Cómo eliminar el malware RedEnergy de su ordenador
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es RedEnergy Stealer?
RedEnergy es el nombre de un ladrón de información que emplea una falsa campaña de actualización para atacar a múltiples sectores de la industria. Este software malicioso tiene la capacidad de extraer información de diferentes navegadores web, permitiendo el robo de datos sensibles. Además, incorpora varios módulos para facilitar las actividades de ransomware.
Dado que RedEnergy posee la capacidad única de funcionar como stealer y como ransomware, se clasifica como Stealer-as-a-Ransomware.
Más información sobre RedEnergy Stealer
Cuando se activa, el ejecutable malicioso RedEnergy se disfraza como una actualización genuina del navegador, camuflando eficazmente su verdadera naturaleza. Se presenta astutamente como una actualización legítima de navegadores conocidos como Google Chrome, Microsoft Edge, Firefox y Opera, con el objetivo de engañar a los usuarios desprevenidos.
A continuación, el malware deposita cuatro archivos (dos temporales y dos ejecutables) en el sistema atacado. Entre estos archivos, uno sirve como carga maliciosa. Al mismo tiempo, el malware inicia un proceso adicional en segundo plano que representa la carga maliciosa. Al ejecutarse, esta carga muestra un mensaje insultante a la víctima.
Además, RedEnergy incorpora un mecanismo de persistencia que le permite permanecer en un sistema infectado incluso después de reiniciarse o apagarse. Este mecanismo garantiza que el malware permanezca activo y pueda continuar sus actividades maliciosas sin interrupción.
Como parte de su funcionamiento, RedEnergy integra módulos de ransomware en su carga útil, cifra los datos de la víctima y añade la extensión ".FACKOFF!" a los nombres de todos los archivos cifrados. A continuación, presenta a la víctima un mensaje de rescate ("read_it.txt") exigiendo el pago para restaurar el acceso a los archivos y cambia el fondo de escritorio.
Otra acción realizada por los módulos del ransomware es el borrado de los datos de la unidad de almacenamiento paralelo (shadow drive), eliminando así cualquier posible copia de seguridad.
Además, el ejecutable malicioso modifica el archivo desktop.ini, que contiene importantes ajustes de configuración para las carpetas del sistema de archivos. A través de esta modificación, RedEnergy adquiere la capacidad de manipular el aspecto de las carpetas del sistema de archivos, mejorando potencialmente su capacidad para ocultar su presencia y acciones en el sistema comprometido.
Por último, RedEnergy es capaz de robar datos de varios navegadores web. Esto puede resultar en el robo de información personal, credenciales de inicio de sesión, datos financieros, actividades en línea, información relacionada con la sesión y otros datos.
| Nombre | Stealer-as-a-Ransomware "RedEnergy" |
| Tipo de amenaza | Robo de información, ransomware |
| Extensión de archivos encriptados | .FACKOFF! |
| Mensaje de petición de rescate | read_it.txt |
| Contacto del ciberdelincuente | georger1212@proton.me |
| Cuantía del rescate | 0,005 BTC |
| Monedero BTC | bc1qkvykfukshqywqe40pn9kqv5xc8xr5dwl46k99k |
| Nombres de detección | Avast (Win32:Malware-gen), Combo Cleaner (Gen:Variant.Bulz.9237), Emsisoft (Gen:Variant.Bulz.9237 (B)), Kaspersky (HEUR:Trojan-Spy.MSIL.Zbot.gen), Microsoft (Trojan:Win32/Casdet!rfn), Lista completa (VirusTotal) |
| Síntomas | No se pueden abrir los archivos almacenados en el ordenador, los archivos que antes funcionaban ahora tienen una extensión diferente (.FACKOFF!). Aparece un mensaje de petición de rescate en el escritorio. |
| Métodos de distribución | Enlaces maliciosos en sitios de LinkedIn, falsas actualizaciones de software y sitios web falsos. Otros canales de distribución pueden incluir adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software. |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, cifrado de datos. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Conclusión
En conclusión, RedEnergy es un sofisticado malware que opera como ladrón y ransomware. Emplea técnicas engañosas, como hacerse pasar por actualizaciones legítimas del navegador y utilizar mecanismos de persistencia para mantener su presencia en los sistemas infectados.
Gracias a su capacidad para robar información confidencial, cifrar archivos y pedir un rescate por su liberación, RedEnergy supone un riesgo significativo para particulares y organizaciones, lo que subraya la importancia de adoptar medidas de ciberseguridad sólidas y un comportamiento en línea vigilante.
¿Cómo se infiltró RedEnergy Stealer en mi ordenador?
RedEnergy emplea una técnica de redirección engañosa para infectar ordenadores, dirigiéndose a sectores con páginas destacadas en LinkedIn. Los usuarios que intentan acceder al sitio web de una empresa objetivo a través de su perfil de LinkedIn son redirigidos sin saberlo a un sitio malicioso.
Una vez allí, se les pide que instalen lo que parece ser una actualización legítima del navegador. Sin embargo, sin darse cuenta descargan el ejecutable de RedEnergy en lugar de una actualización auténtica.
Para engañar aún más a las víctimas, la campaña utiliza un dominio de descarga camuflado que se hace pasar por un sitio de ChatGPT, incitando a los usuarios a descargar una versión offline falsa de ChatGPT. Esta versión falsa también contiene un ejecutable malicioso utilizado para distribuir RedEnergy.
Se han descubierto múltiples campañas relacionadas, todas ellas empleando la táctica FAKEUPDATES y reutilizando infraestructura y tácticas para maximizar su impacto y beneficios. Los ciberdelincuentes responsables de estas campañas se dirigen a organizaciones de diversos sectores, aprovechando su reputación establecida y su presencia en Internet para engañar eficazmente a usuarios desprevenidos.
