Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es DevilsTongue?

Investigado por primera vez por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) en colaboración con Citizen Lab, DevilsTongue es un software malicioso multifuncional escrito en los lenguajes de programación C y C++.

Los resultados del MSTIC sugieren que DevilsTongue está asociado a ciberdelincuentes que desarrollan y venden paquetes de malware y herramientas de hacking para la ciberguerra. Se sospecha que los ciberdelincuentes que están detrás de DevilsTongue, apodados SOURGUM, son un grupo con sede en Israel.

Se cree que el sofisticado material ofrecido por SOURGUM ha sido utilizado para atacar a más de un centenar de víctimas, entre ellas políticos, trabajadores de embajadas, académicos, activistas de derechos humanos, periodistas y disidentes políticos.

¿Qué tipo de página es captcha4you[.]top?

Captcha4you[.]top es un sitio fraudulento diseñado para engañar a los visitantes y permitirles enviar notificaciones de spam al navegador. Además, esta página web es capaz de redirigir a los usuarios a otros sitios web (probablemente dudosos/maliciosos).

Nuestros investigadores descubrieron captcha4you[.]top mientras inspeccionaban sitios que utilizan redes publicitarias fraudulentas. Cabe destacar que las redirecciones causadas por las páginas mencionadas son la forma en que la mayoría de los usuarios acceden a captcha4you[.]top y a sitios web similares.

¿Qué es el stealer Echelon?

Echelon es un programa malicioso, clasificado como stealer. El objetivo principal de este malware es robar información de los sistemas infectados.

Puede extraer y exfiltrar una gran variedad de datos de los dispositivos comprometidos. Además, este stealer tiene importantes capacidades de antidetección y antianálisis, lo que complica su descubrimiento e investigación. Echelon es un software altamente peligroso y debe ser eliminado inmediatamente del sistema operativo.

¿Qué es BasicEngine?

Nuestros investigadores encontraron la aplicación fraudulenta BasicEngine mientras inspeccionaban nuevos registros en VirusTotal. Después de analizar esta aplicación, determinamos que funciona como software respaldado por publicidad (adware) y forma parte de la familia de malware AdLoad.

¿Qué es el ransomware FARGO?

FARGO es una nueva variante del ransomware TargetCompany. El malware de este tipo está diseñado para cifrar datos y exigir un rescate por el descifrado.

Después de ejecutar una muestra en nuestro sistema de prueba, descubrimos que este ransomware cifra los archivos y añade a sus nombres una extensión ".FARGO". Por ejemplo, un archivo originalmente titulado "1.jpg" aparecía como "1.jpg.FARGO", "2.png" como "2.png.FARGO", y así sucesivamente.

Una vez finalizado el proceso de cifrado, FARGO colocó una nota de rescate llamada "FILE RECOVERY.txt" en el escritorio.

¿Qué es Phoenix-Phobos?

Descubierto por primera vez por GrujaRS y perteneciente a la familia de ransomware Phobos, Phoenix-Phobos es un ransomware de alto riesgo diseñado para cifrar datos y pedir un rescate. Durante el cifrado, Phoenix-Phobos cambia el nombre de cada archivo añadiendo la extensión ".phoenix" más la identificación única de la víctima y la dirección de correo electrónico del desarrollador.

Por ejemplo, "sample.jpg" podría renombrarse a un nombre de archivo como "sample.jpg.id[1E857D00-0001].[absonkaine@aol.com].phoenix". Las variantes actualizadas del ransomware Phoenix-Phobos utilizan la extensión ".[britt.looper@aol.com].phoenix" para los archivos cifrados. Además, Phoenix-Phobos añade los archivos "info.hta" (que también se abre) e "info.txt" en el escritorio.

¿Qué es el ransomware Redeemer?

El ransomware es un tipo de malware que bloquea el acceso a los archivos cifrándolos, modifica sus nombres añadiendo su extensión y genera un mensaje de petición de rescate.

Redeemer añade la extensión ".redeem", por ejemplo, cambia el nombre de un archivo llamado "1.jpg" a "1.jpg.redeem", "2.jpg" a "2.jpg.redeem", etc. Como nota de rescate, Redeemer crea el archivo de texto "Read Me.TXT" (crea su nota de rescate en todas las carpetas que contienen archivos cifrados).

¿Qué es ANNABELLE?

Descubierto inicialmente por Bart, ANNABELLE es un virus de tipo ransomware que se infiltra sigilosamente en el sistema y cifra la mayoría de los archivos almacenados. Durante el cifrado, este malware añade a los nombres de los archivos la extensión ".ANNABELLE" (por ejemplo, "sample.jpg" pasa a llamarse "sample.jpg.ANNABELLE").

A partir de este momento, el uso de los archivos se vuelve imposible. Los resultados de la investigación muestran que, después de cifrar los archivos con éxito, ANNABELLE también realiza varias tareas para corromper el sistema y, después de reiniciarlo, bloquea toda la pantalla.

¿Qué tipo de malware es CloudMensis?

Al analizar las muestras suministradas a la página de VirusTotal, nuestro equipo descubrió un software espía dirigido a los usuarios de macOS llamado CloudMensis. Se descubrió que CloudMensis está escrito en lenguaje de programación Objective-C. Puede exfiltrar documentos y archivos adjuntos de correo electrónico, capturar la pantalla, registrar las pulsaciones del teclado y robar otros datos sensibles.

¿Qué es el ransomware NMO?

Mientras examinaban los nuevos registros de VirusTotal, nuestros investigadores encontraron otro programa de tipo ransomware, llamado NMO, que pertenece a la familia del ransomware Dharma.

Tras ejecutar una muestra de NMO en nuestra máquina de pruebas, cifró los archivos y alteró sus nombres. A los títulos originales se les añadió un identificador único, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".NMO". Por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[dr.nemo@tutanota.com].NMO".

Una vez finalizado el cifrado, el ransomware mostraba una ventana emergente y depositaba un archivo de texto titulado "info.txt" en el escritorio. Tanto la ventana emergente como el archivo de texto contenían notas de rescate.