Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware Fopra?

Mientras investigábamos nuevos registros de malware en VirusTotal, nuestro equipo de investigación descubrió otro programa malicioso perteneciente a la familia de ransomware Phobos, llamado Fopr.

Ejecutamos una muestra de Fopra en nuestra máquina de pruebas, y encriptó archivos y alteró sus títulos. A los nombres de archivo originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".fopra". Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3388].[poshix@tfwno.gf].fopra", etc.

Una vez completado el cifrado, este ransomware creaba dos notas de rescate - "info.hta" (emergente) e "info.txt"- y las introducía en el escritorio.

¿Qué tipo de correo electrónico es "I Know That You Cheat On Your Partner" ("Sé que engaña a su pareja")?

Nuestra inspección del correo electrónico "I Know That You Cheat On Your Partner" reveló que se trata de spam, que funciona como una variación de la estafa de sextorsión. Los estafadores que están detrás de esta campaña de spam afirman tener pruebas de la infidelidad de los destinatarios y amenazan con filtrarlas, a menos que paguen un rescate.

Cabe destacar que ninguna de las afirmaciones que hace este correo electrónico es cierta, por lo que no supone ninguna amenaza para nadie que lo haya recibido.

¿Qué es el ransomware K1ng?

Durante una inspección rutinaria de nuevos registros de malware, nuestros investigadores encontraron un programa de tipo ransomware llamado K1ng. Pertenece a la familia de ransomware Dharma.

Tras ejecutar una muestra de K1ng en nuestro sistema de pruebas, cifró los archivos y añadió a sus nombres un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".k1ng". Por ejemplo, un archivo originalmente titulado "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[king2022@tutanota.com].k1ng".

Una vez finalizado el cifrado, el ransomware creaba dos notas de rescate: una se mostraba como una ventana emergente y la otra, un archivo de texto llamado "info.txt", se soltaba en el escritorio.

¿Qué es la estafa "Loyalty Program" ("Programa de fidelización")?

Al inspeccionar páginas web fraudulentas, nuestro equipo de investigación descubrió la estafa "Loyalty Program". Afirma falsamente que los usuarios tienen la posibilidad de ganar un premio al completar una encuesta. Cabe destacar que el regalo prometido es falso, y que las entidades legítimas mencionadas en esta estafa no están en modo alguno asociadas a ella. Las estafas de este tipo suelen funcionar como estafas de phishing o intentan engañar a las víctimas para que paguen comisiones falsas.

¿Qué tipo de página es expocaptcha[.]top?

Al examinar expocaptcha[.]top, hemos descubierto que muestra un mensaje engañoso para engañar a los visitantes para que acepten recibir notificaciones. Hemos descubierto expocaptcha[.]top al inspeccionar páginas que utilizan redes publicitarias sospechosas. Los usuarios no visitan sitios como expocaptcha[.]top a propósito.

¿Qué es un navegador Tor troyanizado?

Tor es el nombre de un navegador web legítimo, que permite a los usuarios navegar por la web con la mayor privacidad posible, sin embargo, existe una versión troyanizada que está diseñada por ciberdelincuentes y se utiliza para robar criptomonedas. Esta versión maliciosa está basada y es muy similar a la versión oficial del navegador Tor (7.5).

Los ciberdelincuentes la hacen proliferar utilizando dos páginas web de descargas no oficiales: torpoect[.]org y tor-browser[.]org. Las personas que instalan Tor descargado de estas páginas web instalan una versión troyanizada. Desaconsejamos encarecidamente el uso de esta versión - desinstálela inmediatamente.

¿Qué tipo de malware es Black Hunt?

Black Hunt es un ransomware que bloquea el acceso a los archivos cifrándolos, modifica los nombres de todos los archivos cifrados, cambia el fondo de escritorio y deja los archivos "#BlackHunt_ReadMe.hta" y "#BlackHunt_ReadMe.txt" (notas de rescate).

Black Hunt añade el ID de la víctima, la dirección de correo electrónico sentafe@rape.lol y la extensión ".Black" a los nombres de los archivos. Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.[nnUWuTLm3Y45N021].[sentafe@rape.lol].Black", "2.png" a "2.png.[nnUWuTLm3Y45N021].[sentafe@rape.lol].Black", etc.

¿Qué tipo de aplicación es Streaming Downloader?

Tras probar la aplicación Streaming Downloader, nuestro equipo descubrió que funciona como una aplicación respaldada por publicidad: muestra anuncios molestos (intrusivos). Descubrimos Streaming Downloader al inspeccionar numerosas páginas web engañosas. Las aplicaciones que muestran anuncios y se promocionan a través de sitios dudosos no son de fiar.

¿Qué es la estafa emergente "1978 Act Of Protection Of Children"?

Se trata de un mensaje falso mostrado por un sitio web engañoso diseñado para engañar a los visitantes para que llamen a un número de asistencia técnica falso. El sitio web que ejecuta esta estafa se disfraza de sitio legítimo de Microsoft. Los estafadores que se esconden tras él pueden intentar extraer información personal o dinero o utilizarlo para otros fines malintencionados. Descubrimos este sitio fraudulento mientras inspeccionábamos otras páginas sospechosas.

¿Qué es la estafa del cliente ScreenConnect (ConnectWise)?

Los estafadores utilizan todo tipo de métodos para extraer información o dinero de las personas y distribuir programas maliciosos por correo electrónico. En este artículo se describen casos en los que los estafadores utilizan correos electrónicos para engañar a los destinatarios para que instalen ConnectWise (antes conocido como ScreenConnect). Este software permite a los delincuentes realizar actividades maliciosas en los ordenadores. El método de utilizar herramientas legítimas de acceso remoto (como TeamViewer, UltraViewer y similares) para controlar los ordenadores de las víctimas es bastante común entre los estafadores, ya que es fácil engañar a la gente para que instale software legítimo y reconocible.