Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware Cryptonite (.cryptn8)?

Cryptonite (.cryptn8) es un ransomware diseñado para cifrar datos y exigir un pago por el descifrado. Según informa Fortinet, se trata de una versión personalizada de ransomware que está disponible de forma gratuita, lo cual es poco común.

El malware de este tipo suele añadir una extensión a los archivos cifrados, y ".cryptn8" parece ser la predeterminada; sin embargo, hay indicios de que los atacantes pueden cambiarla. Además, los ciberdelincuentes que utilizan el ransomware Cryptonite (.cryptn8) pueden alterar los datos relevantes que lo hacen operativo, es decir, la cuantía del rescate, la dirección de la cartera de criptodivisas (en la que debe realizarse el pago) y la información de contacto.

La muestra de Cryptonite que ejecutamos en nuestro sistema de pruebas añadía ".cryptn8" a los archivos cifrados, por ejemplo, un archivo titulado "1.jpg" aparecía como "1.jpg.cryptn8", "2.png" como "2.png.cryptn8", etc. Durante el proceso de cifrado, este ransomware mostraba una falsa pantalla de actualización. Después, creaba una ventana emergente con la nota de rescate.

¿Qué es el ransomware Team Punisher ransomware?

Team Punisher es un ransomware diseñado para cifrar datos y pedir rescates por descifrarlos. En nuestra máquina de pruebas, este malware cifró archivos y añadió a sus nombres una extensión ".punisher". Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.punisher", "2.png" como "2.png.punisher", y así sucesivamente.

Una vez completado este proceso, Team Punisher creaba un archivo HTML que contenía la nota de rescate. Es pertinente mencionar que se ha observado la proliferación de este ransomware a través de sitios web falsos de seguimiento de COVID-19 en 2022.

¿Qué es el ransomware Marlock?

Marlock forma parte de la familia de ransomware llamada MedusaLocker. Cifra archivos y añade la extensión ".marlock7" a sus nombres (por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.marlock7"). Diferentes variantes del ransomware Marlock añaden las extensiones ".marlock20", ".marlock5", ".marlock22", ".marlock011", ".marlock10", y ".marlock25". Marlock también crea el archivo "HOW_TO_RECOVER_DATA.html" que contiene información de contacto y otros detalles sobre la recuperación de datos.

¿Qué tipo de malware es CRASH?

CRASH es un ransomware (una de las variantes de la familia Dharma). Cifra archivos, modifica los nombres de los archivos (añadiendo el ID de la víctima, la dirección de correo electrónico netcrash@msgsafe.io y la extensión ".CRASH" a los nombres de los archivos) y proporciona dos notas de rescate (muestra una ventana emergente y deja caer el archivo "info.txt".

Un ejemplo de cómo CRASH cambia el nombre de los archivos: cambia "1.jpg" por "1.jpg.id-9ECFA84E.[netcrash@msgsafe.io].CRASH", "2.png" por "2.png.id-9ECFA84E.[netcrash@msgsafe.io].CRASH", y así sucesivamente. Descubrimos este ransomware mientras analizábamos muestras de malware enviadas al sitio web VirusTotal.

¿Qué tipo de malware es Just?

Just es una de las variantes de ransomware pertenecientes a la familia Dharma. Cifra archivos y añade el ID de la víctima, la dirección de correo electrónico justdoit@onionmail.org y la extensión ".just" a los nombres de los archivos. Además, Just muestra el archivo "FILES ENCRYPTED.txt" y una ventana emergente (ambos con una nota de rescate).

Descubrimos el ransomware Just mientras buscábamos en VirusTotal muestras de malware enviadas recientemente. Un ejemplo de cómo Just modifica los nombres de los archivos: renombra "1.jpg" a "1.jpg.id-9ECFA84E.[justdoit@onionmail.org].just", "2.png" a "2.png.id-9ECFA84E.[justdoit@onionmail.org].just", y así sucesivamente.

¿Qué es un troyano inyector?

Un troyano inyector es un tipo de malware diseñado para introducir código malicioso en programas y procesos. La aplicación de estos troyanos varía; pueden ser capaces de cambiar el funcionamiento de software legítimo o causar infecciones en cadena (es decir, descargar/instalar malware adicional). Debido a la variedad de usos que pueden tener estos programas maliciosos, los peligros asociados a estas infecciones son especialmente amplios.

¿Qué tipo de página es captchafine[.]live?

Al examinar captchafine[.]live, descubrimos que utiliza una técnica de clickbait (muestra un mensaje engañoso) para atraer a los visitantes y hacer que permitan que muestre notificaciones. Además, captchafine[.]live redirige a sitios web fraudulentos. Esta página tiene al menos dos variantes. Descubrimos captchafine[.]live mientras inspeccionábamos otras páginas sospechosas.

¿Qué tipo de aplicación es Videos?

Al examinar la aplicación Videos, descubrimos que pertenece a la familia de malware ChromeLoader. Es una aplicación respaldada por publicidad que muestra anuncios no deseados. Descubrimos la aplicación Videos tras descargar un archivo VHD de una página engañosa. Es importante mencionar que las aplicaciones ChromeLoader suelen venir acompañadas de otras aplicaciones potencialmente maliciosas.

¿Qué es IcRAT?

IcRAT es un troyano de acceso remoto (RAT) dirigido a sistemas operativos Android. Los RAT están diseñados para permitir a los atacantes asumir el control de los dispositivos infectados.

IcRAT ha proliferado sobre todo a través de campañas de smishing (phishing por SMS), que persiguen a clientes de conocidos bancos indios. Los mensajes de texto engañosos inducen a los usuarios a seguir un enlace y descargar este malware alegando que recibirán una recompensa de su banco.

Según la investigación realizada por los analistas de Trend Micro, ha habido una afluencia de campañas similares dirigidas a clientes de bancos indios. Además de IcRAT, las operaciones de spam distribuían AxBanker, Elibomi, FakeReward, e IcSpy. En el momento de redactar este artículo, no hay pruebas concretas que vinculen estas campañas.

¿Qué es FakeReward?

FakeReward es el nombre de un programa malicioso dirigido a dispositivos Android. Está diseñado para obtener información personal y bancaria. Existen múltiples variantes de FakeReward; al menos cinco versiones han sido detectadas en el momento de escribir este artículo.

FakeReward ha proliferado activamente a través de campañas de smishing (phishing por SMS). Estos SMS buscaban clientes de los tres mayores bancos indios.

Los investigadores de Trend Micro han descubierto varias campañas de spam dirigidas a usuarios indios. En estas operaciones están implicados los siguientes programas maliciosos: AxBanker, Elibomi, IcRAT, y IcSpy. Sin embargo, actualmente estas campañas no pueden relacionarse definitivamente entre sí.