Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Dxen?

Dxen es un programa de tipo ransomware descubierto por nuestros investigadores durante una investigación rutinaria de nuevos archivos enviados a VirusTotal. Dxen forma parte de la familia de ransomware Phobos. El malware de esta categoría encripta archivos y exige un pago por desencriptarlos.

En nuestra máquina de pruebas, Dxen encriptó archivos y alteró sus títulos. A los nombres de los archivos se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los atacantes y la extensión ".dxen". Por ejemplo, un archivo originalmente llamado "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3536].[vinsulan@tutanota.com].dxen".

Una vez concluido el proceso de cifrado, se creaban mensajes de petición de rescate en una ventana emergente ("info.hta") y en un archivo de texto ("info.txt"). Estos archivos se colocaban en todos los directorios cifrados y en el escritorio.

¿Qué tipo de correo electrónico es "Emails From A Trusted Sender"?

"Emails From A Trusted Sender" es un correo electrónico de phishing. Su objetivo es engañar a los destinatarios para que revelen las credenciales de inicio de sesión de su cuenta de correo alegando que varios correos electrónicos no han llegado a la bandeja de entrada.

¿Qué tipo de aplicación es Remcored.app?

Tras un análisis cuidadoso, se ha determinado que Remcored.app forma parte de la familia Pirrit, un grupo de aplicaciones con publicidad. Remcored.app está diseñada para mostrar diversos anuncios a los usuarios y puede ejecutar acciones adicionales. Los usuarios afectados deben implementar medidas de seguridad para mitigar los riesgos potenciales asociados con Remcored.app.

¿Qué es "Voicemail Transcript"?

Tras examinar el correo electrónico, nuestro análisis reveló que se trata de un mensaje engañoso elaborado por estafadores. El objetivo principal de este correo electrónico es engañar a los destinatarios para que divulguen información personal. Este tipo de mensajes suelen denominarse correos electrónicos de phishing, ya que su objetivo es engañar a personas desprevenidas para que proporcionen datos confidenciales bajo falsos pretextos.

¿Qué tipo de malware es Rocklee?

Mientras analizábamos muestras de malware subidas a VirusTotal, descubrimos una variante de ransomware de la familia Makop denominada Rocklee. Este ransomware cifra los datos, cambia los nombres de todos los archivos cifrados y coloca una nota de rescate ("+README-WARNING+.txt").

Rocklee añade el ID de la víctima, la dirección de correo electrónico del atacante y la extensión ".rocklee" a los nombres de los archivos. Por ejemplo, sustituye "1.jpg" por "1.jpg.[2AF20FA3].[cyberrestore2024@onionmail.org].rocklee", "2.png" por "2.png.[2AF20FA3].[cyberrestore2024@onionmail.org].rocklee", etc.

¿Qué tipo de malware es Water?

Mientras examinábamos muestras de malware en VirusTotal, descubrimos un miembro de la familia de ransomware Phobos apodado Water. Como la mayoría de las variantes de ransomware, Water cifra y renombra los archivos y proporciona una nota de rescate. Las notas de rescate de Water se proporcionan en archivos "info.hta" e "info.txt".

Al renombrar los archivos, Water añade el ID de la víctima, la dirección de correo electrónico aquaman@rambler.ua y la extensión ".water" a sus nombres. Por ejemplo, cambia "1.jpg" por "1.jpg.id[9ECFA84E-3499].[aquaman@rambler.ua].water", "2.png" por "2.png.id[9ECFA84E-3499].[aquaman@rambler.ua].water", etc.

¿Qué tipo de malware es SYSDF?

Mientras comprobábamos los nuevos archivos enviados al sitio web VirusTotal, nuestro equipo de investigación encontró el ransomware SYSDF. Este programa forma parte de la familia de ransomware Dharma. SYSDF está diseñado para cifrar datos y exigir un pago por su descifrado.

En nuestro sistema de pruebas, este ransomware cifró archivos y alteró sus nombres. A los nombres originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".SYSDF". Por ejemplo, un archivo titulado "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[Dec24hepl@aol.com].SYSDF".

Una vez finalizado este proceso, SYSDF creaba dos notas de rescate: una ventana emergente y un archivo de texto llamado "README!.txt". Estas últimas se soltaban en el escritorio y en todos los directorios cifrados.

¿Qué tipo de página es mycommonjournal.com?

Mycommonjournal[.]com es una página web fraudulenta que nuestro equipo de investigación descubrió durante una inspección rutinaria de sitios sospechosos. Está diseñada para promover las notificaciones spam en el navegador y redirigir a los visitantes a otros sitios web (probablemente dudosos/maliciosos).

La mayoría de los usuarios acceden a páginas como mycommonjournal.com a través de redireccionamientos generados por sitios que emplean redes publicitarias fraudulentas.

¿Qué tipo de aplicación es Wharf.app?

Tras examinar la aplicación Wharf.app, hemos determinado que su función principal es ofrecer anuncios a los usuarios, lo que la clasifica como adware (esta aplicación en concreto pertenece a la familia Pirrit). Este tipo de aplicaciones son bien conocidas por mostrar anuncios engañosos y posiblemente recopilar datos del usuario. Por lo tanto, es aconsejable no instalar aplicaciones como Wharf.app.

¿Qué tipo de estafa es "Threat Detected: xxbc Detected"?

Mientras navegaban por sitios sospechosos, nuestros investigadores encontraron una página web que promocionaba la estafa de soporte técnico "Threat Detected: xxbc Detected". Este tipo de estafas afirman que los dispositivos de los visitantes están infectados o en peligro y les instan a llamar a líneas de asistencia falsas. Una vez contactados, los estafadores atrapan a las víctimas en un elaborado plan.