Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de correo electrónico es "Windows Defender Subscription"?

Nuestro análisis del correo electrónico "Windows Defender Subscription" reveló que se trata de spam. Este correo falso se presenta como una notificación relativa a la compra de una suscripción de un año para el software de seguridad Windows Defender.

Hay que destacar que se trata de una estafa, y que no está asociada de ninguna manera con el antivirus Microsoft Defender (antes conocido como Windows Defender).

¿Qué tipo de página es captchastate[.]link?

Captchastate[.]link es una página web fraudulenta que promueve las notificaciones de spam en el navegador y redirige a los visitantes a otros sitios (probablemente dudosos/maliciosos).

Nuestros investigadores encontraron esta página mientras inspeccionaban sitios web que utilizan redes publicitarias fraudulentas. Cabe destacar que los redireccionamientos causados por este tipo de sitios son la forma en que la mayoría de los usuarios entran en captchastate[.]link y páginas web similares.

¿Qué es el ransomware FLSCRYPT?

Nuestro equipo de investigación descubrió el ransomware FLSCRYPT mientras inspeccionaba nuevos registros de malware en VirusTotal. Este programa malicioso forma parte de la familia de ransomware Phobos.

Ejecutamos una muestra de FLSCRYPT en nuestro sistema de prueba y cifró los archivos. A los archivos afectados se les añadía un identificador único, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".FLSCRYPT". Por ejemplo, un archivo titulado "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3373].[decrypt2022@onionmail.org].FLSCRYPT".

Una vez realizado el cifrado, este ransomware creó dos notas de rescate idénticas: "info.hta" (ventana emergente) e "info.txt" (archivo de texto). El mensaje de ambas deja claro que FLSCRYPT se dirige a las empresas y no a los usuarios domésticos.

¿Qué es Erbium?

Erbium es un software malicioso clasificado como stealer. El malware de esta categoría está diseñado para extraer datos vulnerables de los dispositivos infectados. Nuestros investigadores descubrieron Erbium mientras inspeccionaban puntos de venta de malware.

¿Qué tipo de página es moderncaptcha[.]top?

Moderncaptcha[.]top muestra contenido engañoso/utiliza una técnica de clickbait para engañar a los visitantes y permitirles mostrar notificaciones. Además, promociona un sitio web fraudulento. Normalmente, los sitios web como moderncaptcha[.]top se visitan sin querer. Hemos descubierto moderncaptcha[.]top al inspeccionar páginas que utilizan redes publicitarias fraudulentas.

¿Qué es TeachPad?

TeachPad es una aplicación fraudulenta que nuestros investigadores descubrieron mientras investigaban nuevos registros en VirusTotal. Después de analizar este software, descubrimos que TeachPad funciona como adware y pertenece a la familia de malware AdLoad.

¿Qué tipo de estafa es "Your Windows Got Corrupted Due To Virus"?

Se trata de un sitio web de estafa de soporte técnico que muestra ventanas emergentes engañosas (advertencias/notificaciones falsas) para hacer creer a los visitantes que deben llamar al número proporcionado para eliminar un virus de su ordenador. Descubrimos este sitio mientras examinábamos otras páginas dudosas y anuncios sospechosos. No es habitual que los sitios web de estafa se visiten a propósito.

¿Qué es el RAT Woody?

Woody es el nombre de un troyano de acceso remoto (RAT). El malware de esta categoría permite el acceso y el control remotos de los ordenadores comprometidos. Woody es un software malicioso muy sofisticado, y tiene una gran variedad de funcionalidades.

La investigación realizada por el equipo de Inteligencia de Amenazas de Malwarebytes indica que los ciberdelincuentes que están detrás de Woody tienen como objetivo varias entidades rusas, como la United Aircraft Corporation (OAK).

¿Qué es Mondy Search?

Al inspeccionar páginas web de descarga de software engañoso, nuestros investigadores descubrieron la extensión de navegador Mondy Search. Después de analizar este software, determinamos que funciona como un secuestrador del navegador. Mondy Search cambia la configuración del navegador y promueve el falso motor de búsqueda mondysearch.com.

¿Qué es el malware Trust Wallet?

Mientras inspeccionábamos sitios web no fiables relacionados con las criptomonedas, descubrimos una página falsa de Trust Wallet que albergaba malware para Android. Los ciberdelincuentes utilizan este sitio para engañar a los visitantes desprevenidos y hacer que descarguen una versión de la aplicación Trust Wallet que no es válida.

Mientras inspeccionábamos este malware, nos dimos cuenta de que sólo unos pocos proveedores de seguridad lo detectaban como malicioso (en el momento de la investigación, la lista de proveedores de seguridad que lo detectan como malicioso era escasa).