Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de sitio web es searchtabs.io?

Searchtabs.io es la dirección de un falso motor de búsqueda. Durante una inspección rutinaria de sitios sospechosos, nuestros investigadores encontraron una página engañosa que utilizaba un señuelo pornográfico para impulsar una configuración de instalación. Este instalador contenía un secuestrador del navegador que promocionaba el sitio web searchtabs.io.

Mientras que el software de esta clasificación suele promocionar sitios modificando la configuración del navegador, esta instalación no alteró el navegador de nuestro sistema de pruebas. Cabe destacar que este secuestrador utiliza un mecanismo de persistencia para evitar que los usuarios recuperen sus navegadores.

¿Qué tipo de malware es Keylock?

Keylock es un programa de tipo ransomware descubierto por nuestros investigadores durante una inspección rutinaria de nuevos registros de archivos en la plataforma VirusTotal. El ransomware funciona cifrando archivos para exigir un pago por el descifrado.

En nuestro sistema de pruebas, Keylock encriptaba archivos y añadía a sus nombres la extensión ".keylock". Por ejemplo, un archivo originalmente llamado "1.jpg" aparecía como "1.jpg.keylock", "2.png" como "2.png.keylock", y así sucesivamente para todos los archivos afectados.

Una vez completado el proceso de cifrado, se creaba un mensaje de petición de rescate titulado "README-id-[nombre de usuario].txt" (el nombre del archivo variaba en función del nombre de usuario; "README-id-KAROLISLIUC875C.txt" en nuestra máquina de prueba). Keylock también cambió el fondo de escritorio.

¿Qué es la estafa emergente "CCleaner Total Protection"?

Tras un análisis exhaustivo de la página, se hizo evidente que emplea tácticas engañosas para inducir a error a los visitantes, haciéndoles creer que necesitan realizar acciones específicas para eliminar los virus supuestamente detectados. Este sitio web muestra mensajes falsos y otros contenidos con la intención de engañar a sus usuarios. Estos esquemas fraudulentos se conocen comúnmente como estafas emergentes.

¿Qué tipo de correo electrónico es "Voicemail Message Received"?

Tras revisar el correo electrónico "Voicemail Message Received", hemos determinado que se trata de spam. Este correo afirma falsamente que el destinatario ha recibido un mensaje de voz relacionado con las finanzas. El supuesto mensaje se encuentra en el archivo adjunto, que en realidad es un archivo de phishing cuyo objetivo son las credenciales de inicio de sesión de la cuenta de correo electrónico.

¿Qué tipo de estafa es "Error Retrieving Information From Bank"?

Mientras investigábamos sitios web sospechosos, nuestro equipo de investigación descubrió la estafa "Error Retrieving Information From Bank". Afirma falsamente que hay un problema con el método de pago preferido del usuario. A pesar de cómo se presenta la estafa, no está asociada en modo alguno con Google LLC ni con ninguno de sus servicios y plataformas.

¿Qué tipo de malware es EARTH GRASS?

Durante el análisis de las muestras enviadas al sitio VirusTotal site, hemos descubierto una nueva variante del ransomware WORLD GRASS denominada EARTH GRASS. Este ransomware cifra los archivos y añade la extensión ".34r7hGr455" a los nombres de los archivos bloqueados. Además, cambia el fondo de escritorio y deja el archivo "Read ME (Decryptor).txt" que contiene una nota de rescate.

Un ejemplo de cómo EARTH GRASS modifica los nombres de los archivos: cambia el nombre de "1.jpg" a "1.jpg.34r7hGr455", "2.png" a "2.png.34r7hGr455", etc.

¿Qué tipo de malware es 2023?

Nuestros investigadores encontraron el programa tipo ransomware 2023 mientras inspeccionaban nuevos envíos de archivos al sitio web VirusTotal. Este programa está diseñado para cifrar datos y exigir un pago por su descifrado. Forma parte de la familia de ransomware Dharma.

En nuestra máquina de pruebas, el programa 2023 encriptó archivos y alteró sus nombres. A los títulos iniciales se les añadía un identificador único, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".2023". Por ejemplo, un archivo originalmente llamado "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[servicehelp@onionmail.org].2023".

Una vez concluido el proceso de cifrado, se creaban/mostraron notas de rescate en una ventana emergente y un archivo de texto titulado "README!.txt".

¿Qué tipo de malware es Xret?

Xret es un programa de tipo ransomware que nuestros investigadores descubrieron mientras revisaban nuevos registros en el sitio VirusTotal. El malware, clasificado como tal, está diseñado para cifrar datos y exigir un pago por su descifrado.

En nuestro sistema de pruebas, Xret encriptaba archivos y añadía a sus nombres la extensión ".XRET". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.XRET", "2.png" como "2.png.XRET", etc. Una vez concluido este proceso, el ransomware cambiaba el fondo de escritorio y creaba un mensaje de petición de rescate llamado "# XRET #.txt".

¿Qué tipo de malware es Crypto?

Crypto es un ransomware perteneciente a la familia MedusaLocker. Ha sido descubierto durante el análisis de muestras en el sitio web VirusTotal. Una vez en el sistema, Crypto cifra los archivos, cambia los nombres de todos los archivos cifrados y deja una nota de rescate ("How_to_back_files.html").

Crypto altera los nombres de los archivos añadiendo una extensión como ".crypto1317" o una variación de la misma (con posibles variaciones en los valores numéricos de la extensión). Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.crypto1317", "2.png" a "2.png.crypto1317", etc.

¿Qué tipo de malware es GhostLocker?

GhostLocker es un programa de tipo ransomware desarrollado por el grupo cibercriminal GhostSec. El malware, clasificado como ransomware, está diseñado para cifrar datos y exigir un pago por su descifrado.

En nuestro sistema de pruebas, GhostLocker cifraba los archivos y añadía a sus nombres una extensión ".ghost". Por ejemplo, un nombre de archivo original como "1.jpg" aparecía como "1.jpg.ghost", "2.png" como "2.png.ghost", y así sucesivamente para todos los archivos afectados.

Una vez finalizado el proceso de cifrado, aparecía una nota de rescate titulada "lmao.html". Cabe destacar que el nombre de archivo del documento HTML puede variar.