Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de estafa es "McAfee - Subscription Payment Failed"?

Mientras navegaban por sitios web dudosos, nuestros investigadores descubrieron la estafa "McAfee - Subscription Payment Failed". Afirma falsamente que la suscripción al antivirus del visitante de la página web ha caducado. La renovación falló debido a que su tarjeta fue rechazada.

Cabe destacar que esta estafa no está asociada con el software antivirus McAfee ni con su desarrollador, McAfee Corp.

¿Qué es el falso correo electrónico de la "British Columbia Lottery"?

Nuestro equipo ha examinado el correo electrónico y ha llegado a la conclusión de que se trata de una estafa (un correo electrónico de phishing). Los estafadores responsables de este correo electrónico fraudulento se hacen pasar por representantes de la Lotería de Columbia Británica (BC). Su objetivo es engañar a los destinatarios para que les faciliten información personal y (o) les envíen dinero. Por lo tanto, los destinatarios deben ignorar este correo electrónico.

¿Qué es "CrowdStrike Scam"?

CrowdStrike es una empresa estadounidense de ciberseguridad que ofrece servicios de seguridad de puntos finales, inteligencia de amenazas y respuesta a ciberataques. El 19 de julio de 2024, CrowdStrike publicó una actualización para sistemas Windows. Desafortunadamente, esta actualización contenía un error que provocaba que los sistemas implicados se bloquearan con una Pantalla Azul de la Muerte, creando una oportunidad para que los ciberdelincuentes explotaran la situación.

¿Qué tipo de aplicación es ExtraFastApps?

ExtraFastApps es una aplicación potencialmente no deseada (PUA). Su aspecto es prácticamente idéntico al de otra aplicación no deseada llamada PC Accelerate. ExtraFastApps afirma ofrecer funciones relacionadas con la optimización del sistema. Esta funcionalidad falsa se utiliza para engañar a los usuarios para que compren la aplicación. Es pertinente mencionar que las PUAs a menudo tienen capacidades dañinas no mencionadas.

¿Qué es searchnukes.com?

Hemos inspeccionado searchnukes.com y hemos descubierto que es un motor de búsqueda falso promocionado a través de una extensión de navegador que funciona como secuestrador de navegador. Los usuarios deben evitar el uso de motores de búsqueda falsos y la adición de secuestradores de navegadores a los navegadores. Los usuarios que encuentren searchnukes.com deberían eliminarlo, así como la extensión asociada.

¿Qué tipo de malware es ZILLA?

ZILLA es un ransomware que descubrimos durante un examen de muestras de malware enviadas a VirusTotal. Nuestra investigación ha demostrado que ZILLA forma parte de la familia Dharma. Una vez en el sistema, ZILLA cifra los archivos, cambia los nombres de todos los archivos cifrados, muestra una ventana emergente (una nota de rescate) y crea un archivo de texto llamado "ZILLA-INFO.txt" (otra nota de rescate).

Este ransomware cambia el nombre de los archivos añadiendo el ID de la víctima, la dirección de correo electrónico filezilla@cock.li y la extensión ".ZILLA". Por ejemplo, cambia "1.jpg" por "1.jpg.id-9ECFA84E.[filezilla@cock.li].ZILLA", "2.png" por "2.png.id-9ECFA84E.[filezilla@cock.li].ZILLA", etc.

¿Qué tipo de malware es BLUE LOCKER?

BLUE LOCKER es un ransomware. Este tipo de software encripta archivos, modifica sus nombres y genera una nota de rescate. BLUE LOCKER añade la extensión ".blue" a los nombres de los archivos, por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.blue", "2.jpg" a "2.jpg.blue". Su nota de rescate es un archivo de texto llamado "restore_file.txt".

¿Qué es el ransomware PROM?

PROM es un programa malicioso clasificado como ransomware. Los sistemas infectados con este malware tienen sus datos cifrados y los usuarios reciben peticiones de rescate por herramientas de descifrado. Es decir, los archivos quedan inaccesibles y se pide a las víctimas que paguen para recuperar el acceso a sus datos.

Durante el proceso de cifrado, a los archivos afectados se les añade la extensión ".PROM[prometheushelp@mail.ch]", que contiene la dirección de correo electrónico de los ciberdelincuentes.Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecería como "1.jpg.PROM[prometheushelp@mail.ch]", "2.jpg" como "2.jpg.PROM[prometheushelp@mail.ch]", y así sucesivamente.

Una vez completado este proceso, se crean los archivos "RESTORE_FILES_INFO.hta" (ventana emergente) y "RESTORE_FILES_INFO.txt", que contienen mensajes de rescate idénticos.

¿Qué es el virus del correo electrónico UNILEVER?

El "virus del correo electrónico UNILEVER" está catalogado como una campaña de spam. Los estafadores envían mensajes de correo electrónico a cientos (o incluso miles) de personas con la esperanza de que algunas abran el archivo adjunto entregado. Existen muchas estafas similares, pero ésta se utiliza para propagar el virus LokiBot a través del archivo adjunto. Le recomendamos encarecidamente que ignore el mensaje y no abra el archivo adjunto.

¿Qué tipo de malware es RADAR?

Mientras examinaban los nuevos envíos a la plataforma VirusTotal, nuestros investigadores descubrieron el ransomware RADAR. Los programas maliciosos de esta clasificación están diseñados para cifrar archivos y pedir rescates por su descifrado.

Después de ejecutar una muestra de RADAR en nuestro sistema de pruebas, cifró los archivos y añadió a sus nombres una cadena de caracteres aleatoria. Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.W8M8ePNp".

Una vez finalizado este proceso, RADAR cambiaba el fondo de escritorio y creaba una nota de rescate titulada "README_FOR_DECRYPT.txt". Basándonos en el mensaje del archivo de texto, es evidente que este ransomware también roba datos con fines de doble extorsión.