Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware PERDAK?

PERDAK es un programa malicioso que forma parte del grupo de ransomware Phobos. Está diseñado para encriptar datos y exigir el pago por el desencriptado. En otras palabras, las víctimas no pueden acceder a los archivos afectados por PERDAK y se les pide que paguen un rescate para restaurar el acceso a sus datos.

Durante el proceso de encriptado, los archivos se titulan siguiendo este patrón: nombre de archivo original, ID única asignada a la víctima, ID de mensajería ICQ de ciberdelincuentes y la extensión ".PERDAK". Por ejemplo, un archivo inicialmente llamado "1.jpg" aparecería como algo similar a "1.jpg.id[1E857D00-3145].[ICQ_Mudakperdak].PERDAK" después del encriptado.

Una vez que se completa el proceso de encriptado, PERDAK crea dos notas de rescate, muestra una ventana emergente ("info.hta") y crea un archivo de texto titulado "info.txt", que se coloca en el escritorio.

¿Qué es el ransomware TCYO?

TCYO es un programa malicioso que pertenece a la familia de ransomware Dharma. Está diseñado para encriptar datos y exigir el pago por el desencriptado. En otras palabras, las víctimas no pueden acceder a los archivos afectados por TCYO y se les pide que paguen para restaurar el acceso a sus datos.

Durante el proceso de encriptado, los archivos se renombran de acuerdo con este patrón: nombre de archivo original, identificación única asignada a la víctima, dirección de email de los ciberdelincuentes y la extensión ".TCYO". Por ejemplo, un archivo titulado "1.jpg" aparecería como algo similar a "1.jpg.id-1E857D00.[Yourfiles1@cock.li].TCYO" después del encriptado.

Tras la finalización de este proceso, este ransomware crea dos notas de rescate. Muestra un mensaje de solicitud de rescate en una ventana emergente y suelta un archivo de texto llamado "FILES ENCRYPTED.txt" en el escritorio.

¿Qué es el ransomware 6ix9?

Parte de la familia de ransomware Dharma, 6ix9 es un programa malicioso diseñado para encriptar datos y exigir rescates por el desencriptado. En otras palabras, este malware hace que los archivos sean inaccesibles y les pide a las víctimas que paguen para restaurar el acceso a sus datos.

Durante el proceso de encriptado, los archivos afectados se renombran siguiendo este patrón: nombre de archivo original, identificación única asignada a la víctima, dirección de email de los ciberdelincuentes y extensión ".6ix9". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecería como algo similar a "1.jpg.id-1E857D00.[6ix9@asia.com].6ix9", después del encriptado.

Una vez que se completa el proceso de encriptado, las notas de rescate se crean/muestran en una ventana emergente y un archivo de texto "FILES ENCRYPTED.txt", que se coloca en el escritorio.

¿Qué es el ransomware LockFile?

Los ciberdelincuentes detrás del ransomware LockFile apuntan a empresas, aunque también pueden estar apuntando a computadoras personales. Este ransomware encripta los archivos y agrega la extensión ".lockfile" a sus nombres de archivo. Por ejemplo, cambia el nombre de un archivo llamado "1.jpg" a "1.jpg.lockfile", "2.jpg" a "2.jpg.lockfile", y así sucesivamente.

Además, LockFile crea un archivo HTA. Su nombre depende del nombre de la computadora de la víctima. Su nombre de archivo contiene el nombre del ransomware, el nombre del equipo y una cadena de caracteres aleatorios (por ejemplo, "LockFile-README-TOMASMESKAUFFFE-1629716662.hta"). Esta nota de rescate proporciona información de contacto (y algunos otros detalles).

¿Qué es el ransomware AstraLocker?

AstraLocker es un programa malicioso clasificado como ransomware. Opera encriptando archivos y exigiendo el pago de las herramientas de desencriptado. En otras palabras, AstraLocker hace que los datos sean inaccesibles y les pide a las víctimas que paguen para restaurar el acceso a ellos.

