Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Noctua?

Noctua es una variante de ransomware que pertenece a la familia de ransomware Makop. Nuestro equipo ha descubierto esta variante durante el análisis de muestras de malware enviadas a VirusTotal. Se descubrió que Noctua encripta los archivos y agrega una cadena de caracteres aleatorios, la dirección de email noctua0302@goat.si y la extensión ".noctua" a los nombres de archivo.

También crea una nota de rescate (el archivo "readme-warning.txt"). Un ejemplo de cómo ransomware Noctua modifica los nombres de archivo: cambia el nombre de "1.jpg" a "1.jpg.[87C29B86].[noctua0302@goat.si].noctua", "2.png" a "2.png.[87C29B86 ].[noctua0302@goat.si].noctua", y así sucesivamente.

¿Qué tipo de malware es Sojusz?

Hemos descubierto el ransomware Sojusz mientras revisábamos varios foros. Aparentemente, los ciberdelincuentes ya han realizado ataques exitosos ya que los usuarios en Internet afirman que sus archivos han sido encriptados por el ransomware Sojusz. Hemos encontrado que Sojusz es parte de la familia de ransomware Makop.

Nuestro equipo también descubrió que Sojusz agrega caracteres aleatorios, la dirección de email ustedesfil@safeswiss.com y la extensión ".sojusz" a los nombres de archivo. Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.[fd4702551a].[ustedesfil@safeswiss.com].sojusz", "2.jpg" a "2.jpg.[fd4702551a].[ustedesfil@safeswiss.com].sojusz". También crea el archivo "-----README_WARNING-----.txt" (una nota de rescate).

¿Qué tipo de aplicación es SearchConverterOnline?

El objetivo principal del secuestrador de navegador SearchConverterOnline es promover searchconverteronline.com, la dirección de un motor de búsqueda falso. Por lo general, las aplicaciones de este tipo promueven motores de búsqueda falsos al cambiar ciertas configuraciones del navegador.

Los secuestradores de navegador también pueden recopilar datos relacionados con la navegación (y otros). Tenga en cuenta que los usuarios suelen descargar e instalar SearchConverterOnline y aplicaciones similares sin darse cuenta.

¿Qué tipo de malware es NB65?

NB65 es un ransomware basado en otro ransomware llamado CONTI. Este malware encripta archivos, agrega la extensión ".NB65" a los nombres de archivo y crea el archivo "R3ADM3.txt" que contiene una nota de rescate. Fue descubierto por Amigo-A. Un ejemplo de cómo NB65 cambia el nombre de los archivos encriptados: cambia "1.jpg" a "1.jpg.NB65", "2.png" a "2.png.NB65", y así sucesivamente.

¿Qué tipo de aplicación es LogicCheck?

LogicCheck es una aplicación de tipo adware que genera anuncios y puede leer el contenido de la página web y el historial de navegación. Hemos descubierto esta aplicación mientras inspeccionábamos páginas engañosas que ofrecían instalar actualizaciones de software. En la mayoría de los casos, las aplicaciones como LogicCheck se descargan e instalan sin querer.

¿Qué es el email "I broke into your computer system using the Wireless network router"?

Después de inspeccionar el email de "I broke into your computer system using the Wireless network router", determinamos que es spam que funciona como una estafa de sextorsión.

Debe enfatizarse que todas las afirmaciones hechas en esta email (es decir, posesión de una grabación explícita con el destinatario, infección del sistema, exfiltración de datos, etc.) son todas falsas. Por lo tanto, estos emails no representan una amenaza real para los destinatarios.

¿Qué es "Whisper Stealer"?

"Whisper Stealer" es un ladrón (stealer) de información dirigido a navegadores Chromium y Gecko, carteras de criptomonedas, tokens de Discord y sesiones de Telegram (y otros datos). Se promociona (y vende) en foros de hackers.

Hay cinco planes de suscripción disponibles: 250 rublos por un mes, 600 rublos por tres meses, 1000 rublos por seis meses, 1650 rublos por un año y 3000 rublos por la suscripción de por vida.

¿Qué tipo de aplicación es SearchHDConverter?

Nuestro equipo descubrió la aplicación SearchHDConverter mientras inspeccionaba páginas web engañosas que ofrecían agregarlo a un navegador. Después de probar la aplicación, nos enteramos de que es un secuestrador de navegador que cambia la configuración del navegador web afectado. Promueve la dirección searchhdconverter.com, un motor de búsqueda falso.

¿Qué es Talisman?

Talisman es una nueva variante de PlugX RAT (troyano de acceso remoto, por sus siglas en inglés). El malware dentro de esta clasificación está diseñado para permitir el acceso/control remoto sobre las máquinas infectadas, y se sabe que estos troyanos son multifuncionales. Las funcionalidades de Talisman no han sufrido alteraciones significativas en comparación con las versiones recientes de PlugX, los principales cambios se refieren a la configuración interna del programa y las modificaciones del código.

Si bien PlugX se ha asociado durante mucho tiempo con ciberdelincuentes patrocinados por el estado chino, la investigación realizada por otros analistas sugiere que no es exclusivo.

Sin embargo, según un informe de Trellix, hay evidencia más sustancial que vincula a Talisman con la guerra cibernética de China. Las campañas observadas que proliferan en esta RAT se dirigieron a las esferas de telecomunicaciones y defensa en los países del sur de Asia con motivaciones alineadas con las posturas geopolíticas de China (particularmente en lo económico).

¿Qué tipo de malware es Ust29?

Ust29 es un ransomware perteneciente a la familia Dharma. Nuestros investigadores de malware lo han descubierto mientras examinaban muestras enviadas a la página de VirusTotal. Se descubrió que Ust29 encripta los archivos y agrega la identificación de la víctima, la dirección de email ust29@aol.com y la extensión ".ust29" a los nombres de los archivos. Proporciona notas de rescate en una ventana emergente y el archivo "FILES ENCRYPTED.txt".

Un ejemplo de cómo Ust29 modifica los nombres de archivo: cambia el nombre de "1.jpg" a "1.jpg.id-9ECFA84E.[ust29@aol.com].ust29", "2.png" a "2.png.id-9ECFA84E.[ust29@aol.com].ust29", etc.