Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es SYSDF?

Mientras comprobábamos los nuevos archivos enviados al sitio web VirusTotal, nuestro equipo de investigación encontró el ransomware SYSDF. Este programa forma parte de la familia de ransomware Dharma. SYSDF está diseñado para cifrar datos y exigir un pago por su descifrado.

En nuestro sistema de pruebas, este ransomware cifró archivos y alteró sus nombres. A los nombres originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".SYSDF". Por ejemplo, un archivo titulado "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[Dec24hepl@aol.com].SYSDF".

Una vez finalizado este proceso, SYSDF creaba dos notas de rescate: una ventana emergente y un archivo de texto llamado "README!.txt". Estas últimas se soltaban en el escritorio y en todos los directorios cifrados.

¿Qué tipo de página es mycommonjournal.com?

Mycommonjournal[.]com es una página web fraudulenta que nuestro equipo de investigación descubrió durante una inspección rutinaria de sitios sospechosos. Está diseñada para promover las notificaciones spam en el navegador y redirigir a los visitantes a otros sitios web (probablemente dudosos/maliciosos).

La mayoría de los usuarios acceden a páginas como mycommonjournal.com a través de redireccionamientos generados por sitios que emplean redes publicitarias fraudulentas.

¿Qué tipo de aplicación es Wharf.app?

Tras examinar la aplicación Wharf.app, hemos determinado que su función principal es ofrecer anuncios a los usuarios, lo que la clasifica como adware (esta aplicación en concreto pertenece a la familia Pirrit). Este tipo de aplicaciones son bien conocidas por mostrar anuncios engañosos y posiblemente recopilar datos del usuario. Por lo tanto, es aconsejable no instalar aplicaciones como Wharf.app.

¿Qué tipo de estafa es "Threat Detected: xxbc Detected"?

Mientras navegaban por sitios sospechosos, nuestros investigadores encontraron una página web que promocionaba la estafa de soporte técnico "Threat Detected: xxbc Detected". Este tipo de estafas afirman que los dispositivos de los visitantes están infectados o en peligro y les instan a llamar a líneas de asistencia falsas. Una vez contactados, los estafadores atrapan a las víctimas en un elaborado plan.

¿Qué tipo de página es steadycaptcha[.]live?

Durante una inspección rutinaria de sitios web sospechosos, nuestro equipo de investigación descubrió la página fraudulenta steadycaptcha[.]live. Promueve las notificaciones de spam en el navegador y redirige a los visitantes a otras páginas web (probablemente poco fiables o dañinas).

Los usuarios suelen entrar en steadycaptcha[.]live y sitios similares a través de redireccionamientos provocados por sitios web que utilizan redes publicitarias fraudulentas.

¿Qué tipo de sitio web es ysearcher.com?

Ysearcher.com es la dirección de un motor de búsqueda falso. Normalmente, estas páginas no pueden ofrecer resultados de búsqueda y redirigen a sitios web legítimos de búsqueda en Internet.

Los motores de búsqueda fraudulentos suelen ser promocionados (a través de redireccionamientos) por secuestradores del navegador. El software dentro de esta clasificación tiende a alterar la configuración del navegador; sin embargo, las extensiones que descubrimos que promocionaban ysearcher.com no realizaban tales modificaciones.

¿Qué tipo de malware es LockBit 4.0?

LockBit 4.0 es una nueva variante del ransomware LockBit. Esta versión se lanzó en febrero de 2024, el mismo mes en que las fuerzas de seguridad detuvieron a dos operadores de LockBit. Cinco días después de la operación, los creadores publicaron un comunicado sobre su reestructuración y sus intenciones de seguir operando bajo el mismo nombre.

LockBit 4.0 está diseñado para cifrar datos y exigir rescates por su descifrado. En nuestra máquina de pruebas, una muestra de este ransomware encriptó archivos y añadió una extensión ".xa1Xx3AXs" a sus nombres de archivo, por ejemplo, un archivo inicialmente titulado "1.jpg" apareció como "1.jpg.xa1Xx3AXs", "2.png" como "2.png.xa1Xx3AXs", etc. Después, se creaba una nota de rescate: "xa1Xx3AXs.README.txt".

¿Qué tipo de página es goabeefoad[.]com?

Durante nuestro análisis de la página goabeefoad[.]com, descubrimos que utilizaba tácticas engañosas, concretamente clickbait, con el objetivo de atraer a visitantes inconscientes para que dieran su consentimiento para recibir notificaciones. Existen numerosas páginas comparables a goabeefoad[.]com, y es esencial destacar que los usuarios no las visitan intencionadamente.

¿Qué tipo de aplicación es Wappo.app?

Durante nuestro análisis de la aplicación Wappo.app, se descubrió que funciona como adware. Además, esta aplicación forma parte de la familia Pirrit. Tras su instalación, Wappo.app muestra anuncios molestos y potencialmente engañosos. Además, esta aplicación puede poseer la capacidad de acceder y recopilar información variada.

¿Qué tipo de malware es Tutu?

Tutu es un ransomware perteneciente a la familia Dharma. Su objetivo es impedir que las víctimas accedan a los archivos cifrándolos. Tutu renombra los archivos utilizando un patrón específico y muestra una ventana emergente (y crea el archivo "README!.txt") que contiene una nota de rescate.

Este ransomware añade el ID de la víctima, la dirección de correo electrónico tutu@download_file y la extensión ".tutu" a los nombres de los archivos. Por ejemplo, cambia "1.jpg" por "1.jpg.id-9ECFA84E.[tutu@download_file].tutu", "2.png" por "2.png.id-9ECFA84E.[tutu@download_file].tutu", etc.