Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware PcS?

PcS es un programa malicioso que pertenece a la familia de ransomware Dharma. Los sistemas infectados con este malware tienen sus datos encriptados y reciben solicitudes de rescate por el desencriptado. En otras palabras, los archivos se vuelven inaccesibles y se pide a las víctimas que paguen para recuperar el acceso a ellos.

Durante el proceso de encriptado, los archivos afectados se renombran siguiendo este patrón: nombre de archivo original, identificación única asignada a la víctima, dirección de email de los ciberdelincuentes y extensión ".PcS". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecería como algo similar a "1.jpg.id-C279F237.[pcstuntman@onionmail.org].PcS", después del encriptado. Una vez que se completa el proceso de encriptado, las notas de rescate se crean/muestran en una ventana emergente y un archivo de texto "info.txt".

¿Qué es ConnectSystem?

ConnectSystem es un software fraudulento, clasificado como adware. También tiene características de secuestrador de navegador. Está diseñado para ejecutar campañas publicitarias intrusivas y promover motores de búsqueda falsos mediante modificaciones en los navegadores. Además, los secuestradores de adware y navegadores suelen tener capacidades de seguimiento de datos. Debido a los métodos cuestionables utilizados para distribuir ConnectSystem, también se clasifica como una PUA (Aplicación Potencialmente No Deseada, por sus siglas en inglés).

Guía de eliminación del virus BIOPASS

¿Qué es BIOPASS?

BIOPASS es un programa malicioso clasificado como RAT (Troyano de Acceso Remoto, por sus siglas en inglés). El malware dentro de esta clasificación opera al permitir el acceso remoto y el control de las máquinas infectadas. El troyano BIOPASS posee las capacidades antes mencionadas y también tiene amplias funcionalidades de robo de datos.

Se ha observado que este programa malicioso está dirigido a empresas chinas de juegos de azar en línea a través de sitios web comprometidos que alojan configuraciones de instalación de Microsoft Silverlight y Adobe Flash Player troyanizadas (por ejemplo, actualizaciones falsas de Adobe Flash Player).

¿Qué es UpgradeFilter?

UpgradeFilter es una aplicación maliciosa, categorizada como adware. Además, esta aplicación tiene cualidades de secuestrador de navegador. Funciona ejecutando campañas publicitarias intrusivas y realizando modificaciones en la configuración del navegador, para provocar redireccionamientos a motores de búsqueda falsos.

Por lo tanto, con la aplicación UpgradeFilter instalada, los usuarios encuentran anuncios indeseables/dañinos y son constantemente redirigidos a direcciones de búsqueda web ilegítimas. Además, la mayoría de los secuestradores de adware y navegadores espían la actividad de navegación de los usuarios.

Dado que la mayoría de los usuarios descargan/instalan UpgradeFilter sin darse cuenta, se clasifica como una PUA (aplicación potencialmente no deseada, por sus siglas en inglés). Esta aplicación se ha distribuido a través de actualizaciones falsas de Adobe Flash Player. Cabe señalar que los actualizadores fraudulentos pueden propagar PUAs y malware (como por ejemplo, troyanos, ransomware, etc.).

¿Qué es myactualblog[.]com?

Myactualblog[.]com es una página no confiable diseñada para engañar a los visitantes para que acepten recibir notificaciones (mostrar contenido engañoso) y abrir otras páginas dudosas. Su funcionalidad depende de la geolocalización de sus visitantes. Cabe mencionar que los usuarios no visitan páginas como myactualblog[.]com de forma intencionada.

¿Qué es TopPDFSearch?

TopPDFSearch es un secuestrador de navegador que promueve el motor de búsqueda falso toppdfsearch.com. Esta extensión de navegador fraudulento funciona realizando modificaciones en la configuración del navegador. Por lo tanto, a través de estas alteraciones, este software provoca redireccionamientos a toppdfsearch.com.

Además, TopPDFSearch tiene capacidades de seguimiento de datos, que se utilizan para espiar los hábitos de navegación de los usuarios. Debido a los métodos cuestionables empleados para distribuir los secuestradores de navegador, también se clasifican como Aplicaciones Potencialmente No Deseadas (PUA, por sus siglas en inglés).

¿Qué es el ramsomware LOWPRICE?

LOWPRICE es un programa malicioso que pertenece a la familia de ransomware Phobos. Opera encriptando los datos y exigiendo el pago por el desencriptado. En otras palabras, este ransomware inutiliza los archivos y exige el pago de un rescate por la recuperación del acceso a los datos.

Durante el proceso de encriptado, los archivos afectados se titulan de acuerdo con este patrón: nombre de archivo original, ID único asignado a la víctima, nombre de usuario de mensajería ICQ/VoIP (Protocolo de voz sobre Internet) de los ciberdelincuentes y la extensión ".LOWPRICE".

Por ejemplo, un archivo inicialmente llamado "1.jpg" aparecería como algo similar a "1.jpg.id[C279F237-3221].[ICQ_SAFEPLACE].LOWPRICE" después del encriptado.

Una vez que se completa el proceso de encriptado, las notas de rescate se crean/muestran en una ventana emergente ("info.hta") y un archivo de texto "info.txt". Estos archivos se colocan en el escritorio.

¿Qué es Caley?

El ransomware Caley encripta los archivos con un algoritmo de encriptado sólido para que las víctimas no puedan acceder a ellos sin un software (y/o claves) de desencriptado específico. Caley pertenece a la familia de ransomware Phobos y fue descubierto por GrujaRS. Este malware cambia el nombre de los archivos encriptados agregando una identificación personal, una dirección de email y la extensión ".Caley" a los nombres de archivo.

Por ejemplo, "1.jpg" podría convertirse en "1.jpg.id[1E857D00-2425].[xxxnxxx@cock.li].Caley". Las instrucciones sobre cómo desencriptar archivos se proporcionan en un archivo de texto llamado "info.txt" y una ventana emergente.

¿Qué es highercaptcha-settle[.]com?

HHighercaptcha-settle[.]com es bastante similar a los sitios news-rewuje[.]cc, nomore-spam[.]com, news-joruca[.]cc, y muchos otros sitios web no confiables. Dependiendo de la geolocalización del visitante, esta página abre dos, otras tres páginas de este tipo o muestra contenido engañoso (por ejemplo, un mensaje engañoso, una prueba de CAPTCHA falso). Por lo general, los sitios web como highercaptcha-settle[.]com se abren mediante aplicaciones potencialmente no deseadas (PUAs, por sus siglas en inglés) instaladas, visitando páginas no confiables o haciendo clic en anuncios no confiables.

¿Qué es goodsurvey365[.]org?

Goodsurvey365[.]org es una página diseñada para promocionar otros sitios web (principalmente los cuestionables) y cargar encuestas fraudulentas. Su funcionalidad depende de la dirección IP del visitante. Hay muchos ejemplos de páginas como goodsurvey365[.]org, algunos de ellos son junesmile[.]xyz, zpreland[.]com y reverscaptcha[.]com.