Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Ebaka?

Mientras investigábamos nuevos casos de malware enviados a VirusTotal, nuestro equipo de investigación encontró el ransomware ransomware. Este programa malicioso forma parte de la familia de ransomware Phobos. Ebaka está diseñado para cifrar archivos y pedir rescates para descifrarlos.

En nuestro sistema de pruebas, este malware alteraba los archivos (mediante cifrado) y cambiaba sus nombres. A los títulos originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".ebaka". Por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka".

Una vez finalizado este proceso, Ebaka creaba notas de rescate y las colocaba en el escritorio y en todos los directorios cifrados. Una se mostraba en una ventana emergente ("info.hta"), y la otra era un archivo de texto ("info.txt").

¿Qué tipo de malware es NOOSE?

NOOSE es un ransomware de la familia Chaos. Una vez infectado el ordenador, NOOSE cifra los archivos, añade la extensión ".NOOSE", cambia el fondo de escritorio y crea el archivo "OPEN_ME.txt" (una nota de rescate). Un ejemplo de cómo se renombran los archivos cifrados por NOOSE: "1.jpg" se convierte en "1.jpg.NOOSE", "2.png" en "2.png.NOOSE", y así sucesivamente.

¿Qué tipo de malware es ZeroGuard?

ZeroGuard es un programa malicioso clasificado como ransomware. Este malware está diseñado para cifrar archivos y exigir un pago por el descifrado. Después de ejecutar una muestra de ZeroGuard en nuestro sistema de pruebas, cifró archivos y modificó sus nombres.

En concreto, al título original del archivo se le añadía la dirección de correo electrónico del ciberdelincuente, un identificador único asignado a la víctima y la extensión ".ZeroGuard". Por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg.ZeroGuard0@skiff.com.FFDPVRAPR8LI.ZeroGuard".

Una vez completado el proceso de cifrado, el ransomware ZeroGuard creaba un mensaje de petición de rescate titulado "Readme.txt".

¿Qué tipo de malware es Lockxx?

En nuestro análisis del malware, observamos que Lockxx funciona como un ransomware: cifra los archivos, añade su extensión ".lockxx" a los nombres de archivo y proporciona una nota de rescate ("lockxx.recovery_data.hta"). Además, Lockxx cambia el fondo de escritorio de la víctima.

Un ejemplo de cómo Lockxx modifica los nombres de los archivos: cambia "1.jpg" por "1.jpg.lockxx", "2.png" por "2.png.lockxx", y así sucesivamente. Este ransomware se descubrió mientras se analizaban muestras en VirusTotal.

¿Qué tipo de estafa es "WalletConnect & Web3Inbox Airdrop"?

"WalletConnect & Web3Inbox Airdrop" es una estafa. Se presenta como un airdrop realizado por WalletConnect y Web3Inbox. El engaño no está asociado con ningún servicio legítimo u otras entidades. Esta estafa opera como un drenador de criptomoneda y roba los fondos almacenados en las carteras digitales de las víctimas.

¿Qué tipo de malware es Rdptest?

En nuestro análisis, se determinó que Rdptest funciona como ransomware. Al penetrar en el sistema operativo, Rdptest cifra y cambia los nombres de los archivos, presentando dos notas de rescate ("info.hta" e "info.txt"). Este ransomware en particular pertenece a la familia Phobos y fue identificado durante el análisis de muestras enviadas a VirusTotal.

Rdptest añade el ID de la víctima, la dirección de correo electrónico rdpstresstest@proton.me y la extensión ".rdptest" a los nombres de archivo. Por ejemplo, cambia "1.jpg" por "1.jpg.id[1E857D00-3449].[Rdpstresstest@proton.me].rdptest", "2.png" por "2.png.id[1E857D00-3449].[Rdpstresstest@proton.me].rdptest", etc.

¿Qué tipo de malware es Dedsec?

Dedsec es un ransomware (descubierto por S!Ri) diseñado para cifrar archivos y exigir un pago a cambio de su descifrado. Además, Dedsec cambia el nombre de todos los archivos afectados añadiendo la extensión ".dedsec", cambia el fondo de escritorio y muestra una ventana emergente con una nota de rescate.

Un ejemplo de cómo Dedsec modifica los nombres de los archivos: renombra "1.jpg" a "1.jpg.dedsec", "2.png" a "2.png.dedsec", y así sucesivamente.

¿Qué tipo de malware es Kasseika?

Kasseika es un programa de tipo ransomware. Funciona cifrando datos para exigir un pago por el descifrado. En nuestra máquina de pruebas, Kasseika cifró archivos y alteró sus nombres.

A los títulos originales de los archivos se les añadía una extensión formada por una cadena de caracteres aleatoria. Por ejemplo, un archivo originalmente llamado "1.jpg" aparecía como "1.jpg.CBhwKBgQD" tras el cifrado. Una vez completado este proceso, Kasseika cambiaba el fondo de escritorio. También creó un archivo de texto titulado "[cadena_aleatoria].README.txt"; en nuestro sistema, era "CBhwKBgQD.README.txt".

Existe cierto paralelismo entre Kasseika y el ransomware BlackMatter. Como el código fuente de este último no está ampliamente disponible, las similitudes podrían deberse a la implicación de los socios de BlackMatter con Kasseika o a una compra exclusiva.

¿Qué tipo de malware es Xeno?

Xeno es un sofisticado troyano de acceso remoto (RAT) que permite a los operadores (delincuentes) controlar ordenadores de forma remota. Está escrito en lenguaje de programación C# y diseñado para funcionar sin problemas en los sistemas operativos Windows 10 y 11. Las víctimas deben eliminarlo de los sistemas infectados lo antes posible.

¿Qué tipo de estafa es "Token Terminal's Airdrop"?

Tras inspeccionar "Token Terminal's Airdrop", hemos determinado que se trata de una estafa. Imita a la plataforma Token Terminal ejecutando un airdrop, y un mecanismo de drenaje de criptomonedas se pone en marcha una vez que la víctima expone su cuenta a este falso regalo.