Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Starmoon?

Hemos descubierto una nueva variante de ransomware llamada Starmoon. Se encontró en VirusTotal (al analizar las muestras de malware enviadas a esta página). Starmoon es parte de la familia de ransomware Spora. Encripta los archivos y agrega la identificación de la víctima, la dirección de email starmoon@my.com y cuatro caracteres aleatorios como la extensión de sus nombres de archivo.

Además, el ransomware Starmoon crea archivos de texto "ReadMe_Now!.hta" y "Read_Me!_.txt" que contienen una nota de rescate. Un ejemplo de cómo Starmoon cambia el nombre de los archivos: reemplaza "1.jpg" por "1.jpg[ID=hLOg5c-Mail=Starmoon@my.com].8rOq", "2.exe" con "2.exe[ID=hLOg5c-Mail=Starmoon@my.com].8rOq", y así sucesivamente.

¿Qué es el ransomware Yashma?

Mientras inspeccionaba puntos de acceso de venta de malware online (foros de hackers), nuestro equipo de investigación encontró el ransomware Yashma. Después de analizarlo, supimos que se trata de una nueva variante del ransomware Chaos.

Una vez que se lanzó en nuestra máquina de prueba, este programa malicioso comenzó a encriptar archivos y agregó sus nombres de archivo con una extensión que consta de cuatro caracteres aleatorios. Por ejemplo, un archivo inicialmente titulado "1.jpg" en nuestro sistema de prueba, apareció como "1.jpg.wung", "2.png" como "2.png.3npe", etc.

Posteriormente, Yashma cambió el fondo de escritorio y creó un archivo de texto llamado "read_it.txt", tanto el fondo de pantalla como el documento contenían mensajes que exigían rescate.

¿Qué es CrossSign?

CrossSign es una aplicación maliciosa que nuestro equipo de investigación encontró mientras inspeccionaba nuevos envíos a VirusTotal. Tras nuestro análisis de esta aplicación, determinamos que funciona como software con publicidad (adware) y que pertenece a la familia de malware AdLoad.

¿Qué es QuickPDFConverterSearch?

Mientras inspeccionaba fuentes de descarga dudosas, nuestro equipo de investigación descubrió la extensión del navegador QuickPDFConverterSearch. Después de analizarlo, descubrimos que funciona como un secuestrador de navegador que promueve al motor de búsqueda falso quickpdfconvertersearch.com.

¿Qué tipo de malware es Bumblebee?

Bumblebee es el nombre de un cargador de malware. Se sabe que los ciberdelincuentes lo utilizan para descargar Cobalt Strike y posiblemente otro malware como el ransomware. Bumblebee parece ser un reemplazo para BazaLoader, otro cargador de malware.

¿Qué tipo de página es deviceunder-shield[.]com?

Mientras inspeccionaban sitios no confiables, nuestros investigadores encontraron la página web maliciosa deviceunder-shield[.]com. Está diseñado para cargar estafas, enviar notificaciones spam en el navegador y redirigir a los visitantes a otras páginas web (probablemente dudosos/maliciosos). La mayoría de los usuarios ingresan a deviceunder-shield[.]com y sitios similares a través de redireccionamientos causados ​​por páginas que utilizan redes de publicidad no autorizadas.

¿Qué tipo de estafa es "Someone matched with you on Tinder!"?

Nuestro equipo analizó este email y descubrió que es una notificación de email falsa de Tinder que afirma que alguien ha coincidido contigo. Vale la pena mencionar que Tinder en realidad envía dichas notificaciones a sus usuarios. Sin embargo, este es enviado por estafadores que intentan engañar a los usuarios para que abran una página engañosa.

¿Qué es "Official Solana NFT Launch"?

"Official Solana NFT Launch" es una estafa, que nuestros investigadores descubrieron al inspeccionar páginas web dudosas. La estafa promete a los usuarios de la plataforma blockchain de Solana, que participen en ella, un regalo de los NFTs (Non-Fungible Tokens) "oficiales" de Solana. Debe enfatizarse que estas promesas son falsas, y las víctimas de esta estafa solo experimentarán una pérdida financiera y no obtendrán nada a cambio.

¿Qué es el email "Norton Subscription will renew today"?

"Norton Subscription will renew today" se refiere a una campaña de spam por email. Estas emails están disfrazadas como notificaciones de renovación de suscripción de NortonLifeLock. Debe enfatizarse que estos emails son falsos y ninguna de sus afirmaciones es cierta. Tampoco están asociados de ninguna manera con Norton AntiVirus o NortonLifeLock.

¿Qué es el ransomware "VICE SOCIETY"?

"VICE SOCIETY" es un programa de tipo ransomware. Encripta datos (hace que los archivos sean inaccesibles) y exige rescates por el desencriptado (recuperación de acceso).

Los archivos encriptados se adjuntan con una extensión ".v-society.[ID_de_la_víctima]". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecería como algo similar a "1.jpg.v-society.923-C3D-30D". Una vez que se completa este proceso, se crea una nota de rescate llamada "!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT".