Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware WIN?

WIN, que pertenece a la familia de ransomware Phobos, es un programa malicioso diseñado para encriptar datos y exigir el pago por el desencriptado. En otras palabras, las víctimas no pueden acceder a los archivos afectados por este malware y se les pide que paguen para restaurar el acceso a sus datos.

Durante el proceso de encriptado, los archivos se renombran de acuerdo con este patrón: nombre de archivo original, identificación única asignada a la víctima, dirección de email de los ciberdelincuentes y extensión ".WIN". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecería como algo similar a "1.jpg.id[C279F237-2989].[starcomp@keemail.me].WIN".

Una vez que se completa el proceso de encriptado, las notas de rescate se crean/muestran en una ventana emergente ("info.hta") e "info.txt", estos archivos se colocan en el escritorio.

¿Qué es el email estafa "I have e-mailed you from your account"?

La estafa por email "I have e-mailed you from your account" es una campaña de spam de sextortion. Este término define una operación a gran escala durante la cual se envían miles de emails engañosos. Estas emails afirman falsamente que hay un video comprometedor con el destinatario, que se filtrará, a menos que se cumplan las demandas de rescate.

Se debe enfatizar que ninguna de la información proporcionada por estos emails es verdadera. Por lo tanto, no existen tales grabaciones y ni los dispositivos de los destinatarios ni su privacidad se han visto comprometidos.

¿Qué es el ransomware GanP?

El ransomware encripta los archivos y exige y exige el pago de un rescate (genera una nota de rescate). GanP es parte de la familia de ransomware Dharma. Esta variante encripta los archivos y modifica sus nombres agregando la identificación de la víctima, la dirección de email p1gansta1p@aol.com y la extensión ".GanP" a sus nombres de archivo.

Por ejemplo, GanP cambia el nombre de un archivo llamado "1.jpg" a "1.jpg.id-C279F237.[P1gansta1p@aol.com].GanP", "2.jpg" a "2.jpg.id-C279F237.[p1gansta1p@aol.com].GanP", y así sucesivamente. Las notas de rescate de GanP (ventana emergente y el archivo de texto "FILES ENCRYPTED.txt") proporcionan instrucciones sobre cómo contactar a los atacantes.

¿Qué es "Music Search for Chrome"?

"Music Search for Chrome" es una extensión de navegador respaldada como una herramienta de fácil acceso al contenido en línea relacionado con la música. Supuestamente es capaz de detectar la intención de búsqueda de música (por ejemplo, canciones, cantantes, etc.) e insertar enlaces rápidos a las sugerencias de la barra de direcciones (URL). Sin embargo, este software promueve el motor de búsqueda falso amazingossearch.com al realizar cambios en la configuración del navegador.

Debido a esto, "Music Search for Chrome" se clasifica como un secuestrador de navegador. Además, espía la actividad de navegación de los usuarios. Dado que la mayoría de los usuarios descargan/instalan secuestradores de navegador sin querer, también se consideran PUAs (Aplicaciones Potencialmente No Deseadas, por sus siglas en inglés).

¿Qué es ourtopstories[.]com?

El objetivo principal del sitio web ourtopstories[.]com es promover otros sitios cuestionables y mostrar contenido engañoso. Es similar a okaynotification[.]com, maxy-tax[.]com, welftheraz[.]space, y un gran número de otras páginas. Es importante mencionar que los usuarios no abren páginas como ourtopstories[.]com intencionalmente.

¿Qué es el ransomware BlackMatter?

BlackMatter es un trozo de software malicioso categorizada como ransomware. Funciona encriptando datos con el fin de solicitar un rescate por las herramientas de desencriptado. En otras palabras, los archivos afectados por BlackMatter quedan inaccesibles y las víctimas deben pagar para recuperar el acceso a sus datos.

Durante el proceso de encriptado, los archivos se adjuntan con una extensión que consta de una cadena de caracteres aleatoria. Por ejemplo, un archivo inicialmente llamado "1.jpg" aparecería como algo similar a "1.jpg.k5RO9fVOl". Una vez finalizado este proceso, el ransomware cambia el fondo de escritorio y crea una nota de rescate: "[caracteres_aleatorios].README.txt" (por ejemplo, k5RO9fVOl.README.txt).

Es probable que BlackMatter sea el ransomware DarkSide renombrado, ya que hay pruebas (por ejemplo, coincidencias en rutinas de encriptado únicas, similitudes en los esquemas de color y el lenguaje utilizado en los sitios web de Tor, etc.) para respaldar esta afirmación. La operación de DarkSide se cerró después de que sus servidores y criptomonedas fueran incautados tras el incidente del ransomware Colonial Pipeline.

¿Qué es "PC Accelerator"?

Los desarrolladores presentan "PC Accelerator" como una gran herramienta para optimizar y acelerar su computadora. Inicialmente, esta aplicación puede parecer legítima y útil, sin embargo, "PC Accelerator" está categorizado como un programa potencialmente no deseado (PUP). "PC Accelerator" a menudo se infiltra en los sistemas sin permiso y no proporciona ningún valor real para los usuarios habituales.

¿Qué es MultiplySearch?

MultiplySearch es una aplicación de tipo adware con características de secuestrador de navegador. Funciona ejecutando campañas publicitarias intrusivas, realizando modificaciones en la configuración del navegador y promocionando motores de búsqueda falsos. Además, la mayoría de las aplicaciones de tipo adware y los secuestradores de navegador recopilan información relacionada con la navegación.

Debido a los dudosos métodos utilizados para propagar MultiplySearch, también se clasifica como una aplicación potencialmente no deseada (PUA, por sus siglas en inglés). Uno de los métodos utilizados para distribuir esta aplicación es mediante actualizaciones falsas de Adobe Flash Player. Los instaladores/actualizadores de software falsos se utilizan para difundir PUAs, troyanos, ransomware y otros programas maliciosos.

¿Qué es el virus por email "Coronavirus Track and trace result"?

Es popular entre los ciberdelincuentes utilizar la pandemia de COVID-19 como una oportunidad para engañar a las personas para que realicen transacciones monetarias, proporcionen información personal o instalen software malicioso en sus computadoras. En este caso particular, los ciberdelincuentes intentan enviar malware a través de emails con temas de coronavirus.

¿Qué es okaynotification[.]com?

Okaynotification[.]com es un sitio web fraudulento que comparte muchas similitudes con maxy-tax.com, welftheraz.space, my-live-videos-leakes.com y miles de otros. Funciona cargando contenido dudoso y/o redireccionando a los visitantes a varios sitios (probablemente no confiables o maliciosos).

Rara vez se accede a estas páginas web de forma intencionada; la mayoría de los usuarios son redirigidos a ellos por páginas fraudulentas, anuncios intrusivos o PUAs (PUAs, por sus siglas en inglés) instaladas. Estas aplicaciones pueden infiltrarse en los sistemas sin el consentimiento del usuario y provocar redireccionamientos, ejecutar campañas publicitarias intrusivas y recopilar datos relacionados con la navegación.