Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware Phmqdw?

Nuestros investigadores encontraron el programa malicioso Phmqdw mientras inspeccionaban nuevos envíos a VirusTotal. Nos enteramos de que pertenece a la familia de ransomware Makop.

Una vez que se lanzó en nuestra máquina de prueba, este ransomware comenzó a encriptar archivos y agregar sus nombres de archivo con una identificación única asignada a la víctima y la extensión ".phmqdw". Por ejemplo, un archivo inicialmente titulado "1.jpg" apareció como "1.jpg.[ID-9ECFA84E].phmqdw". Posteriormente, se creó un mensaje que exigía rescate: "_readme.txt".

¿Qué tipo de malware es ColdStealer?

ASEC Analysis Team ha descubierto un nuevo ladrón de información llamado ColdStealer. Se descubrió que este malware roba información diversa del usuario y la envía al servidor de Comando y Control (C2). Los ciberdelincuentes distribuyen ColdStealer utilizando un malware dropper y downloader que descarga ColdStealer del servidor C2. El instalador de este ladrón se distribuye a través de herramientas de craqueo de software falso.

¿Qué tipo de malware es Fakecalls?

Fakecalls es el nombre de un troyano dirigido a los usuarios de Android. Este malware imita llamadas con empleados del banco (atención al cliente). Fakecalls está disfrazado de una aplicación bancaria (al menos dos aplicaciones bancarias llamadas Kookbik Bank y KakaoBank). Los ciberdelincuentes pueden utilizar el troyano Fakecalls para extraer información confidencial.

¿Qué es el ransomware "Democracy Whisperers"?

"Democracy Whisperers" es el nombre de un programa malicioso clasificado como ransomware. Nuestro equipo de investigación lo descubrió mientras inspeccionaba nuevos envíos de malware en VirusTotal. Determinamos que pertenece a la familia de ransomware Babuk.

Después de ser lanzado en nuestra máquina de prueba, "Democracy Whisperers" encriptó archivos y cambió sus nombres de archivo agregándoles una extensión ".democ". Por ejemplo, un archivo inicialmente titulado "1.jpg" apareció como "1.jpg.democ", "2.png" como "2.png.democ", etc. Una vez que se completó el proceso de encriptación, una nota de rescate ("Restore Files.txt") se descargó en el escritorio.

¿Qué tipo de malware es Session?

Session es el nombre de un ransomware que pertenece a una familia de ransomware llamada Makop. Lo descubrimos mientras analizábamos muestras de malware enviadas a VirusTotal. ransomware Session encripta y renombra archivos y crea una nota de rescate (el archivo "+README-WARNING+.txt"). Agrega una cadena de caracteres aleatorios y la extensión ".session" a los nombres de archivo.

Un ejemplo de cómo Session modifica los nombres de archivo: cambia el nombre de "1.jpg" a "1.jpg.[87C29B86].[].session", "2.png" a "2.png.[87C29B86].[].session", etc. A diferencia de la mayoría de las variantes que pertenecen a la familia Makop, Session no agrega una dirección de email (después de la cadena de caracteres aleatorios) a los nombres de archivo.

¿Qué es SMSSpy?

SMSSpy se refiere a un trozo de software malicioso que se hace pasar por varias aplicaciones de plataformas legítimas de comercio electrónico. Este malware tiene como objetivo obtener las credenciales bancarias online de las víctimas y así obtener acceso a los fondos almacenados en las cuentas. En el momento en que investigamos SMSSpy, estaba dirigido exclusivamente a usuarios de Malasia. El programa malicioso tiene la capacidad de extraer las credenciales de ocho bancos populares que ofrecen sus servicios en Malasia.

Según un informe de la página web welivesecurity.com de ESET, las campañas que propagan SMSSpy se identificaron por primera vez a fines de 2021. El malware se presentó como una aplicación de Maid4u, un servicio de limpieza legítimo, y se promocionó a través de publicidad maliciosa en Facebook.

¿Qué tipo de malware es Sapphire?

Sapphire es el nombre de un minero de criptomonedas. Este malware se vende en foros de hackers por 75 euros. Sapphire puede extraer criptomonedas XMR (Monero), ERGO, ETC (Ethereum Classic) y ETH (Ethereum).

Además, este minero puede evitar ser detectado por Windows Defender, ocultarse de las herramientas del Administrador de Tareas y ProcessHacker, y ejecutarse con privilegios de administrador.

¿Qué es la estafa por email PancakeSwap?

Después de inspeccionar este email de PancakeSwap, nuestros investigadores determinaron que se trata de spam que funciona como una estafa phishing. El email afirma que la cartera de criptomonedas del destinatario se suspenderá si no se valida. Este spam promueve una página de phishing, que se parece mucho a la página web genuino de PancakeSwap.

¿Qué es FFDroider?

FFDroider es un programa malicioso clasificado como stealer/ladrón. Está diseñado para extraer y exfiltrar datos confidenciales de dispositivos infectados. FFDroider se dirige en particular a las redes sociales populares y las plataformas de comercio electrónico.

¿Qué tipo de malware es Octo?

Octo es el nombre del malware de Android, un troyano bancario dirigido a los usuarios de Android. Octo es bastante similar a otro troyano bancario llamado ExobotCompact que estuvo activo hasta 2018 y se dirigía a instituciones financieras.