Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de sitio web es search-content.com?

Search-content.com es la dirección de un falso motor de búsqueda. Nuestros investigadores descubrieron este sitio mientras investigaban páginas web engañosas. Desde una de estas páginas, se descargó un instalador que contenía el secuestrador del navegador Apps. Esta extensión fraudulenta del navegador promocionaba (a través de redireccionamientos) search-content.com. Sin embargo, este sitio web también podría estar respaldado por otro software secuestrador del navegador.

¿Qué tipo de malware es BundleBot?

BundleBot es un malware que opera de forma encubierta, pasando desapercibido, y se dirige principalmente a sistemas que utilizan el formato autocontenido dotnet bundle (archivo único). BundleBot es un sofisticado stealer y bot que supone una importante amenaza para la seguridad y la privacidad de los sistemas afectados. Las víctimas deben eliminar este malware de sus ordenadores lo antes posible.

¿Qué tipo de malware es 2QZ3?

Nuestro equipo de investigación encontró el ransomware 2QZ3 mientras investigaba nuevos registros en el sitio web VirusTotal. ste programa malicioso forma parte de la familia de ransomware Phobos. 2QZ3 está diseñado para cifrar datos y exigir un pago por su descifrado.

En nuestra máquina de pruebas, los archivos cifrados se renombraron añadiéndoles un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".2QZ3". Por ejemplo, un nombre de archivo original como "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3449].[qweasd@toke.com].2QZ3" tras el cifrado.

Una vez completado el proceso, el ransomware 2QZ3 creaba o mostraba notas de rescate en una ventana emergente ("info.hta") y en un archivo de texto ("info.txt").

¿Qué tipo de aplicación es Protab?

Durante nuestro análisis de la extensión Protab, descubrimos que funciona como un secuestrador del navegador. El objetivo principal de esta aplicación es promocionar search.protab.me, un motor de búsqueda falso, cambiando la configuración del navegador web. Es importante señalar que los usuarios suelen descargar y añadir secuestradores de navegadores sin ser conscientes de las consecuencias.

¿Qué tipo de malware es SophosEncrypt?

SophosEncrypt es un programa de tipo ransomware que se hace pasar por la empresa de ciberseguridad Sophos. Cabe destacar que este programa malicioso de encriptación de datos no está asociado en modo alguno con la empresa Sophos Group plc.

En nuestro sistema de pruebas, una muestra de SophosEncrypt cifró archivos y les cambió el nombre siguiendo este patrón: ".[[ID_de_la_víctima]].[correo_del_ciberdelincuente]].sophos". Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.[[g9lXimXM]].[[mail@example.com]].sophos".

Una vez completado el proceso de cifrado, el ransomware mostraba una nota de rescate en una ventana emergente ("information.hta"). Además, cambiaba el fondo de escritorio, que seguía utilizando imágenes relacionadas con la marca Sophos.

¿Qué tipo de aplicación es Subtitles?

Mientras investigaban sitios web engañosos, nuestros investigadores descubrieron un instalador que contenía una aplicación llamada Subtitles. Tras inspeccionar este software, determinamos que se trata de un adware.

¿Qué tipo de página es mycaptchaspace[.]top?

Tras examinar mycaptchaspace[.]top, nuestro equipo ha determinado que su objetivo es engañar a los visitantes para que concedan permiso para el envío de notificaciones. Mycaptchaspace[.]top utiliza contenido engañoso para obtener este permiso. Nuestro equipo se topó con mycaptchaspace[.]top mientras investigaba páginas dudosas asociadas a redes publicitarias poco fiables.

¿Qué tipo de aplicación es Easy Finder?

Easy Finder es un secuestrador del navegador típico que promociona un motor de búsqueda falso (quicknewtab.com) cambiando ciertos ajustes del navegador.

Por lo general, los secuestradores del navegador también recopilan varios datos. Los usuarios tienden a descargar e instalar secuestradores del navegador sin darse cuenta y, por tanto, Easy Finder y otras aplicaciones de este tipo se clasifican como aplicaciones no deseadas.

¿Qué tipo de malware es DEADbyDAWN?

Al inspeccionar las muestras de malware enviadas a VirusTotal, nuestro equipo descubrió DEADbyDAWN, un ransomware diseñado para cifrar archivos. Además, DEADbyDAWN altera los nombres de los archivos sustituyéndolos por una cadena aleatoria de caracteres y añadiendo su extensión única. Es importante señalar que diferentes muestras de DEADbyDAWN añaden diferentes extensiones a los nombres de archivo.

Además, DEADbyDAWN deja caer cincuenta archivos de texto en el escritorio, etiquetados secuencialmente de "README0.txt" a "README50.txt". Cada uno de estos archivos contiene una nota de rescate idéntica. Un ejemplo de cómo DEADbyDAWN cambia el nombre de los archivos: cambia "1.jpg" por "11ab8ba41c795a7da222ba7005fc7405.OGUtdoNRE", "2.png" por "d33e68b8101c81f1e51c640baea47623.OGUtdoNRE", y así sucesivamente.

¿Qué tipo de malware es NURRI?

NURRI es un ransomware que nuestros investigadores de malware descubrieron mientras inspeccionaban muestras en la página de VirusTotal. Descubrimos que NURRI forma parte de la familia Phobos. Cifra archivos, añade la extensión ".NURRI" a los nombres de archivo (junto con el ID de la víctima y la dirección de correo electrónico nury_espitia@tuta.io) y proporciona dos notas de rescate ("info.hta" e "info.txt").

Un ejemplo de cómo NURRI cambia el nombre de los archivos cifrados: cambia "1.jpg" por "1.jpg.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI", "2.png" por "2.png.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI", y así sucesivamente.