, imágenes, etc.) usando los cifradores AES o DES y añade una extensión de archivo de la siguiente manera: [extension compuesta].[nombre del virus]. Por ejemplo, la variante original añadía la extensión [everbe@airmail.cc] .everbe a cada archivo infectado. Cada versión del virus coloca una nota de pago txt !=How_recovery_files=!.txt. la cual explica a las víctimas que necesitan contactar con los hackers para poder restaurar sus datos bloqueados.

Resumen
Nombre Everbe
Tipo Ransomware
Variantes
Nivel de peligro Alto. Realiza cambios en el sistema y bloquea los archivos
Sistema operativo afectado Windows
Extensión de archivo adjunta .[everbe@aismail.cc].everbe,  [embrace@airmail.cc].embrace, 
Direcciones email de contacto  everbe@aismail.cc, embrace@airmail.cc, pain@cock.lu, pain@airmail.cc
Recuperación de los datos Imposible sin copias de seguridad
Para desinstalar Everbe, instalaReimage y lleva a cabo una comprobación completa del sistema

Cuando el nombre es modificado, los datos inmediatamente se comprometen y se convierten en inútiles debido a un algoritmo de encriptación sofisticado. El virus Everbe luego genera una nota de pago y difunde copias en todas las carpetas existentes:

Hi !
If you want to restore your files write on email – everbe@airmail.cc
In the subject write – [redacted victim ID number]

Como puedes ver en la cita de arriba, este corto mensaje motiva a los usuarios a contactar con los desarrolladores a través del email everbe@aismail.cc si quieres restaurar los datos bloqueados. La nota de pago también proporciona una ID de víctima única, la cual piden insertar en el título del email.

Sin embargo, nosotros no te recomendamos que contactes con los creadores del ransomware Everbe ni que sigas sus instrucciones. No hay dudas de que te pedirán Bitcoins o cualquier otra moneda virtual a cambio de una única clave de descifrado creada para cada víctima. No obstante, una vez que los ciber criminales reciban el pago, pueden desaparecer y dejarte con grandes pérdidas.

No importa cuánto necesites recuperar tus archivos, debes recordar que no hay garantías de que los ladrones vayan a mantener sus promesas y te vayan a ayudar con la recuperación de los datos. Adicionalmente, pagar no genera resultados en la eliminación de Everbe. Aquí, tu ordenador seguirá siendo vulnerable y lento.

En cuanto te des cuenta del ataque del ransomware, deberías obtener un programa de seguridad apropiado y limpiar tu ordenador. Te recomendamos que uses Reimage para llevar a cabo una comprobación apropiada del sistema y una eliminación del virus.

Desafortunadamente, aún no hay herramientas que puedan ayudarte con la restauración de los datos cifrados por Everbe. Solo puedes restaurar cualquier cosa desde copias de seguridad. Aún así, NO deberías tener prisas a la hora de insertar dispositivos externos con copias de seguridad o acceder al almacenamiento en la nube mientras el virus esté en el ordenador.

Recuerda que necesitas eliminar primero Everbe y entonces podrás proceder con la recuperación de los datos. Sin embargo, si no tienes copias de seguridad, puedes intentar usar herramientas adicionales que te presentamos al final de este artículo. Si no te ayudan, deberías tener paciencia y esperar a que los investigadores en malware creen una herramienta gratuita de descifrado.

Dos nuevas variantes aparecieron en Mayo del 2018

Tristemente, Everbe no es aún descifrable, ya que ningún investigador en malware ha logrado aún romper el código malicioso. Por ello, no es sorprendente que el ransomware esté activo y vuelva de nuevo. Las dos nuevas versiones aparecieron rápidamente una tras otra, diferenciándose muy poco aunque cada una se llama de manera distinta.

Ransomware Embrace

El ransomware Embrace volvió de nuevo con la primera continuación del malware Everbe. Se difundía a través de redes RDP desprotegidas, usando archivos maliciosos adjuntos en emails spam o inyectándose en páginas maliciosas. Usó el mismo algoritmo de encriptación (AES o DES) para bloquear los archivos y colocaba la extensión [embrace@airmail.cc].embrace. Por ejemplo, una imagen llamada imagen.jpg sería convertida a imagen.jpg.[embrace@airmail.cc] .embrace. 

La nota de pago !=How_recovery_files=!.txt difiere levemente de la primera variante e insta a los usuarios a contactar con los criminales a través del correo embrace@airmail.cc. Se alerta también a las víctimas que en caso de que el pago no se realice en siete días, el precio se duplicará. Se desconoce cuánto dinero piden los ladrones; sin embargo, el precio suele oscilar entre los 500$ y 1500$, y el pago se realiza a través de Bitcoins u otras monedas virtuales.