Durante el proceso de encriptado, los archivos se adjuntan con una extensión que consta de una cadena de caracteres aleatorios. Por ejemplo, un archivo inicialmente llamado "1.jpg" sería similar a "1.jpg.6ydy", "2.jpg" como "2.jpg.7yre", "3.jpg" como "3.jpg.yy2n", etc. Luego, se coloca una nota de rescate ("Recover_Files.txt") en el escritorio. Además, AstraLocker cambia el fondo de pantalla del escritorio.

¿Qué es el ransomware Dts?

Dts, que pertenece a la familia de ransomware Dharma, es un software malicioso diseñado para encriptar datos y exigir el pago por el desencriptado. En otras palabras, las víctimas no pueden acceder a los archivos afectados por Dts y se les pide que paguen para restaurar el acceso a sus datos.

Durante el proceso de encriptado, los archivos se renombran siguiendo este patrón: nombre de archivo original, identificación única asignada a la víctima, dirección de email de los ciberdelincuentes y extensión ".dts". Por ejemplo, un archivo inicialmente titulado "1.jpg" sería similar a "1.jpg.id-1E857D00.[dts1024@tutanota.com].dts". Una vez finalizado este proceso, las notas de rescate se crean/muestran en una ventana emergente y un archivo de texto "info.txt".

¿Qué es la estafa por email "I know you are cheating on your partner"?

La estafa por email "I know you are cheating on your partner" es una campaña de spam, una operación a gran escala durante la cual se envían miles de emails engañosos. Los emails distribuidas a través de esta campaña utilizan una variación del modelo de estafa de sextorsión.

Estos emails afirman que el destinatario está engañando a su pareja, y se publicarán pruebas de su infidelidad, a menos que se pague un rescate. Debe enfatizarse que todas las afirmaciones hechas por los emails de la estafa "I know you are cheating on your partner" son falsas; por lo tanto, estos mensajes deben ignorarse.

¿Qué es FlexibleOrigin?

FlexibleOrigin es una aplicación maliciosa categorizada como adware. Además, tiene cualidades de secuestrador de navegador. Esta aplicación funciona ejecutando campañas publicitarias intrusivas y promocionando motores de búsqueda falsos mediante modificaciones en la configuración del navegador. FlexibleOrigin probablemente también tenía capacidades de seguimiento de datos.

Debido a los métodos cuestionables utilizados para distribuir adware y secuestradores de navegador, también se clasifican como PUAs (aplicaciones potencialmente no deseadas, por sus siglas en inglés). Se ha observado que FlexibleOrigin se propaga a través de actualizaciones falsas de Adobe Flash Player.

¿Qué es el adware AssistiveMode?

AssistiveMode genera ingresos para su desarrollador al generar anuncios automáticamente. Además, esta aplicación cambia la configuración del navegador para empujar a los usuarios a usar un motor de búsqueda falso. AssistiveMode funciona como software con publicidad y un secuestrador de navegador. Por lo general, las aplicaciones de este tipo se distribuyen mediante métodos engañosos.

¿Qué es SkilledRecord?

SkilledRecord es una aplicación maliciosa clasificada como adware. También tiene cualidades de secuestrador de navegador. Esta aplicación funciona mediante la realización de campañas publicitarias intrusivas y la promoción de motores de búsqueda falsos mediante modificaciones en la configuración del navegador. Además, SkilledRecord probablemente tenga capacidades de seguimiento de datos.

Dado que la mayoría de los usuarios descargan/instalan sin darse cuenta adware y secuestradores de navegador, también se clasifican como PUAs (aplicaciones potencialmente no deseadas, por sus siglas en inglés). Se ha observado que SkilledRecord se distribuye a través de actualizaciones de Adobe Flash Player. Cabe señalar que los actualizadores/instaladores fraudulentos proliferan no solo en PUAs, sino también en malware.