Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es Mondy Search?

Al inspeccionar páginas web de descarga de software engañoso, nuestros investigadores descubrieron la extensión de navegador Mondy Search. Después de analizar este software, determinamos que funciona como un secuestrador del navegador. Mondy Search cambia la configuración del navegador y promueve el falso motor de búsqueda mondysearch.com.

¿Qué es el malware Trust Wallet?

Mientras inspeccionábamos sitios web no fiables relacionados con las criptomonedas, descubrimos una página falsa de Trust Wallet que albergaba malware para Android. Los ciberdelincuentes utilizan este sitio para engañar a los visitantes desprevenidos y hacer que descarguen una versión de la aplicación Trust Wallet que no es válida.

Mientras inspeccionábamos este malware, nos dimos cuenta de que sólo unos pocos proveedores de seguridad lo detectaban como malicioso (en el momento de la investigación, la lista de proveedores de seguridad que lo detectan como malicioso era escasa).

¿Qué es el malware de bloqueo de pantalla (Screen Locking)?

El malware Screen Locking se refiere a los programas de ransomware del tipo screenlocker que tienen como objetivo los sistemas operativos Android. Existen numerosas variantes de este malware, pero se diferencian de los screenlockers para Android observados anteriormente por las novedosas técnicas que utilizan. Se trata de una familia de screenlockers de alta gama que cuenta con múltiples variantes y una metodología en continua evolución.

El objetivo de este malware es presionar a las víctimas para que paguen un rescate con el fin de eliminar los mensajes que les impiden utilizar sus dispositivos. A diferencia de otros tipos de ransomware, estos screenlockers no cifran los archivos de las víctimas.

¿Qué tipo de aplicación es Diet?

Diet es el nombre de un adware (software respaldado por publicidad) que presenta aplicaciones no deseadas. Nuestro equipo lo descubrió tras inspeccionar un archivo ISO descargado de un sitio web engañoso. El objetivo de Diet es mostrar anuncios no deseados (intrusivos). Este software no fiable debe ser eliminado de los ordenadores.

¿Qué es el ransomware RedAlert (N13V)?

RedAlert (N13V) es un software malicioso clasificado como ransomware, un tipo de malware diseñado para cifrar datos y exigir un pago por el descifrado. Este ransomware es un programa multiplataforma, la variante de Windows se denomina RedAlert, mientras que la versión dirigida al servidor VMware ESXi de Linux se llama N13V.

Cuando ejecutamos una muestra de RedAlert (N13V) en nuestra máquina de prueba, cifró los archivos y añadió a sus nombres una extensión ".crypt[number]". Por ejemplo, un archivo titulado "1.jpg" aparecía como "1.jpg.crypt416", etc.

Tras completar este proceso, el ransomware RedAlert (N13V) creaba una nota de rescate llamada "HOW_TO_RESTORE.txt". El mensaje dentro de este archivo indicaba que este ransomware se dirige a las empresas y no a los usuarios domésticos. Además, RedAlert (N13V) utiliza una doble táctica de extorsión.

¿Qué tipo de aplicación es Drinker?

Drinker es el nombre de una aplicación fraudulenta que nuestros investigadores descubrieron al inspeccionar páginas web de descargas poco fiables. Esta aplicación se presenta como una herramienta que permite a los usuarios establecer notificaciones (recordatorios) sobre cuándo beber agua. Sin embargo, nuestro análisis de Drinker ha revelado que funciona como software con soporte publicitario (adware).

¿Qué tipo de correo electrónico es "Summon To Court For Pedophilia"?

"Summon To Court For Pedophilia" hace referencia a correos electrónicos fraudulentos disfrazados de citaciones judiciales emitidas por organismos gubernamentales. Estas cartas afirman que el destinatario está acusado de actividades relacionadas con la pedofilia. Hemos inspeccionado dos variantes de estos correos spam, una en francés y la otra en lituano, inglés y neerlandés; sin embargo, es probable que haya diferentes versiones.

Este correo spam puede tener una apariencia relativamente sofisticada, por ejemplo, incluir emblemas, sellos y otras imágenes asociadas a instituciones gubernamentales específicas. Además, los correos pueden utilizar los nombres de funcionarios reales en los cargos de Director General de Policía, Comisario de Policía, etc.

Sin embargo, hay que subrayar que los correos electrónicos de "Summon To Court For Pedophilia" son falsos. Además, el Ministerio del Interior francés ha emitido advertencias para que no se confíe en estos correos.

¿Qué tipo de malware es Po?

Po es un ransomware que pertenece a la familia Dharma. Descubrimos este ransomware mientras analizábamos muestras de malware recibidas en el sitio web VirusTotal. Po cifra los archivos, añade el ID de la víctima, la dirección de correo electrónico recovery2022@tutanota.com y la extensión ".Po" a los nombres de los archivos. Además, proporciona dos notas de rescate: muestra una ventana emergente y crea el archivo "info.txt".

Un ejemplo de cómo el ransomware Po modifica los nombres de los archivos: cambia el nombre de "1.jpg" a "1.jpg.id-9ECFA84E.[recovery2022@tutanota.com].Po", "2.png" a "2.png.id-9ECFA84E.[recovery2022@tutanota.com].Po", "3.exe" a "3.exe.id-9ECFA84E.[recovery2022@tutanota.com].Po", etv.

¿Qué tipo de sitio web es smartcaptcha[.]top?

Mientras analizábamos las páginas que utilizan redes publicitarias fraudulentas, nos encontramos con smartcaptcha[.]top, otro sitio web sospechoso. Nos enteramos de que smartcaptcha[.]top muestra una imagen y un mensaje engañosos para engañar a los visitantes para que acepten recibir notificaciones. Además, redirige a los visitantes a varios sitios web fraudulentos.

¿Qué tipo de malware es DarkComet?

DarkComet es el nombre de una herramienta de acceso/administración remota (RAT). Los programas de este tipo están diseñados para controlar sistemas a través de una conexión de red remota. Es decir, para controlar ordenadores y realizar diversas tareas de forma remota utilizando otro ordenador.

Los ciberdelincuentes suelen intentar engañar a la gente para que instale estos programas y luego los utilizan con fines maliciosos. Tener un software como DarkComet instalado en el sistema puede acarrear graves problemas, por lo que se aconseja desinstalarlo inmediatamente.