Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware Lilith?

Lilith es el nombre de un programa malicioso clasificado como ransomware. El malware dentro de esta categoría está diseñado para cifrar datos y exigir un pago por el descifrado.

Cuando ejecutamos una muestra de Lilith en nuestra máquina de pruebas, cifró los archivos y añadió a sus nombres una extensión ".lilith" extension. Por ejemplo, un archivo originalmente titulado "1.jpg" aparecía como "1.jpg.lilith", "2.png" como "2.png.lilith", etc. Después, se creaba un mensaje de petición de rescate llamado "Restore_Your_Files.txt" en el escritorio.

¿Qué es "Chance To Win The New iPad Pro"?

Es habitual que los estafadores empleen páginas web de phishing para engañar a los usuarios y hacer que proporcionen información confidencial. Sin embargo, es poco común que estas páginas sean visitadas por los usuarios intencionalmente.

En la mayoría de los casos, las páginas de phishing se abren después de hacer clic en anuncios sospechosos, a través de otras páginas poco fiables o mediante la instalación de aplicaciones potencialmente no deseadas (PUA).

La mayoría de los estafadores utilizan estas páginas para engañar a los usuarios desprevenidos para que proporcionen sus credenciales de inicio de sesión (por ejemplo, nombres de usuario, direcciones de correo electrónico, contraseñas), números de cuentas bancarias, datos de tarjetas de crédito, números de la seguridad social o cualquier otra información personal sensible.

¿Qué es la estafa por correo electrónico relativa a los beneficiarios/la herencia?

Por lo general, los estafadores que están detrás de estafas por correo electrónico como ésta intentan engañar a los destinatarios haciéndoles creer que son beneficiarios de un testamento, una política de seguro de vida, etc. Los estafadores piden a los destinatarios que se pongan en contacto con ellos y les proporcionen diversos datos. En algún momento, se pide a los destinatarios que paguen una tasa de tramitación o de transferencia.

Tenga en cuenta que los estafadores se aprovechan de los nombres de organizaciones y empresas existentes, a menudo muy conocidas, para que sus correos electrónicos parezcan legítimos.

¿Qué es el adware Healthy?

Healthy es una aplicación fraudulenta que, según nuestro análisis, es un software respaldado por publicidad (adware). Las aplicaciones incluidas en esta clasificación funcionan mediante campañas publicitarias intrusivas, es decir, mostrando anuncios.

¿Qué es el ransomware H0lyGh0st?

H0lyGh0st, también conocido como HolyGhost, es un programa de tipo ransomware. Está diseñado para cifrar datos y exigir un rescate por el descifrado. Además, se sabe que las infecciones de H0lyGh0st implican tácticas de doble extorsión (es decir, amenazas adicionales que implican la filtración de datos).

Este malware se ha relacionado con ciberdelincuentes norcoreanos que tienen como objetivo a pequeñas y medianas empresas; el Centro de Inteligencia de Amenazas de Microsoft ha estado siguiendo esta actividad.

Después de lanzar una muestra de H0lyGh0st en nuestro sistema de pruebas, cifró los archivos y modificó sus nombres. Los nombres originales de los archivos se cambiaron por una cadena de caracteres aleatorios y se les añadió la extensión ".h0lyenc". Por ejemplo, un archivo titulado "1.jpg" aparecía como "U3RhcnQgVG9yIEJyb3dzZXIubG5r.h0lyenc", "2.png" como "SVBWYW5pc2gubG5r.h0lyenc", etc.

A continuación, un archivo HTML llamado "FOR_DECRYPT.html" se colocaba en el escritorio. Este archivo contenía el mensaje de petición de rescate.

¿Qué es ApolloRAT?

ApolloRAT es un software malicioso clasificado como RAT (troyano de acceso remoto). Este tipo de malware permite el acceso y el control remotos de los dispositivos infectados.

ApolloRAT está escrito en Python. Los lenguajes de programación como Python suelen depender de los compiladores. Los desarrolladores de este RAT utilizaron el compilador fuente a fuente Nuitka lo cual es poco común, pero su complejidad hace que ApolloRAT sea difícil de revertir.

También cabe destacar que este malware utiliza la plataforma de mensajería Discord como servidor de C&C, lo que añade otra capa a las cualidades de ApolloRAT que dificulta su detección.

¿Qué tipo de página es cleancaptcha[.]top?

Cleancaptcha[.]top es una página web engañosa que descubrimos al inspeccionar sitios web que utilizan redes publicitarias fraudulentas. Muestra contenido engañoso (un CAPTCHA falso) para engañar a los visitantes para que acepten recibir notificaciones. Además, cleancaptcha[.]top redirige a sitios web fraudulentos.

¿Qué es el adware Strength?

Mientras inspeccionaban páginas web fraudulentas, nuestros investigadores descubrieron una que promocionaba la aplicación fraudulenta Strength. Después de analizar esta aplicación, determinamos que funciona como software respaldado por publicidad (adware).

¿Qué tipo de malware es Xrom?

Al examinar las muestras de malware enviadas a la página VirusTotal, nuestro equipo se encontró con un ransomware llamado Xrom, que pertenece a la familia Dharma. Xrom cifra los archivos y añade el ID de la víctima, la dirección de correo electrónico money21@onionmail.org y la extensión ".xrom" a los nombres de los archivos. Además, incluye el archivo "FILES ENCRYPTED.txt" y muestra una ventana emergente con notas de rescate.

Un ejemplo de cómo el ransomware Xrom modifica los nombres de los archivos: cambia el nombre de "1.jpg" a "1.jpg.id-9ECFA84E.[money21@onionmail.org].xrom", "2.png" a "2.png.id-9ECFA84E.[money21@onionmail.org].xrom", etc.

¿Qué es el ransomware U2K?

Mientras inspeccionaban los nuevos registros en VirusTotal, nuestros investigadores descubrieron el ransomware U2K. Determinamos que este programa malicioso es idéntico al ransomware MME.

Después de lanzar una muestra de U2K en nuestra máquina de prueba, cifró los archivos y alteró sus nombres. A los nombres de los archivos se les añadía la extensión ".U2K", e.g., por ejemplo, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.U2K", "2.png" como "2.png.U2K", etc. Una vez completado este proceso, se creaba un mensaje de petición de rescate, "ReadMe.txt".