Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Wing?

Wing es el nombre de un programa de tipo ransomware. Este malware está diseñado para cifrar archivos y pedir rescates por su recuperación (descifrado).

Hemos obtenido una muestra de prueba de este ransomware y la hemos ejecutado en nuestro sistema de pruebas. El programa añadía a los archivos bloqueados una extensión ".wing", por ejemplo, un archivo titulado "1.jpg" aparecía después como "1.jpg.Wingransomware@test.com.Q0ZLQA5KUMLK.wing". Una vez completado este proceso, aparecía una nota de rescate llamada "Readme.txt".

Dado que investigamos una versión de prueba de Wing, su extensión y el título/contenido de la nota pueden variar dependiendo de los atacantes que operen este ransomware.

Es pertinente mencionar que se han descubierto correos electrónicos de spam y publicaciones en foros de hackers en los que los desarrolladores de Wing buscan socios (es decir, intentan establecer un negocio de modelo Ransomware-as-a-Service - RaaS).

¿Qué tipo de sitio web es ssj4.io?

Mientras investigábamos sitios web engañosos, nuestro equipo descubrió un paquete de instalación que contenía una aplicación dudosa que obliga a los usuarios a visitar ssj4.io, un motor de búsqueda cuestionable. Normalmente, los programas de secuestro del navegador modifican la configuración del navegador para promocionar este tipo de sitios. En este caso, la aplicación se abstuvo de alterar ninguna configuración. Además, empleaba un mecanismo de persistencia, lo que complicaba el proceso de eliminación.

¿Qué tipo de malware es Mispadu?

Mispadu (también conocido como URSA) es el nombre de un troyano bancario. Los ciberdelincuentes que están detrás de este software tienen como objetivo a personas que viven en Brasil, España y México.

Pretenden robar credenciales y datos bancarios y de tarjetas de crédito. Las investigaciones muestran que este malware se distribuye a través de campañas de spam y anuncios maliciosos. Los usuarios de ordenadores infectados con Mispadu pueden sufrir pérdidas económicas y problemas de privacidad en línea. Este troyano bancario debe ser eliminado del sistema inmediatamente.

¿Qué tipo de malware es Fastbackdata?

Mientras investigábamos nuevos archivos enviados a VirusTotal, nuestros investigadores descubrieron el ransomware Fastbackdata. Está diseñado para cifrar datos y pedir rescates por su descifrado. Este programa malicioso pertenece a la familia de ransomware Phobos.

Fastbackdata cifró archivos y cambió sus nombres en nuestro sistema de pruebas. A los nombres de archivo originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los atacantes y la extensión ".fastbackdata". Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3511].[fastbackdata@skiff.com].fastbackdata".

Una vez completado el proceso de cifrado, este ransomware creaba dos notas de rescate - "info.hta" (emergente) e "info.txt"- y las depositaba en el escritorio y en todos los directorios cifrados. A juzgar por estos mensajes, es evidente que Fastbackdata se dirige más a las empresas que a los usuarios domésticos.

¿Qué tipo de malware es New24?

A través de nuestro análisis del malware, hemos determinado que New24 es un ransomware perteneciente a la familia Phobos. Descubrimos New24 al comprobar las muestras enviadas a VirusTotal. Una vez activado, New24 cifra los datos y exige un pago por su descifrado (presenta dos notas de rescate, "info.hta" e "info.txt").

Además, New24 añade el ID de la víctima, una dirección de correo electrónico y la extensión ".new24" a los nombres de los archivos. Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.id[9ECFA84E-3449].[decrypt2024@skiff.com].new24", "2.png" a "2.png.id[9ECFA84E-3449].[decrypt2024@skiff.com].new24", etc.

¿Qué tipo de sitio web es searchtosearch.com?

Durante el análisis de los sitios web engañosos, nuestros investigadores descubrieron un paquete de instalación que albergaba una aplicación cuestionable que obliga a los usuarios a visitar searchtosearch.com, y la dirección que opera como componente dentro de una cadena de redireccionamiento.

Normalmente, los programas de secuestro del navegador promueven este tipo de sitios ajustando la configuración del navegador. Sin embargo, la aplicación mencionada no realizó ninguna modificación en el navegador de nuestro sistema de pruebas. Además, empleó un mecanismo de persistencia para dificultar su proceso de eliminación.

¿Qué tipo de malware es MIRROR?

A través de nuestro análisis de muestras de malware subidas a VirusTotal, hemos determinado que MIRROR es una variante de ransomware perteneciente a la familia Dharma. El objetivo de MIRROR es cifrar archivos. Además, cambia el nombre de los archivos y proporciona dos notas de rescate (muestra una ventana emergente y crea el archivo "info-MIRROR.txt").

El ransomware MIRROR añade el ID de la víctima, la dirección de correo electrónico tpyrcedrorrim@tuta.io y la extensión ".Mr" a los nombres de los archivos. Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.id-9ECFA84E.[tpyrcedrorrim@tuta.io].Mr", "2.png" a "2.png.id-9ECFA84E.[tpyrcedrorrim@tuta.io].Mr", etc.

¿Qué tipo de malware es VajraSpy?

VajraSpy es un troyano de acceso remoto (RAT) diseñado específicamente para el espionaje selectivo en dispositivos Android. Este malware presenta una amplia gama de funcionalidades, entre las que se incluyen el robo de datos, la grabación de llamadas, la interceptación de mensajes e incluso la captura de fotos a través de la cámara del dispositivo. El despliegue de VajraSpy implica aplicaciones aparentemente inocuas.

¿Qué tipo de malware es PrivateLoader?

PrivateLoader es un programa malicioso clasificado como loader. El software dentro de esta clasificación está diseñado para causar infecciones en cadena descargando/instalando malware adicional u otro contenido malicioso en las máquinas comprometidas.

PrivateLoader también se considera una familia de malware, ya que llega a los sistemas en diferentes configuraciones preparadas para propagar programas específicos, y se ha utilizado para causar una amplia variedad de infecciones, desde ladrones de información hasta ransomware.

El programa PrivateLoader ha existido desde al menos la primavera de 2021 y se cree que es el loader más prevalente en 2022. Este malware se ha vinculado a los grupos criminales ruzki (también conocido como zhigalsz, les0k).

¿Qué tipo de estafa es "Jupiter Airdrop"?

El "Jupiter Airdrop" que hemos investigado es una estafa. Este airdrop afirma distribuir la criptomoneda Jupiter (JUP). Sin embargo, después de que la víctima conecte su cartera digital a esta plataforma, comienza a funcionar como un drenador de criptomoneda y vacía los fondos.