Como es lógico, nosotros recomendamos a los usuarios ignorar a los autores del ransomware y eliminar el virus Embrace de tu ordenador cuanto antes.

Ransomware PainLocker

PainLocker es la última adición a la familia del crypto-malware Everbe. Añade la extensión [pain@cock.lu].pain a cada archivo afectado y genera la nota de pago con el mismo nombre- !=How_recovery_files=!.txt., la cual declara lo siguiente:

########## PAIN LOCKER ##########
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore files?
Write to our email – pain@cock.lu or pain@airmail.cc and tell us your unique ID

Painlocker quiere el dinero de los usuarios. Por ello, estos hackers no son tus amigos(¡aunque así se proclamen ellos!). Tristemente, esta variante del virus tampoco es descifrable. Con esto, es vital mantener copias de seguridad de manera regular y emplear programas de seguridad legítimos que puedan detectar las amenazas maliciosas y eliminarlas antes de que puedan entrar. Si te encuentras con tus archivos codificados, date prisa y elimina PainLocker usando una herramienta anti-malware.

Embrace & PainLocker ransomware

Fuentes de descarga de programas de terceros pueden ayudar a difundir ransomwares

El principal modo en que los ransomwares se difunden por la web y son instalados en los ordenadores es a través de emails spam. Éstos a menudo incluyen archivos maliciosos adjuntos que ejecutan la descarga e instalan el malware en los ordenadores. Los correos pueden hacerse pasar por empresas reales y grandes como PayPal, DHL, LinkedIn y otras.

Adicionalmente, los archivos infectados en emails suelen parecer seguros de abrir. Los creadores de malware a menudo inyectan un código malicioso en documentos Word o PDF. En algunos casos, el malware puede llegar en un archivo ZIP. Por ello, deberías tener extremo cuidado con los emails recibidos.

Los especialistas en seguridad de NoVirus.uk también alertan de que los autores de malware pueden otras otros métodos para difundir virus de encriptación de archivos, como:

  • Fuentes de descarga de programas no oficiales o redes peer-to-peer que promueven y ofrecen la instalación de programas sospechosos;
  • Falsas actualizaciones que pueden incluir malware en vez de actualizar cualquier programa;
  • Pop-ups de seguridad que pueden pedir instalar falsos programas de seguridad que son malwares;
  • Anuncios maliciosos colocados tanto en sitios webs legítimos como de alto riesgo.

Para evitar la infiltración de estas ciber amenazas, no solo deberías tener cuidado con los emails y aprender a identificar los mensajes engañosos enviados por hackers, sino que también tienes que seguir los principales consejos de seguridad, como evitar visitar sitios potencialmente peligrosos, descargar programas de anuncios o de sitios de descargas no autorizados. Adicionalmente, las copias de seguridad y la instalación de un programa antivirus ayudan a minimizar el riesgo de ataque de un ransomware.

La eliminación de Everbe debe completarse inmediatamente

La eliminación de Everbe necesita realizarse con un programa anti-malware. Te recomendamos que uses Reimage, Malwarebytes Malwarebytes, y también Plumbytes Anti-MalwareNorton Internet Security para limpiar tu ordenador. Sin embargo, siéntete libre de usar tu antivirus preferido, ¡pero no te olvides de actualizarlo antes! Sin embargo, el virus ransomware puede bloquear el acceso a tu programa de seguridad o a su proceso de instalación. Por ello, puedes necesitar realizar otros pasos que mencionamos en la guía de abajo.

Una vez elimines Everbe de tu ordenador, puedes empezar con el procedimiento de recuperación de datos. Desafortunadamente, aún no está disponible un descifrador gratuito, por lo que la única opción de recuperación completa es a través de copias de seguridad. No obstante, si no las tienes, abajo puedes ver otras opciones para restaurar tus datos.

Podemos estar afiliados con cualquier producto que recomendamos en nuestro sitio. Publicación completa en nuestros Acuerdos de Uso. Al descargar cualquier proporcionado software anti-spyware para eliminar Ransomware Everbe está de acuerdo con nuestra política de privacidad y Acuerdo de Uso.
¡Hazlo ahora!
Descarga
Reimage (eliminador) Felicidad
Garantía
Descarga
Reimage (eliminador) Felicidad
Garantía
Compatible con Microsoft Windows Compatible con OS X
¿Qué hacer si falla?
Si fallas a la hora de eliminar la infección usando Reimage, envía una pregunta a nuestro equipo de asistencia y proporciona toda la información que puedas.
Reimage es recomendado para desinstalar Ransomware Everbe. Los escaneos gratuitos te permiten comprobar si tu PC está infectado o no. Si necesitas eliminar malware, debes comprar la licencia de versión de la herramienta de eliminación de malware Reimage.
Más información sobre este programa puede ser encontrada en el análisis Reimage.
Menciones en prensa de Reimage
Software alternativo
Malwarebytes
Software alternativo
Malwarebytes

