Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Titan?

Mientras investigábamos muestras de malware remitidas a VirusTotal, nuestro equipo descubrió un ladrón de información llamado Titan. Este tipo de malware recopila datos confidenciales del sistema infectado y los envía al atacante. Normalmente, los ciberdelincuentes que están detrás de los ladrones de información tienen una motivación económica.

¿Qué tipo de malware es PY#RATION?

PY#RATION es un malware basado en Python que muestra características de troyano de acceso remoto (RAT). Es capaz de controlar remotamente los ordenadores infectados y mantener su persistencia. PY#RATION cuenta con diversas funciones, como la filtración de datos y el registro de pulsaciones de teclas.

¿Qué tipo de malware es Backshow?

Backshow es el nombre del ransomware que nuestros investigadores descubrieron mientras inspeccionaban muestras enviadas a VirusTotal. Cifra los archivos y añade el ID de la víctima, la dirección de correo electrónico mail-backshow@my.com y una extensión aleatoria de tres caracteres a los nombres de los archivos. Además, deja caer una nota de rescate (el archivo "Restore_Your_Files.txt") en el escritorio.

Un ejemplo de cómo el ransomware Backshow modifica los nombres de los archivos: cambia el nombre de "1.jpg" a "1.jpg_[ID-ZKIDJ_Mail-backshow@my.com].NCA", "2.png" a "2.png_[id-2qhon_mail-backshow@my.com].ZO8", etc.

¿Qué es la extensión Worldwide Clock?

Mientras investigábamos sitios web sospechosos, nuestro equipo de investigación descubrió la extensión Worldwide Clock. Esta extensión de navegador promete la funcionalidad de mostrar relojes de las zonas horarias elegidas por el usuario en la página de inicio del navegador.

Tras inspeccionar Worldwide Clock Extension, determinamos que se trata de un secuestrador del navegador que promociona el falso motor de búsqueda search.worldwideclockextension.com.

¿Qué es Album Stealer?

Album Stealer es un malware que roba información y se propaga bajo la apariencia de un álbum que contiene fotografías explícitas de mujeres. El objetivo de este stealer son los datos relacionados con la navegación y las credenciales de inicio de sesión, en particular la información relacionada con las cuentas de Facebook.

Se ha observado que Album Stealer se distribuye a través de Facebook, engañando a las víctimas para que descarguen un álbum de fotos con imágenes de mujeres para adultos.

¿Qué tipo de página es mediumhiquality[.]com?

Wave analizó mediumhiquality[.]com y descubrió que esta página muestra un mensaje engañoso para engañar a los visitantes para que le permitan mostrar notificaciones. Además, mediumhiquality[.]com redirige a otros sitios web que utilizan técnicas de clickbait para recibir permiso para mostrar notificaciones.

¿Qué tipo de aplicación es Search-News Default Search?

Al probar la aplicación Search-News Default Search, descubrimos que funciona como un secuestrador del navegador. Promociona un motor de búsqueda falso (search-news.xyz) cambiando algunos parámetros del navegador web. Descubrimos Search-News Default Search en una página web sospechosa.

¿Qué es "Access To This MAC Has Been Blocked"?

Se trata de un mensaje de virus falso mostrado por un sitio web engañoso (un sitio de estafa de soporte técnico). El propósito de esta página es engañar a los visitantes desprevenidos para que llamen al número proporcionado. Ninguno de los mensajes de esta página es real. Por lo tanto, este sitio web debe ser ignorado.

¿Qué es el ransomware Nlb?

Nuestros investigadores descubrieron el ransomware Nlb mientras investigaban nuevos registros en VirusTotal. Este programa malicioso forma parte de la familia de ransomware Dharma.

Una vez que lanzamos una muestra de Nlb en nuestro sistema de pruebas, encriptó archivos y alteró sus títulos. A los nombres de archivo originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".nlb". Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[Rileyb0707@aol.com].nlb".

Después, este ransomware creaba mensajes de petición de rescate en forma de ventana emergente y un archivo de texto titulado "FILES ENCRYPTED.txt".

¿Qué tipo de malware es R0n?

R0n es un ransomware que cifra los archivos y añade el ID de la víctima, la dirección de correo electrónico ronvest@tutanota.de y la extensión ".r0n" a los nombres de los archivos. Además, R0n proporciona dos notas de rescate: muestra una ventana emergente y crea el "info.txt". Nuestro equipo descubrió R0n mientras inspeccionaba muestras de malware enviadas a VirusTotal.

También descubrimos que R0n forma parte de la familia de ransomware Dharma. Un ejemplo de cómo R0n cambia el nombre de los archivos: cambia "1.jpg" por "1.jpg.id-9ECFA84E.[ronvest@tutanota.de].r0n", "2.png" por "2.png.id-9ECFA84E.[ronvest@tutanota.de].r0n", y así sucesivamente.