Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es Nuhtab?

Nuhtab es una extensión de navegador engañosa que promete permitir la personalización del escritorio. Cuando nuestros investigadores probaron este software, funcionó como un secuestrador de navegador. En otras palabras, Nuhtab alteró la configuración del navegador para promocionar el motor de búsqueda falso nuhtab.com y espió la actividad de navegación de los usuarios.

¿Qué es la estafa "OpenSea"?

La estafa "OpenSea" se refiere a sitios de phishing disfrazados del mercado online NFT (Non-Fungible Token) "OpenSea". El objetivo de este esquema es extraer las credenciales de inicio de sesión de la billetera criptográfica de los usuarios y, posteriormente, obtener acceso/control sobre las billeteras.

La dirección de la página web fraudulenta que han estudiado nuestros investigadores es cercana a la de "OpenSea". Por lo tanto, no podemos excluir la posibilidad de que los usuarios accedan a ella escribiendo mal la URL.

¿Qué es la estafa "Coinbase"?

La estafa "Coinbase" está clasificada como phishing. Se presenta como la página de inicio de sesión de Coinbase, la plataforma de intercambio de criptomonedas que ofrece varios servicios relacionados con las criptomonedas. Los intentos de iniciar sesión a través de estos sitios de phishing pueden provocar el robo de la cuenta de Coinbase y otros problemas graves.

¿Qué es el ransomware Bl?

Al buscar nuevos envíos en VirusTotal, nuestros investigadores encontraron otro programa malicioso perteneciente a la familia de ransomware Dharma, llamado Bl.

Una vez ejecutado en nuestro sistema de prueba, este ransomware encriptó archivos y cambió sus nombres. Los archivos afectados se cambiaron de título de acuerdo con este patrón: nombre de archivo original, identificación única, dirección de email de los ciberdelincuentes y la extensión ".Bl". Por ejemplo, un archivo como "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[mr.black@disroot.org].Bl".

Después de completar este proceso, Bl mostró/creó notas de rescate en una ventana emergente y un archivo de texto llamado "info.txt".

¿Qué es "NASA ETH and BTC Giveaway"?

Al inspeccionar páginas web falsas y engañosas, nuestros investigadores descubrieron otra estafa de obsequio de criptomonedas. "NASA ETH and BTC Giveaway" se presenta como un esquema de adopción masiva de criptomonedas. Se insta a los usuarios a transferir una cierta cantidad de criptomonedas Ethereum (ETH) o Bitcoin (BTC) a la estafa, para que puedan recibir el doble. De hecho, todo lo que se transfiera a las billeteras proporcionadas por esta estafa se perderá de forma irreversible.

¿Qué es la estafa por email "Start The Conversation With Bad News"?

El propósito de esta estafa por email es engañar a los destinatarios haciéndoles creer que sus computadoras han sido hackeadas y utilizadas para grabar un video íntimo (un video de destinatarios que visitan páginas web para adultos). Por lo general, los estafadores detrás de las estafas de sextorsión exigen un pago por no compartir el video "grabado" (u otro material íntimo).

¿Qué es el secuestrador de navegador MyShopSearch?

El objetivo principal de la aplicación MyShopSearch es promover un motor de búsqueda falso. Cambia algunas de las configuraciones del navegador a myshopsearch.com para obligar a los usuarios a usarlo como motor de búsqueda. Es común que los secuestradores de navegador como MyShopSearch también recopilen información relacionada con la navegación.

Vale la pena mencionar que la mayoría de los secuestradores de navegador se distribuyen utilizando métodos cuestionables. Por lo tanto, los usuarios los descargan e instalan sin saberlo.

¿Qué tipo de malware es Asistchinadecryption?

Hemos analizado el ransomware Asistchinadecryption (que fue descubierto por nuestros investigadores de malware mientras examinaban muestras enviadas a VirusTotal) y descubrimos que encripta archivos y agrega ".asistchinadecryption" y la identificación de la víctima a los nombres de archivo.

Por ejemplo, Asistchinadecryption cambia el nombre de "1.jpg" a "1.jpg.asistchinadecryption .C04-41D-05E", "2.jpg" a "2.jpg.asistchinadecryption .C04-41D-05E". Además, crea el archivo "!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT" (una nota de rescate). También descubrimos que Asistchinadecryption es parte de la familia de ransomware ZEPPELIN.

¿Qué tipo de malware es ELBOW?

Nuestros investigadores de malware han descubierto el ransomware ELBOW mientras probaban las muestras enviadas a VirusTotal. Descubrimos que ELBOW es parte de la familia de ransomware Phobos. Mientras lo probábamos, aprendimos que encripta y cambia el nombre de los archivos y proporciona dos notas de rescate (en el archivo "info.txt" y en una ventana emergente).

Un ejemplo de cómo ELBOW ha encriptado archivos: cambió el nombre de "1.jpg" a "1.jpg.id[9ECFA84E-3143].[UNKNOWNTEAM@criptext.com].ELBOW", "2.jpg" a "2.jpg.id[9ECFA84E-3143].[UNKNOWNTEAM@criptext.com].ELBOW". Adjuntó la identificación de la víctima, la dirección de email y la extensión ".ELBOW" a los nombres de los archivos.

¿Qué es el ransomware KUKANOS?

Durante una inspección de rutina de nuevos envíos en VirusTotal, nuestros investigadores detectaron una nueva incorporación a la familia de ransomware ZEPPELIN, llamada KUKANOS.

Cuando probamos este malware, encriptó archivos y agregó su nombre de archivo con esta extensión: ".@KUKANOSSOSANOS.[ID_de_la_víctima]" (las identificaciones son únicas y muy frecuentes entre infecciones). Por ejemplo, un archivo que inicialmente se tituló "1.jpg" aparece como "1.jpg.@KUKANOSSOSANOS.199-BDC-9E1".

Luego, una nota de rescate: "!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT" se crea en el escritorio. A juzgar por el mensaje dentro de este archivo de texto, es evidente que KUKANOS se dirige a las empresas en lugar de a los usuarios domésticos.