Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es la estafa del correo electrónico "You have used up your mail storage"?

"You have used up your mail storage" es el nombre de una campaña de spam por correo electrónico. Estos correos afirman que las cuentas de correo electrónico de los destinatarios se bloquearán por haber superado los límites de almacenamiento, a menos que se actualicen. El objetivo de este correo no deseado es impulsar un sitio web de phishing que se disfraza de página web de inicio de sesión de cuentas de correo electrónico.

¿Qué es la estafa del correo electrónico "Norton Order Confirmation"?

Después de examinar este correo electrónico, descubrimos que es enviado por estafadores que pretenden engañar a los destinatarios para que se pongan en contacto (llamen) con ellos. El correo electrónico se disfraza de correo de NortonLifeLock (una empresa de software legítima) relativo a la confirmación del pedido. Este correo debe ser ignorado.

¿Qué es el virus de correo electrónico "YouTube Copyright Infringement Warning"?

Tras examinar el correo electrónico, descubrimos que se trata de un falso correo electrónico de YouTube relativo a la infracción de los derechos de autor. Contiene un enlace a un sitio web diseñado para descargar un archivo comprimido que contiene un archivo malicioso. Los ciberdelincuentes que están detrás de este correo electrónico pretenden engañar a los destinatarios para que descarguen y ejecuten un malware (un archivo malicioso).

¿Qué es el ransomware MONTI?

MONTI es un programa de tipo ransomware diseñado para cifrar datos y exigir un pago por las herramientas de descifrado. Es una nueva variante del ransomware CONTI. Además, MONTI comparte similitudes extremas con el modus operandi de CONTI.

En febrero de 2022, el grupo que está detrás de CONTI sufrió una fuga masiva de datos. La información publicada, incluidos los códigos fuente, las herramientas de hacking y otros datos asociados, fue suficiente para servir esencialmente de guía paso a paso para los ciberdelincuentes que deseaban replicar CONTI. Por lo tanto, MONTI podría no ser el único grupo de ransomware que basa sus operaciones en la información obtenida de las filtraciones de CONTI.

El ransomware MONTI cifra los archivos y añade a sus nombres una extensión compuesta por cinco caracteres aleatorios. Por ejemplo, la muestra de MONTI que ejecutamos en nuestra máquina de prueba añadía una extensión ".PUUUK" a los nombres de los archivos, por ejemplo, un archivo titulado "1.jpg" aparecía como "1.jpg.PUUUK". Una vez finalizado el cifrado, MONTI crea una nota de rescate llamada "readme.txt".

¿Qué es la estafa del correo electrónico "Your Order Is Processed"?

Tras analizar dos correos electrónicos "Your Order Is Processed", hemos determinado que se trata de spam. Estos correos hacen afirmaciones similares acerca de que el destinatario ha comprado un artículo caro en una tienda conocida. El objetivo es engañar al destinatario para que llame al número de teléfono proporcionado para cancelar la compra, y así caer en una elaborada estafa.

Tenga en cuenta que puede haber otras variantes de este correo spam, aparte de las dos que hemos inspeccionado. Hay que destacar que los correos electrónicos "Your Order Is Processed" son falsos y que las entidades legítimas mencionadas en ellos (por ejemplo, Walmart, Target, PayPal, etc.) o están asociadas a la estafa.

¿Qué es el ransomware MLF?

Nuestro equipo de investigación descubrió el programa de tipo ransomware MLF mientras inspeccionaba los nuevos registros en VirusTotal. Además, MLF pertenece a la familia de ransomware Phobos.

Una vez que se ejecutó una muestra de este ransomware en nuestra máquina de prueba, cifró los archivos y alteró sus nombres. A los títulos de los archivos afectados se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".MLF". Por ejemplo, un archivo originalmente llamado "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3377].[DataRecovery1@cock.li].MLF", etc.

Después, MLF creó dos archivos - "info.hta" (emergente) e "info.txt" - y los dejó en el escritorio. Estos archivos contenían las notas de rescate.

¿Qué es Bobik?

Bobik es un software malicioso clasificado como RAT (troyano de acceso remoto). Estos troyanos están diseñados para permitir el acceso/control remoto sobre las máquinas infectadas. Bobik puede realizar varias actividades maliciosas, que incluyen: causar infecciones en cadena, robar datos y añadir dispositivos comprometidos a una red de bots para lanzar ataques DDoS.

Este malware se ha utilizado activamente en ataques de motivación geopolítica contra Ucrania y sus aliados. Los ataques DDoS habilitados por Bobik son elementos de cibercrimen en la guerra de Ucrania.

Esta actividad se ha vinculado con un grupo de hackers prorruso poco conocido llamado NoName057(16); lo que se ha comprobado con las pruebas recogidas por los investigadores de Avast, como la jactancia del grupo en Telegram coincidiendo con los ataques DDoS de Bobik. Sin embargo, Avast también ha estimado que las tasas de éxito de este grupo de hackers oscilan entre el 20 y el 40%.

¿Qué es Zanubis?

Zanubis es un software malicioso clasificado como troyano bancario. Este malware se dirige a los sistemas operativos Android (OS). La función principal de este programa es obtener sigilosamente las credenciales de las cuentas bancarias online y acceder a los fondos almacenados en ellas. Zanubis se dirige a los bancos latinoamericanos, especialmente a los de Perú.

¿Qué es el ransomware Bl00dy?

Bl00dy es el nombre de un programa de tipo ransomware que nuestros investigadores descubrieron mientras buscaban nuevos registros de malware en VirusTotal. Este programa malicioso forma parte de la familia de ransomware Babuk.

Una vez que una muestra de Bl00dy se ejecutó en nuestro sistema de pruebas, comenzó a cifrar archivos y añadió a sus nombres una extensión ".bl00dy". Por ejemplo, un nombre de archivo original como "1.jpg" aparecía como "1.jpg.bl00dy", "2.png" como "2.png.bl00dy", y así sucesivamente.

Una vez completado el cifrado, el ransomware dejó en el escritorio un archivo de texto titulado "How To Restore Your Files.txt". Este archivo contenía la nota de rescate, lo que hacía evidente que Bl00dy se dirige a las empresas y no a los usuarios domésticos. Además, este software malicioso utilizaba una doble táctica de extorsión.

¿Qué tipo de software es Cash?

Nuestros investigadores descubrieron la aplicación fraudulenta Cash mientras inspeccionaban instaladores sospechosos. Tras analizar esta aplicación, descubrimos que se trata de un software con soporte publicitario (adware).