Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de aplicación es TextBoard?

Nuestro equipo ha detectado la aplicación TextBoard mientras inspeccionaba muestras enviadas al sitio web VirusTotal. Tras el análisis, descubrimos que el objetivo de TextBoard es mostrar varios anuncios. Por lo tanto, clasificamos esta aplicación como adware. Normalmente, los usuarios instalan software de este tipo sin darse cuenta.

¿Qué es TotalLetterSearch?

TotalLetterSearch es una aplicación no deseada clasificada como adware. Este adware forma parte de un grupo de aplicaciones de tipo adware llamado AdLoad. El adware está diseñado simplemente para mostrar varios anuncios, sin embargo, esta aplicación en particular también promociona la dirección de un motor de búsqueda falso.

De este modo, TotalLetterSearch funciona tanto como adware como secuestrador del navegador. Tenga en cuenta que también puede rastrear y registrar información.

Los usuarios suelen descargar e instalar aplicaciones de tipo adware sin darse cuenta. Las investigaciones muestran que, para engañar a la gente e inducirla a instalar TotalLetterSearch, los desarrolladores utilizan un instalador falso de Adobe Flash Player. Teste tipo de instalador también puede utilizarse para propagar troyanos, ransomware y otros programas maliciosos.

¿Qué tipo de malware es Agent Racoon?

Agent Racoon es un programa malicioso escrito utilizando el marco .NET. Está clasificado como backdoor; el malware dentro de esta clasificación está diseñado para abrir un "backdoor" (puerta trasera) en los sistemas objetivo. Estos programas suelen utilizarse en las fases iniciales de las infecciones en varias etapas.

Los primeros casos de Agent Racoon se descubrieron en julio de 2022; sin embargo, en agosto de 2020 se registró un dominio C&C (Mando y Control) asociado a sus infecciones.

Se ha observado el uso de este backdoor, junto con otros programas maliciosos, en ataques contra organizaciones de Oriente Próximo, África y Estados Unidos. En concreto, Agent Racoon se utilizó en infecciones dirigidas a entidades gubernamentales y organizaciones sin ánimo de lucro. Hay pruebas que sugieren que estos ataques podrían haber sido llevados a cabo por un agente amenazador respaldado por un Estado.

¿Qué es "DHL Unpaid Duty"?

Durante nuestra evaluación, se ha descubierto que este correo electrónico es un intento fraudulento que se hace pasar por una notificación de DHL, una reputada empresa de logística. Los individuos que orquestan esta estafa pretenden engañar a los destinatarios para que accedan a un sitio web falso y divulguen información personal. Estos correos electrónicos engañosos entran en la categoría de correos electrónicos de phishing.

¿Qué tipo de malware es Elpy?

Mientras realizábamos análisis periódicos de muestras de malware enviadas a VirusTotal, descubrimos una variante de ransomware apodada Elpy. Pertenece a la familia Phobos y está diseñado para cifrar archivos, modificar sus nombres y proporcionar dos notas de rescate. Elpy añade el ID de la víctima, la dirección de correo electrónico ambu.lance@tuta.io y la extensión ".elpy" a los nombres de los archivos.

Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.id[9ECFA84E-3352].[ambu.lance@tuta.io].elpy", "2.png" a "2.png.id[9ECFA84E-3352].[ambu.lance@tuta.io].elpy", etc. Las notas de rescate creadas por Elpy se denominan "info.txt" e "info.hta".

¿Qué es SearchMainInfo?

SearchMainInfo es una aplicación potencialmente no deseada (PUA, por sus siglas en inglés) que funciona como adware y secuestrador del navegador: cambia la configuración del navegador (para promocionar un motor de búsqueda falso) y muestra anuncios. Normalmente, los usuarios no descargan ni instalan estas aplicaciones intencionadamente. SearchMainInfo se promociona/distribuye mediante un instalador engañoso de Adobe Flash Player.

¿Qué tipo de malware es Intel?

Mientras investigaban nuevos registros de archivos en el sitio web VirusTotal, nuestros investigadores descubrieron el ransomware Intel. Este programa malicioso forma parte de la familia de ransomware Dharma. El malware Intel cifra los datos y exige un pago para descifrarlos.

En nuestra máquina de prueba, los archivos cifrados por Intel también cambiaron de nombre. A los nombres de archivo originales se les añadió un identificador único asignado a la víctima, ".[intellent@ai_download_file]", y la extensión ".intel". Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[intellent@ai_download_file].intel".

Una vez concluido el proceso de cifrado, se creaban notas de rescate en una ventana emergente y archivos de texto titulados "README!.txt"; estos últimos se introducían en cada carpeta cifrada y en el escritorio. A juzgar por el mensaje de la ventana emergente, es evidente que este ransomware está dirigido a empresas y utiliza tácticas de doble extorsión.

¿Qué tipo de malware es BlackLegion?

BlackLegion es un ransomware que restringe el acceso a los archivos cifrándolos. Las víctimas no pueden abrir los archivos encriptados sin desencriptarlos. Además, BlackLegion crea una nota de rescate ("DecryptNote.txt") y cambia el nombre de los archivos añadiendo una cadena de caracteres aleatorios, una dirección de correo electrónico y la extensión ".BlackLegion".

Un ejemplo de cómo BlackLegion modifica los nombres de los archivos: cambia "1.jpg" por "1.jpg.[34213633].[BlackLegion@zohomail.eu].BlackLegion", "2.png" por "2.png.[34213633].[BlackLegion@zohomail.eu].BlackLegion", y así sucesivamente.

¿Qué tipo de estafa es "Firewall Update Required"?

Nuestros investigadores descubrieron la estafa "Firewall Update Required" durante una inspección rutinaria de sitios web engañosos. Tras la investigación, determinamos que se trata de una estafa de soporte técnico. Afirma falsamente que el dispositivo del usuario está infectado debido a que el cortafuegos de Windows no está actualizado.

El objetivo es engañar a las víctimas para que se pongan en contacto con un falso servicio de asistencia técnica y hacerles caer en una elaborada trampa que puede dar lugar a una serie de problemas increíblemente graves.

¿Qué tipo de malware es LEAKDB?

Mientras investigábamos nuevos registros en VirusTotal, nuestro equipo de investigación descubrió otro ransomware de la familia Phobos llamado LEAKDB. El malware dentro de esta clasificación cifra los datos y exige un pago por su descifrado.

En nuestra máquina de pruebas, el ransomware LEAKDB cifró archivos y alteró sus títulos. A los nombres de archivo originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".LEAKDB". Por ejemplo, un archivo inicialmente llamado "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3143].[pcsupport@skiff.com].LEAKDB".

Una vez concluido el proceso de cifrado, se creaban notas de rescate en una ventana emergente ("info.hta") y en un archivo de texto ("info.txt"), que se introducían en cada directorio cifrado y en el escritorio. A juzgar por los mensajes que contenían, es evidente que LEAKDB se dirige más a las empresas que a los usuarios domésticos.