Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué son los falsos sitios web "Tornado Cash"?

Esta estafa "Tornado Cash" se refiere a sitios web engañosos que imitan la plataforma Tornado Cash (TornadoCash). Estas páginas falsas no están asociadas con esta plataforma de intercambio de criptomonedas. Los sitios de estafa tienen como objetivo engañar a los usuarios para que expongan sus carteras a un vaciador de criptodivisas, y las víctimas experimentan pérdidas financieras.

¿Qué tipo de estafa es "Apple Security Found Some Infected Files"?

Nuestro examen del sitio ha revelado que alberga una estafa de soporte técnico en la que aparecen falsas ventanas emergentes para engañar a los visitantes desprevenidos y hacer que realicen ciertas acciones. Por lo general, este tipo de estafas utilizan tácticas de miedo para engañar a las personas. Si encuentra este sitio web o uno similar, ignórelo y ciérrelo.

¿Qué tipo de malware es RestoreBackup?

Hemos inspeccionado RestoreBackup (que descubrimos durante el análisis de muestras de malware enviadas a VirusTotal) y hemos determinado que se trata de un ransomware diseñado para cifrar archivos. Además de bloquear el acceso a los archivos, RestoreBackup les cambia el nombre (añadiendo ".{cadena_aleatoria}.restorebackup") y deja caer una nota de rescate ("README.TXT").

Un ejemplo de cómo se renombran los archivos cifrados: "1.jpg" se cambia por "1.jpg.{F52F8167-EA78-785E-7DCB-72284ABD03AA}.restorebackup"), "2.png" por "2.png.{F52F8167-EA78-785E-7DCB-72284ABD03AA}.restorebackup"), y así sucesivamente.

¿Qué tipo de página es derenmon.co[.]in?

Nuestros investigadores encontraron la página maliciosa derenmon.co[.]in mientras navegaban por sitios web dudosos. Después de examinar esta página web, determinamos que está diseñada para promover el spam de notificación del navegador y redirigir a los usuarios a otros sitios (probablemente dudosos/maliciosos). Derenmon.co[.]in y páginas similares son accedidas principalmente a través de redirecciones causadas por sitios web que utilizan redes de publicidad falsa.

¿Qué tipo de malware es FMLN?

Nuestros investigadores descubrieron el ransomware FMLN mientras inspeccionaban los archivos enviados al sitio VirusTotal. Este tipo de malware está diseñado para cifrar datos y exigir un pago por el descifrado.

En nuestro sistema de pruebas, FMLN cifró archivos y les cambió el nombre siguiendo este patrón: "[nombre_archivo_original].crypt-[extensión_original]". Por ejemplo, un archivo llamado inicialmente "1.jpg" se convirtió en "1.crypt-jpg", "2.png" - "2.crypt-png", y así sucesivamente.

Una vez completado el proceso de cifrado, el ransomware FMLN cambiaba el fondo de escritorio y creaba notas de rescate en una ventana emergente y un archivo de texto titulado "README.txt".

¿Qué tipo de página es speedupdevice.co[.]in?

Nuestros investigadores descubrieron la página fraudulenta speedupdevice.co[.]in durante una inspección rutinaria de sitios no fiables. Funciona apoyando el spam de notificaciones del navegador y produciendo redirecciones a diferentes sitios web (probablemente dudosos/peligrosos).

La mayoría de los visitantes entran en speedupdevice.co[.]in y páginas web similares a través de redirecciones provocadas por sitios que utilizan redes publicitarias fraudulentas.

¿Qué tipo de página es gratives.co[.]in?

Mientras investigaban sitios web dudosos, nuestros investigadores descubrieron la página fraudulenta gratives.co[.]in. Funciona apoyando el spam de notificación del navegador y redirigiendo a los visitantes a otros sitios (probablemente poco fiables/peligrosos). La mayoría de los usuarios acceden a páginas web como gratives.co[.]in a través de redirecciones provocadas por sitios web que utilizan redes publicitarias fraudulentas.

¿Qué tipo de malware es Shadowpad?

Shadowpad es un malware modular que utiliza módulos de robo de información y puede causar infecciones en cadena. Existe desde al menos 2017. Inicialmente utilizado por un único actor de amenazas con sede en China, sus ataques posteriores se han atribuido a múltiples grupos chinos de ciberespionaje.

Las últimas campañas (en el momento de escribir estas líneas) afectaron a 21 empresas situadas en Europa, Asia, Oriente Medio y Sudamérica; la mayoría de los objetivos operaban en el ámbito de la fabricación. Algunos de estos ataques se utilizaron para infectar las redes de las víctimas con el ransomware NailaoLocker.

¿Qué tipo de aplicación es Sighful.app?

Sighful.app es un software malicioso descubierto por nuestro equipo de investigación durante una inspección rutinaria de nuevos envíos a la plataforma VirusTotal. Tras analizar esta aplicación, hemos determinado que se trata de un software respaldado por publicidad (adware). Sighful.app forma parte de la familia de malware Pirrit.

¿Qué tipo de malware es PelDox?

Nuestros investigadores descubrieron el ransomware PelDox mientras buscaban nuevos archivos enviados al sitio web VirusTotal. El software malicioso dentro de esta clasificación está diseñado para cifrar archivos y exigir un pago por el descifrado.

Después de ejecutar una muestra de PelDox en nuestra máquina de pruebas, encriptó los archivos y añadió la extensión ".lczx" a sus nombres. Por ejemplo, un nombre de archivo original como "1.jpg" aparecía como "1.jpg.lczx", "2.png" como "2.png.lczx", etc. Una vez completado este proceso, el ransomware mostraba un mensaje a pantalla completa.