Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Scorp?

Scorp es el nombre del ransomware que hemos descubierto al revisar VirusTotal en busca de muestras de malware enviadas recientemente. Probamos Scorp y descubrimos que pertenece a una familia de ransomware llamada VoidCrypt. Encripta archivos y crea el archivo de texto "Decrypt-me.txt" que contiene una nota de rescate.

Scorp también modifica los nombres de archivo agregando la dirección de email sc0rpio@mailfence.com, una cadena de caracteres aleatorios y la extensión ".Scorp". Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.[sc0rpio@mailfence.com][MJ-YA9348065721].scorp", "document.txt" a "document.txt.[sc0rpio@mailfence.com][MJ-YA9348065721].scorp".

¿Qué es el ransomware TargetCompany?

TargetCompany es un programa de tipo ransomware que hemos analizado e investigado. Se aprovecha contra las empresas en lugar de los usuarios domésticos. También hemos analizado los siguientes programas que pertenecen a esta familia de ransomware: Architek, Mallox, Tohnichi, Herrco y Newexploit.

Este ransomware agrega los nombres de los archivos encriptados con extensiones que son el nombre de la empresa afectada o se relacionan con ella. Los ejemplos observados incluyen: ".artiis", ".brg", ".mallox", ".architek", ".tohnichi", ".herrco" y otros. Después de que este malware completa el encriptado, crea una nota de rescate titulada "How to decrypt files.txt".

TargetCompany es un ransomware desencriptable. Avast ha lanzado desencriptadores gratuitos (32bit y 64bit) para él, las instrucciones de desencriptado se pueden encontrar en un artículo en la página web decoded.avast.io.

¿Qué tipo de malware es ZOZL?

Nuestro equipo ha descubierto el ransomware ZOZL mientras analizaba las muestras enviadas a VirusTotal. Nuestros hallazgos clave son que ZOZL es parte de la familia de ransomware Phobos y encripta archivos, genera dos notas de rescate ("info.hta" e "info.txt") y cambia el nombre de los archivos.

Un ejemplo de cómo ZOZL cambia el nombre de los archivos (añade la identificación de la víctima, la dirección de email ops@mailc.net y la extensión ".ZOZL" a los nombres de archivo: cambia "1.jpg" a "1.jpg.id[9ECFA84E-3275].[ops@mailc.net].ZOZL", "2.jpg" a "2.jpg.id[9ECFA84E-3275].[ops@mailc.net].ZOZL".

¿Qué es "Shopping Guide"?

Descubierto por nuestro equipo mientras investigaba páginas web engañosas, "Shopping Guide" es una extensión de navegador de tipo adware. Promete permitir un acceso rápido a "la empresa de comercio electrónico más popular". Sin embargo, esta extensión ofrece campañas publicitarias intrusivas en su lugar.

¿Qué es el troyano Medusa?

Medusa es el nombre de un troyano bancario que hemos investigado y analizado una muestra obtenida de VirusTotal. Este malware se dirige a los sistemas operativos Android: permite el control de acceso remoto sobre dispositivos infectados y puede extraer una amplia variedad de datos vulnerables de ellos.

Inicialmente, Medusa se utilizó contra organizaciones financieras con sede en Turquía. Sin embargo, sus operaciones se han extendido a Estados Unidos, Canadá y Europa.

¿Qué tipo de malware es Sncip?

Sncip es el nombre del ransomware que hemos descubierto al revisar la página de VirusTotal en busca de muestras de malware enviadas recientemente. Nuestro equipo probó Sncip y descubrió que encripta archivos y agrega una cadena de caracteres aleatorios y la extensión ".sncip" a sus nombres de archivo. Además, crea el archivo "euk_HOW_TO_DECRYPT.txt".

Un ejemplo de cómo Sncip renombra archivos: cambia "1.jpg" a "1.jpg.ynTca1SK21D-LM1Vd9xbHtELRrRBnYVkXLwJynRsec__LAAAACwAAAA0.sncip", "2.jpg" a "2.jpg.ynTca1SK21D-LM1Vd9xbHtELRrRBnYVkXLwJynRsec__LAAAACwAAAA0.sncip". El archivo de texto que crea Sncip contiene una nota de rescate.

¿Qué es TravelNow?

Descubierto por nuestros investigadores durante una inspección de rutina de sitios que utilizan redes de publicidad no autorizadas, TravelNow es una aplicación no autorizada. Después de analizarlo, determinamos que funciona como software con publicidad (adware).

¿Qué tipo de software es MapIt?

Después de descargar y ejecutar la muestra en nuestra máquina de prueba, notamos que MapIt muestra anuncios no deseados. Este programa funciona como el típico adware. Es muy común que el adware se descargue e instale por error o sin saberlo porque se promociona y distribuye utilizando métodos cuestionables.

¿Qué tipo de página es captchawall[.]top?

Descubierto por nuestro equipo de investigación durante una inspección de rutina de páginas web sospechosas, captchawall[.]top es una página que promueve notificaciones spam en el navegador. Además, esta página web puede redirigir a los visitantes a otros sitios engañosos y maliciosos.

La mayoría de los visitantes de captchawall[.]top y páginas web similares acceden a ellos sin darse cuenta a través de redireccionamientos provocados por páginas que utilizan redes publicitarias engañosas.

¿Qué tipo de aplicación es SharedAllocate?

Hemos descubierto la aplicación SharedAllocate mientras analizábamos páginas web engañosas utilizados para distribuir instaladores no confiables y otros sitios sospechosos. Nuestro equipo probó la aplicación SharedAllocate y descubrió que genera anuncios, funciona como adware.