Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Unique?

Unique es un ransomware que hace inaccesibles los archivos cifrándolos, modifica sus nombres y genera dos notas de rescate (archivos "info.txt" e "info.hta"). Unique forma parte de la familia de ransomware Phobos. Lo descubrimos en VirusTotal (mientras comprobábamos esta página de muestras de malware enviadas recientemente).

Unique renombra los archivos añadiendo el ID de la víctima, la dirección de correo electrónico uniqueproject@xsmail.com y la extensión ".unique". Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.id[9ECFA84E-3379].[uniqueproject@xsmail.com].unique", "2.png" a "2.png.id[9ECFA84E-3379].[uniqueproject@xsmail.com].unique",etc.

¿Qué es el ransomware MMXXII?

Mientras inspeccionaba los nuevos registros en VirusTotal, nuestro equipo de investigación descubrió el ransomware MMXXII. Este programa malicioso forma parte de la familia de ransomware Phobos.

Tras ejecutar una muestra de MMXXII en nuestro sistema de prueba, comenzó a cifrar archivos y a alterar sus nombres. A los títulos de los archivos afectados se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".MMXXII". Por ejemplo, un archivo inicialmente llamado "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3378].[casecrosu@eml.cc].MMXXII".

Una vez finalizado este proceso, se creaban/muestran mensajes de petición de rescate en una ventana emergente ("info.hta") y en un archivo de texto ("info.txt").

¿Qué tipo de malware es CapraRAT?

CapraRAT es el nombre de un troyano de acceso remoto (RAT) para Android, posiblemente una versión modificada de otro RAT (de código abierto) llamado AndroRAT. Se sabe que CapraRAT es utilizado por un grupo de amenazas persistentes avanzadas (ATP) llamado APT36 (también conocido como Earth Karkaddan). CapraRAT permite a los atacantes realizar ciertas acciones en el dispositivo Android infectado.

¿Qué tipo de página es ourhugenews[.]com?

Ourhugenews[.]com es una página web fraudulenta descubierta por nuestros investigadores durante una investigación rutinaria de sitios sospechosos. Esta página promueve las notificaciones de spam en el navegador y redirige a los visitantes a otros sitios web (probablemente poco fiables o peligrosos). Los usuarios suelen acceder a este tipo de páginas a través de redireccionamientos provocados por sitios que utilizan redes publicitarias fraudulentas.

¿Qué tipo de software es FLB Music?

FLB Music es una de las variantes del malware ChromeLoader. Se trata de una aplicación con soporte publicitario disfrazada de reproductor multimedia. Genera anuncios no deseados y permite al malware cargar módulos para la comunicación en red y el espionaje DHCP. Nuestro equipo descubrió la aplicación FLB Music tras descargar un archivo ISO de una página engañosa.

¿Qué es Streamlink-twitch-gui?

Al inspeccionar sitios web de promoción de software engañoso, nuestro equipo de investigación descubrió un archivo ISO que contenía el adware Streamlink-twitch-gui. El software dentro de esta clasificación está diseñado para ejecutar campañas publicitarias intrusivas. Sin embargo, Streamlink-twitch-gui forma parte de la familia de malware ChromeLoader; por lo que también puede causar infecciones en cadena.

¿Qué tipo de extensión es "Movie Database"?

Nuestros investigadores descubrieron la extensión de navegador Movie Database mientras investigaban sitios web sospechosos promocionados por software. Se promociona como una herramienta de acceso rápido a TMDB (The Move Database), una base de datos en línea de películas y programas de televisión. Una vez analizada esta extensión, hemos determinado que Movie Database funciona como software respaldado por publicidad (adware).

¿Qué tipo de estafa es "We are closing all mailbox users"?

Hemos inspeccionado este correo electrónico y hemos llegado a la conclusión de que se trata de un correo electrónico de phishing utilizado para robar las credenciales de acceso a las cuentas de correo electrónico. Está disfrazado como un correo de un proveedor de servicios de correo electrónico. Contiene un enlace a un sitio web diseñado para abrir una página de phishing en la que se pide una contraseña.

¿Qué es el ransomware Enigma?

Enigma es un virus de tipo ransomware que cifra los archivos utilizando criptografía AES-128. Durante el cifrado, Enigma añade una extensión ".1txt" al nombre de cada archivo cifrado (una versión anterior de Enigma añadía la extensión ".enigma"). Por ejemplo, "sample.jpg" pasa a llamarse "sample.jpg.1txt".

Una vez cifrados los archivos, Enigma abre una ventana emergente y crea un archivo de texto ("enigma_info.txt", antes "E_N_I_G_M_A.txt" y "enigma_encr.txt"). Ambos contienen un mensaje idéntico en el que se pide un rescate.

Tenga en cuenta que este ransomware no está relacionado ni afiliado a ninguna empresa legítima cuyo nombre lleve la palabra "Enigma".

¿Qué tipo de malware es BlackBit?

BlackBit es un ransomware idéntico a otro llamado Loki Locker. Nuestro equipo descubrió BlackBit mientras inspeccionaba muestras de malware enviadas a VirusTotal. BlackBit cifra los archivos (los hace inaccesibles), modifica los nombres de los archivos, cambia el fondo de pantalla, muestra una ventana emergente y crea el archivo "Restore-My-Files.txt".

La ventana emergente y el archivo de texto de BlackBit contienen una nota de rescate. Este ransomware modifica los nombres de los archivos añadiendo la dirección de correo electrónico spystar@onionmail.org, el ID de la víctima y la extensión ".BlackBit".

Por ejemplo, cambia el nombre de "1.jpg" a "[spystar@onionmail.org][9ECFA84E]1.jpg.BlackBit", "2.png" a "[spystar@onionmail.org][9ECFA84E]2.png.BlackBit", etc.