Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es ubersear[.]ch?

Ubersear[.]ch es la dirección de un falso motor de búsqueda. Normalmente, los sitios web de este tipo son promovidos por un software de secuestro del navegador que modifica la configuración del mismo para causar tales redireccionamientos.

Sin embargo, se observó que ubersear[.]ch era impulsado por un malware dirigido a Android llamado "Ads Blocker". Esta aplicación maliciosa se superpone al navegador para causar redireccionamientos. Sin embargo, "Ads Blocker" también es capaz de mostrar eventos de calendario engañosos y falsas notificaciones emergentes.

¿Qué son los eventos engañosos del calendario?

"Eventos engañosos del calendario" se refiere a los eventos de spam creados en los calendarios de los dispositivos Android por un malware. Los eventos falsos suelen utilizarse para bombardear a las víctimas con notificaciones de calendario que promueven diversas estafas y contenidos maliciosos.

¿Qué es el malware "Ads Blocker"?

"Ads Blocker" (apareció como "Ads Blocker V16.1" en nuestra máquina de pruebas) es un software malicioso dirigido a los sistemas operativos Android (OS). Este malware es capaz de secuestrar el calendario del dispositivo y superponerse a los navegadores. El objetivo de "Ads Blocker" es promover una amplia variedad de sitios web falsos, estafadores y maliciosos de esta manera (es decir, creando eventos de calendario engañosos, causando redireccionamientos y mostrando notificaciones falsas).

¿Qué tipo de sitio web es ourhotposts[.]com?

Tras examinar ourhotposts[.]com, nuestro equipo descubrió que esta página utiliza una técnica de clickbait para atraer a los visitantes y hacer que acepten recibir notificaciones y redireccionamientos a otros sitios web. Descubrimos esta página mientras inspeccionábamos otras páginas que utilizan redes publicitarias fraudulentas. Normalmente, las páginas como ourhotposts[.]com se visitan sin querer.

¿Qué es el ransomware HORNET?

Mientras inspeccionaban nuevos registros de malware en VirusTotal, nuestros investigadores descubrieron el ransomware HORNET. Está diseñado para cifrar los datos y pedir un rescate por su descifrado.

Después de ejecutar una muestra de HORNET en nuestra máquina de prueba, comenzó a cifrar archivos y mostró una pantalla falsa de actualización del sistema operativo Windows durante el proceso. Los nombres de los archivos cifrados se cambiaban por cadenas de caracteres aleatorias, por ejemplo, un archivo originalmente titulado "1.jpg" aparecía como "Mi5wbmc=", "2.png" como "MS5qcGc=", etc.

Una vez completado el cifrado, el ransomware dejaba una nota de rescate llamada "README_[random_number].txt" en el escritorio. Este mensaje carecía de información crítica, lo que nos lleva a pensar que HORNET aún está en desarrollo y puede haber sido lanzado con fines de prueba.

¿Qué es "Windows Defender email scam"?

"Estafa por correo electrónico de Windows Defender" se refiere a los correos electrónicos de spam disfrazados de mensajes relativos a la renovación del contrato de "Windows Defender". Hay que subrayar que estos correos son falsos y no están asociados de ninguna manera con el antivirus Microsoft Defender (antes llamado Windows Defender) o con sus desarrolladores: la Microsoft Corporation.

¿Qué tipo de malware es RokRAT?

RokRAT es el nombre de un troyano de administración remota (RAT). Los ciberdelincuentes utilizan los RAT para acceder a los ordenadores infectados de forma remota y realizar tareas maliciosas. Los RAT les permiten alcanzar casi cualquier objetivo en el sistema infectado. Por lo general, los RAT se utilizan para introducir cargas útiles adicionales (introducir otro malware) o robar información confidencial.

¿Qué es el ransomware Arazite?

Arazite es un software malicioso clasificado como ransomware. Este tipo de malware está diseñado para encriptar datos y exigir un pago para descifrarlos.

Después de ejecutar una muestra de Arazite en nuestro sistema de prueba, comenzó a cifrar archivos y añadió a sus nombres la extensión ".arazite". Por ejemplo, un archivo titulado "1.jpg" aparecía como "1.jpg.arazite", "2.png" como "2.png.arazite", etc. Una vez completado este proceso, se creaba/mostró una nota de rescate en una ventana emergente ("info.hta").

¿Qué tipo de malware es Iq20?

Iq20 es un ransomware que pertenece a la familia de ransomware Dharma. Cifra los archivos y añade el ID de la víctima, la dirección de correo electrónico iq200@tutanota.com y la extensión ".iq20" a los nombres de los archivos. También muestra una ventana emergente y crea el archivo "info.txt" que contiene las notas del rescate. Descubrimos el Iq20 mientras comprobábamos la página de VirusTotal en busca de muestras de malware enviadas recientemente.

Un ejemplo de cómo Iq20 renombra los archivos: cambia "1.jpg" por "1.jpg.id-9ECFA84E.[iq200@tutanota.com].iq20", "2.png" por "2.png.id-9ECFA84E.[iq200@tutanota.com].iq20", "3.exe" por "3.exe.id-9ECFA84E.[iq200@tutanota.com].iq20", etc.

¿Qué es NullMixer?

NullMixer es un programa malicioso diseñado para causar infecciones en cadena y, como tal, está clasificado como dropper. Se ha observado que este programa infiltra una gran variedad de malware en los dispositivos infectados, desde ladrones de información (stealers) hasta loaders. Cabe destacar que NullMixer se propaga activamente a través de sitios web de descarga de software "crackeado".