Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es Mulkey?

Mulkey es una aplicación de tipo adware. Funciona mediante la ejecución de campañas publicitarias intrusivas. Además, la mayoría de los tipos de adware similares tienen características de secuestrador de navegador (es decir, modificación del navegador para promover motores de búsqueda falsos) y tienen capacidades de seguimiento de datos. Por lo tanto, Mulkey probablemente tenga tales funcionalidades.

Debido a los métodos cuestionables utilizados para distribuir Mulkey, se clasifica como una PUA (Aplicación Potencialmente No Deseada, por sus siglas en inglés). Se ha observado que esta aplicación se propaga a través de actualizaciones falsas de Adobe Flash Player. Cabe señalar que los actualizadores/instaladores fraudulentos proliferan no solo en PUAs, sino también en malware (como por ejemplo, troyanos, ransomware, criptomineros, etc.).

¿Qué es el ransomware CHRB?

CHRB pertenece a la familia de ransomware Matrix. Esta variante de ransomware encripta los archivos, cambia sus nombres de archivo utilizando un patrón determinado y crea un archivo de documento con una nota de rescate (el archivo "!README_CHRB!.rtf"). CHRB cambia el nombre de los archivos reemplazando sus nombres de archivo con "[RecoveryData1@cock.li].[caracteres_aleatorios].CHRB".

Por ejemplo, CHRB cambia el nombre de un archivo llamado "1.jpg" por "[RecoveryData1@cock.li].0BBiWinX-BGydsThw.CHRB", "2.jpg" por "[RecoveryData1@cock.li].0BBiWinX-BGydsThw.CHRB", etcétera. La nota de rescate creada por CHRB contiene instrucciones sobre cómo contactar a los atacantes y otros detalles sobre el desencriptado de datos.

¿Qué es el ransomware Hinduism?

Hinduism es un software malicioso que pertenece a la familia de ransomware Makop. Está diseñado para encriptar datos y exigir el pago por el desencriptado. En otras palabras, este ransomware inutiliza los archivos y pide a las víctimas que paguen para recuperar el acceso y el uso de sus datos.

Durante el proceso de encriptado, los archivos se renombran de acuerdo con este patrón: nombre de archivo original, identificación única asignada a la víctima, dirección de email de los ciberdelincuentes y extensión ".hinduism". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecería como algo similar a "1.jpg.[9B83AE23].[hinduism0720@tutanota.com].hinduism" después del encriptado. Una vez que se completa este proceso, se crea una nota de rescate, "readme-warning.txt".

¿Qué es el ransomware TOR?

TOR es un programa malicioso que pertenece a la familia de ransomware Dharma. Este malware encripta los datos con el fin de solicitar un rescate por el desencriptado. En otras palabras, las víctimas no pueden acceder ni utilizar los archivos afectados por este ransomware, y se les pide que paguen para recuperar el acceso/uso de sus datos.

Durante el proceso de encriptado, los archivos se vuelven a titular siguiendo este patrón: nombre de archivo original, ID único asignado a la víctima, dirección de email de los ciberdelincuentes y extensión ".TOR" (que no debe confundirse con el sufijo de host de dominio ".tor" utilizado en la red Tor). Por ejemplo, un archivo inicialmente llamado "1.jpg" aparecería como algo similar a "1.jpg.id-C279F237.[todecrypt@disroot.org].TOR" después del encriptado.

Una vez que se completa el proceso de encriptado, se muestra una nota de rescate en una ventana emergente. Además, se coloca en el escritorio un breve mensaje que exige un rescate en un archivo de texto titulado "FILES ENCRYPTED.txt".

¿Qué es Safe2Search?

Safe2Search es un secuestrador de navegador respaldado como una herramienta fácil de usar para aumentar la seguridad de la navegación. Sin embargo, funciona realizando cambios en la configuración del navegador para promover el motor de búsqueda falso search.safe2search.com. Además, Safe2Search espía la actividad de navegación de los usuarios. Dado que la mayoría de los usuarios descargan/instalan secuestradores del navegador sin darse cuenta, también se clasifican como PUAs (aplicaciones potencialmente no deseadas, por sus siglas en inglés).