¿Cómo evitar la instalación de malware?
Para proteger un ordenador, es fundamental mantener actualizados periódicamente el sistema operativo y el software. Al tratar con archivos adjuntos de correo electrónico o encontrar enlaces sospechosos, especialmente de fuentes desconocidas o no fiables, sea precavido y manténgase alerta.
También se recomienda utilizar software antivirus o antimalware de confianza para proporcionar una capa adicional de protección y realizar análisis periódicos del sistema para identificar y hacer frente a posibles amenazas. Además, evite descargar archivos de sitios web que no sean de confianza y tenga cuidado con los anuncios emergentes o los botones de descarga engañosos que puedan conducir a contenidos maliciosos.
Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Archivos cifrados por el malware RedEnergy (con extensión ".FACKOFF!"):
Fondo de escritorio cambiado por RedEnergy:
Nota de rescate proporcionada por RedEnergy ("read_it.txt"):
Texto de la nota de rescate y del fondo de escritorio:
YOUR FILES ENCRYPTED VIRUS !!!
ANY ATTEMPT THEIR DECRYPT BY, IS ZERO
WE HAVE A DECKER, YOU CAN BUY IT FOR ---100$--- At Bitcoin
WRITE ON MAIL(GEORGER1212@proton.me), WE WILL ISSUE YOU DECODER (KEY DECRYPTION)
BUY OR EXCHANGE Bitcoin CAN HERE OR WHERE THE YET:
Coinmama - hxxps://www.coinmama.com, Bitpanda - hxxps://www.bitpanda.com
REQUISITES
Payment informationAmount: 0.005 BTC
Bitcoin Address: bc1qkvykfukshqywqe40pn9kqv5xc8xr5dwl46k99kMAIL FOR COMMUNICATION : GEORGER1212@proton.me
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú de acceso rápido:
- ¿Qué es RedEnergy Stealer?
- PASO 1. Eliminación manual del malware RedEnergy Stealer.
- PASO 2. Comprobar si su ordenador está libre de virus.
¿Cómo eliminar malware manualmente?
La eliminación manual de malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. He aquí un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargar un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reiniciar su ordenador en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haga clic en Inicio, en Apagar, en Reiniciar y en Aceptar. Durante el proceso de inicio del ordenador, pulse la tecla F8 del teclado varias veces hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.
Vídeo que demuestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Iniciar Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el "Menú de opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio".
Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú que se abre, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "Mayús" del teclado. En la ventana "elegir una opción" haga clic en "Solucionar problemas", a continuación seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana pulse la tecla "F5" de su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":
Extraer el archivo descargado y ejecutar el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desmarque las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".
Revisar la lista proporcionada por la aplicación Autoruns y localizar el archivo de malware que desea eliminar.
Anote su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y elija "Eliminar".
Tras eliminar el malware a través de la aplicación Autoruns (esto garantiza que el malware no se ejecutará automáticamente en el siguiente inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de activar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicie su ordenador en modo normal. Al seguir estos pasos se debería eliminar el malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación de malware en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener el ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware RedEnergy, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
Si su ordenador está infectado con el malware RedEnergy, formatear su dispositivo de almacenamiento puede eliminar eficazmente el malware. Sin embargo, se recomienda realizar primero un análisis exhaustivo del sistema con un software antivirus o antimalware de confianza. Al formatear un dispositivo de almacenamiento se eliminarán todos los datos.
¿Cuáles son los principales problemas que puede causar el malware?
Las consecuencias del malware pueden variar en función de su tipo, y van desde el robo de identidad y las pérdidas económicas hasta la disminución del rendimiento del ordenador y el aumento de la vulnerabilidad a infecciones adicionales.
¿Cuál es la finalidad del malware RedEnergy?
El objetivo del malware RedEnergy es de doble naturaleza. Funciona como un ladrón de datos, con el objetivo de extraer información sensible de varios navegadores web. Además, incorpora módulos de ransomware, lo que le permite cifrar los datos del usuario y exigir un rescate para restaurar el acceso a los archivos cifrados.
¿Cómo abrir archivos ".FACKOFF!"?
Sus archivos han sido cifrados debido a una infección de ransomware y, para poder acceder a ellos, es necesario un proceso de descifrado.
¿Dónde puedo encontrar herramientas de descifrado gratuitas?
En caso de ataque de ransomware, debería consultar el sitio web del proyecto No More Ransom (más información arriba).
Puedo pagarles mucho dinero, ¿pueden desencriptar archivos por mí?
No ofrecemos el servicio de descifrado de archivos cifrados por ransomware. Por lo general, es extremadamente difícil descifrar este tipo de archivos sin la participación de los ciberdelincuentes que están detrás del ataque, a menos que haya fallos en el propio ransomware. Por lo tanto, si un tercero afirma proporcionar el descifrado a cambio de una tarifa, es probable que esté actuando como intermediario o intentando engañarle.
¿Cómo se infiltró el malware RedEnergy en mi ordenador?
RedEnergy se hace pasar por una actualización legítima del navegador y pide a los usuarios que la instalen. Otro método es a través de técnicas de redirección engañosas, en las que los usuarios que intentan visitar el sitio web de una empresa objetivo son redirigidos a un sitio malicioso que inicia la descarga del malware. Encontrará más información en nuestro artículo.
¿Me protegerá Combo Cleaner del malware?
Combo Cleaner puede identificar y eliminar casi todas las infecciones de malware reconocidas. Los programas maliciosos sofisticados suelen ocultarse en lo más profundo del sistema. Por lo tanto, es esencial realizar un análisis completo del sistema para garantizar la detección y eliminación de posibles amenazas.
¡Excelente!
▼ Mostrar discusión.