Guía de eliminación manual del virus Everbe:

Eliminar Everbe usando Safe Mode with Networking

Si no puedes ejecutar automáticamente la eliminación de Everbe, sigue estos pasos:

  • Paso 1: Reinicia tu ordenador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Safe Mode with Networking de la lista Selecciona 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Networking en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Networking'
  • Paso 2: Eliminar Everbe

    Loguéate en tu cuenta infectada y comienza a navegar. Descarga Reimage u otro programa anti-spyware legítimo. Actualízalo antes de ejecutar un escaneo completo del sistema y elimina los archivos maliciosos que pertenezcan al ransomware y completa la eliminación de Everbe.

Si el ransomware está bloqueando Safe Mode with Networking, intenta el método adicional.

Eliminar Everbe usando System Restore

  • Paso 1: Reinicia tu ordenador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Command Prompt de la lista Selecciona 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Command Prompt en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Command Prompt'
  • Paso 2: Restaura tus archivos del sistema y configuraciones
    1. Una vez aparezca la ventana Command Prompt, inserta cd restore y haz click en Enter. Inserta 'cd restore' sin comilla y pulsa 'Enter'
    2. Ahora escribe rstrui.exe y pulsa de nuevo en Enter.. Inserta 'rstrui.exe' sin comilla y pulsa 'Enter'
    3. Cuando una nueva ventana aparezca, haz click en Next y selecciona tu punto de restauración que sea anterior a la infiltración de Everbe. Tras hacer esto, haz click en Next. Cuando aparezca la ventana 'System Restore', selecciona 'Next' Selecciona tu punto de restauración y haz click en 'Next'
    4. Ahora haz click en Yes para comenzar la restauración del sistema. Haz click en 'Yes' y comienza la restauración del sistema
    Una vez que restaures tu sistema a su fecha anterior, descarga y escanea tu ordenador con Reimage y asegúrate de que la eliminación de Everbe se ha realizado correctamente.

Bonus: Recuperar tus datos

La guía que se presenta a continuación te intentará ayudar a eliminar Everbe de tu ordenador. Para recuperar tus archivos encriptados, te recomendamos que uses una guía detallada por los expertos de seguridad de losvirus.es.

Si tus archivos han sido encriptados por Everbe, puedes usar varios métodos para restaurarlos:

Probar Data Recovery Pro para restaurar los archivos

No es un descifrador oficial de Everbe, pero puede ayudarte a recuperar algunos de los archivos encriptados.

  • Descarga Data Recovery Pro (https://losvirus.es/download/data-recovery-pro-setup.exe);
  • Sigue los pasos establecidos en Data Recovery e instala el programa en tu ordenador;
  • Ejecútalo y escanea tu ordenador en busca de los archivos encriptados por el ransomware Everbe;
  • Restauralos.

Aprovecharse de la función Versiones Anteriores de Windows

Si la Restauración del Sistema estaba habilitada antes del ataque del ransomware, puedes copiar archivos individuales siguiendo estos pasos:

  • Encuentra un archivo encriptado que desees recuperar y haz click derecho en él;
  • Selecciona “Properties” y ve a la pestaña “Previous versions”;
  • Aquí, comprueba cada copia disponible del archivo “Folder versions”. Deberías seleccionar la versión que quieres recuperar y hacer click en “Restore”.

Probar Shadow Explorer para restaurar los archivos encriptados por el virus ransomware Everbe

Si el malware no ha eliminado las Copias de Volumen, esta herramienta puede ser útil:

  • Descarga Shadow Explorer (http://shadowexplorer.com/);
  • Sigue el Asistente de Configuración de Shadow Explorer e instala esta aplicación en tu ordenador.
  • Ejecuta el programa y ve hacia el menú desplegable en la esquina superior izquierda para seleccionar el disco con tus datos encriptados. Comprueba qué carpetas son ahí;
  • Click derecho en la carpeta que quieres restaurar y selecciona “Export”. Puedes también seleccionar dónde quieres que sea almacenada.

El desencriptador oficial para Everbe aún no ha sido creado

Sobre el autor

Gabriel E. Hall
Gabriel E. Hall - Apasionada investigadora de virus

Si esta guía de eliminación gratuita te ha ayudado y te sientes satisfecho con nuestro servicio, por favor, considera hacer una donación para mantener nuestro servicio funcionando. ¡Incluso las cantidades más pequeñas son bien recibidas!

Contactar con Gabriel E. Hall
Sobre la empresa Esolutions

Fuente: https://www.2-spyware.com/remove-everbe-ransomware.html

Guías de eliminación en otros idiomas