¿Qué es jashautchord[.]com?

Jashautchord[.]com es un sitio web fraudulento que comparte rasgos similares con alpha-news.org, vgdjhz.com, trking.xyz y muchos otros. Esta página está diseñada para presentar a los visitantes contenido dudoso y/o redirigirlos a varios sitios (probablemente no confiables o maliciosos).

Los usuarios suelen acceder a dichos sitios web de forma involuntaria. La mayoría son redirigidos a ellos por páginas web fraudulentas, anuncios intrusivos o PUAs (aplicaciones potencialmente no deseadas, por sus siglas en inglés) instaladas. Este software puede infiltrarse en los sistemas sin el permiso del usuario y, posteriormente, provocar redireccionamientos, ejecutar campañas publicitarias intrusivas y recopilar datos de navegación.

¿Qué es BrowserBuffer?

BrowserBuffer es una aplicación maliciosa categorizada como adware. También tiene cualidades de secuestrador de navegador. Después de una instalación exitosa, este software ejecuta campañas publicitarias intrusivas y promueve motores de búsqueda falsos mediante modificaciones en la configuración del navegador. Además, BrowserBuffer tiene capacidades de seguimiento de datos.

Dado que la mayoría de los usuarios descargan/instalan adware y secuestradores de navegador sin darse cuenta, se clasifican como PUAs (aplicaciones potencialmente no deseadas, por sus siglas en inglés). Las actualizaciones falsas de Adobe Flash Player se utilizan comúnmente para distribuir software como BrowserBuffer. Cabe señalar que los actualizadores/instaladores fraudulentos proliferan no solo en PUAs, sino también en malware (por ejemplo, troyanos, ransomware, criptomineros, etc.).

¿Qué es Sorimbrsec?

Sorimbrsec es una aplicación de tipo adware con cualidades de secuestrador de navegador. Funciona mediante la ejecución de campañas publicitarias intrusivas y la promoción de motores de búsqueda falsos mediante modificaciones en la configuración del navegador. Además, los secuestradores de adware y navegadores suelen tener capacidades de seguimiento de datos.

Debido a los métodos cuestionables utilizados para distribuir Sorimbrsec, también se clasifica como una PUA (Aplicación Potencialmente No Deseada, por sus siglas en inglés). Se ha observado que esta aplicación se distribuye a través de actualizaciones falsas de Adobe Flash Player. Cabe señalar que los actualizadores/instaladores fraudulentos se utilizan para difundir varias PUAs e incluso malware (como por ejemplo, troyanos, ransomware, criptomineros, etc.).

¿Qué es flashymass[.]com?

Flashymass[.]com es un sitio web fraudulento diseñado para cargar contenido cuestionable y/o redirigir a los visitantes a otros sitios no confiables o posiblemente maliciosos. Hay miles de páginas web de este tipo en Internet; chicheet.com, ndconsiderat.biz, bestonclock.com y nmuandwishto.biz are but a few examples.

Los usuarios rara vez ingresan intencionalmente a sitios fraudulentos. La mayoría son redirigidos a ellos mediante anuncios intrusivos o PUAs (aplicaciones potencialmente no deseadas, por sus siglas en inglés) instaladas. Este software puede infiltrarse en los sistemas sin el consentimiento explícito del usuario. Las PUAs operan forzando la apertura de páginas web, ejecutando campañas publicitarias intrusivas y recopilando información relacionada con la navegación.

¿Qué es el ransomware DT?

DT, que forma parte de la familia de ransomware Dharma, es un programa malicioso que encripta los datos de las víctimas para solicitar un rescate por el desencriptado. En otras palabras, este malware hace que los archivos sean inaccesibles y solicita un pago para restaurar el acceso a ellos.

A medida que DT encripta, los archivos se retitulan siguiendo este patrón: nombre de archivo original, identificación única asignada a la víctima, dirección de email de los ciberdelincuentes y extensión ".DT". Por ejemplo, un archivo inicialmente llamado "1.jpg" aparecería como algo similar a "1.jpg.id-C279F237.[datos@onionmail.org].DT". Una vez que se completa el encriptado, las notas de rescate se crean/muestran en una ventana emergente y un archivo de texto "info.txt".