Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware DENO?

Nuestros investigadores descubrieron el ransomware DENO mientras inspeccionaban nuevos registros en VirusTotal. Determinamos que este programa malicioso está basado en el ransomware CONTI.

Tras ejecutar una muestra de DENO en nuestro sistema de prueba, cifró los archivos y añadió a sus nombres una extensión ".DENO". Por ejemplo, un archivo originalmente titulado "1.jpg" aparecía como "1.jpg.DENO", "2.png" como "2.png.DENO", etc. Una vez finalizado el proceso de cifrado, se creaba una nota de rescate llamada "readme.txt".

¿Qué es Cricket Start?

Mientras inspeccionábamos sitios web de descargas poco fiables, encontramos la extensión del navegador Cricket Start. Promete un acceso rápido a los resultados y actualizaciones deportivas de Cricket. Después de analizar este software, determinamos que funciona como un secuestrador del navegador que promueve el falso motor de búsqueda search.nstart.online.

¿Qué tipo de malware es Coper?

Coper es el nombre de un troyano bancario para Android. Nuestros investigadores de malware descubrieron que Coper está vinculado a otro malware para Android llamado ExoBotCompat (una versión reformada de Exobot). Se dirige a varias aplicaciones bancarias. Descubrimos que Coper se hace pasar por varias aplicaciones bancarias y de servicios públicos (las utiliza como droppers).

¿Qué tipo de malware es Edw?

Edw es un ransomware que cifra los archivos, añade el ID de la víctima, la dirección de correo electrónico edward22w@aol.com y la extensión ".edw" a los nombres de los archivos, y genera dos notas de rescate (muestra una ventana emergente y crea un archivo de texto llamado "FILES ENCRYPTED.txt"). Hemos descubierto que Edw pertenece a una familia de ransomware llamada Dharma.

Nuestros investigadores de malware descubrieron el ransomware Edw mientras examinaban muestras de malware enviadas a VirusTotal. Un ejemplo de cómo Edw cambia el nombre de los archivos: cambia "1.jpg" a "1.jpg.id-9ECFA84E.[edward22w@aol.com].edw", "2.png" a "2.png.id-9ECFA84E.[edward22w@aol.com].edw", y así sucesivamente.

¿Qué es el ransomware Non (Phobos)?

Non es el nombre de un programa de tipo ransomware que nuestro equipo de investigación descubrió mientras buscaba nuevos registros en VirusTotal. Hemos determinado que esta pieza de software malicioso forma parte de la familia de ransomware Phobos.

Tras ejecutar una muestra del ransomware Non (Phobos) en nuestro ordenador de prueba, descubrimos que cifra los archivos y altera sus nombres. A los títulos de los archivos afectados se les añade el ID de la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".Non" extension. Por ejemplo, un archivo originalmente llamado "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3268].[noname@mailc.net].Non".

Una vez finalizado el proceso de cifrado, se creaban o mostraban notas de rescate en una ventana emergente ("info.hta") y en un archivo de texto ("info.txt").

¿Qué es IceXLoader?

IceXLoader es un malware de tipo loader escrito en el lenguaje de programación Nim. Los programas maliciosos dentro de esta clasificación están diseñados para causar infecciones en cadena. En otras palabras, operan descargando/instalando componentes maliciosos adicionales o malware en los sistemas comprometidos.

¿Qué es StealBit?

StealBit es el nombre de un programa malicioso diseñado para exfiltrar (descargar) contenido sensible de las máquinas infectadas. Este malware ha sido utilizado en campañas que concluyen con infecciones del ransomware LockBit.

StealBit se emplea con la táctica de doble extorsión utilizada por LockBit. La función de este programa es obtener datos vulnerables antes de que el ransomware cifre los archivos de las víctimas. Por tanto, además de que el pago del rescate es la única forma de descifrar los archivos afectados, también se convierte en la solución para evitar la publicación del contenido robado.

¿Qué es AndroRAT?

AndroRAT es el nombre de un programa malicioso dirigido a los sistemas operativos Android en los smartphones. Está clasificado como un troyano de acceso remoto (RAT). El malware de este tipo está diseñado para permitir el acceso remoto sigiloso y el control de un dispositivo infectado.

Estos troyanos tienen una amplia variedad de funcionalidades peligrosas, que pueden ser utilizadas de diversas maneras. Por lo tanto, las amenazas que plantean las infecciones de RAT son especialmente amplias. AndroRAT está clasificado como una pieza de software altamente peligrosa, y como tal las infecciones asociadas deben ser eliminadas inmediatamente tras su detección.

¿Qué tipo de aplicación es Cinemate?

Cinemate se describe como una aplicación que ayuda a los usuarios a encontrar películas en cartelera. Hemos descubierto esta aplicación mientras examinábamos sitios web engañosos. Después de descargar y añadir Cinemate a un navegador web, descubrimos que genera anuncios (funciona como adware). Es muy recomendable no instalar aplicaciones con publicidad.

¿Qué es la estafa emergente "METAMASK"?

Descubrimos la estafa "METAMASK" mientras inspeccionábamos sitios web fraudulentos. Se disfraza como una página de recuperación de credenciales de inicio de sesión para MetaMask, un auténtico monedero de criptomonedas diseñado para interactuar con la cadena de bloques de Ethereum. Este esquema opera como una estafa de phishing. En otras palabras, su objetivo es engañar a los usuarios para que revelen las credenciales de inicio de sesión de sus monederos, para posteriormente obtener acceso y control sobre ellos.