Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de software es "Lucky baro"?

Al comprobar sitios web no fiables, nuestros investigadores descubrieron la extensión de navegador "Lucky baro". Funciona cambiando la configuración del navegador para promover (a través de redireccionamientos) el motor de búsqueda ilegítimo barosearch.com. Este comportamiento clasifica a Lucky baro como secuestrador del navegador.

¿Qué tipo de aplicación es Chromstera?

Mientras investigábamos sitios sospechosos, nuestro equipo de investigación descubrió el navegador Chromstera. Esta aplicación se basa en Chromium, un proyecto de navegador web de código abierto.

Si Chromstera se ha infiltrado en su sistema, es muy probable que esta aplicación haya llegado junto con otro software no deseado o potencialmente malicioso. Asimismo, cabe mencionar que no es raro que los navegadores basados en Chromium se desarrollen con intenciones nefastas. Por lo tanto, los navegadores Chromium fraudulentos pueden tener varias capacidades dañinas.

¿Qué tipo de malware es crYptA3?

Mientras examinábamos muestras de malware enviadas a VirusTotal, nuestro equipo descubrió crYptA3, un malware que funciona como ransomware. El objetivo de crYptA3 es cifrar archivos. Además, proporciona una nota de rescate (archivo "readme_for_unlock.txt") y añade la extensión ".crYptA3" a los nombres de los archivos.

Un ejemplo de cómo crYptA3 cambia el nombre de los archivos: cambia "1.jpg" por "1.jpg.crYptA3", "2.png" por "2.png.crYptA3", etc.

¿Qué es el ransomware Wizard?

Nuestro equipo de investigación descubrió el programa malicioso Wizard durante una inspección rutinaria de nuevos registros en VirusTotal. Está clasificado como ransomware, un tipo de malware que cifra los datos y pide un rescate por las herramientas de descifrado.

Después de ejecutar una muestra del ransomware Wizard en nuestro sistema de pruebas, encriptó los archivos y alteró sus títulos. A los nombres de archivo originales se les añadía la extensión ".wizard", por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg.wizard", "2.png" como "2.png.wizard", etc.

Una vez finalizado el proceso de cifrado, se creaba en el escritorio un mensaje en el que se pedía un rescate: "decrypt_instructions.txt".

¿Qué es "We Hacked & Extracted Information From Your Device"?

Tras revisar este correo electrónico, nuestro equipo ha determinado que su intención es engañar a los destinatarios para que envíen dinero a los estafadores. Afirma que un dispositivo ha sido pirateado y proporciona instrucciones de pago. Los destinatarios deben ignorar este correo electrónico y otros similares para evitar pérdidas económicas, robo de información u otros problemas.

¿Qué tipo de software es CirrusCastellanus?

Nuestro equipo de investigación descubrió una configuración de instalación que contenía la extensión de navegador CirrusCastellanus durante una inspección rutinaria de sitios web no fiables. Se desconoce el modus operandi exacto de esta pieza de software malicioso. Es evidente, basándonos en los permisos de CirrusCastellanus, que esta extensión tiene como objetivo la actividad de navegación y, potencialmente, la información relativa a los complementos del navegador.

¿Qué tipo de malware es Duke?

Duke es el nombre general de los conjuntos de herramientas de malware utilizados por el actor APT29 APT (Advanced Persistent Threat) también conocido como The Dukes, Cloaked Ursa, CozyBear, Nobelium y UNC2452. APT29 es un grupo ruso patrocinado por el Estado y asociado al Servicio de Inteligencia Exterior de la Federación Rusa (SVR RF). El grupo tiene motivaciones políticas y geopolíticas; se dedica a la recopilación de información y al ciberespionaje.

La familia de malware Duke abarca una amplia gama de programas maliciosos, como puertas traseras de sistemas, loaders, ladrones de datos, perturbadores de procesos y otros.

La última campaña de spam vinculada al grupo The Dukes se produjo en 2023 e implementaba documentos PDF maliciosos disfrazados de invitaciones diplomáticas de la embajada alemana. Esta campaña de correo electrónico iba dirigida a los ministerios de Asuntos Exteriores de los países alineados con la OTAN.

¿Qué tipo de malware es Agniane?

Agniane es un stealer, un tipo de malware diseñado para extraer y filtrar información confidencial de las máquinas infectadas. Este stealer se centra principalmente en el robo de datos relacionados con criptomonedas.

¿Qué tipo de malware es Knight?

El ransomware Knight es la nueva denominación de Cyclops. El malware de esta clasificación está diseñado para cifrar archivos y pedir rescates por su descifrado.

Cuando ejecutamos una muestra de Knight en nuestro sistema de pruebas, empezó a cifrar archivos y añadió a sus nombres la extensión ".knight_l". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.knight_l", "2.png" como "2.png.knight_l", etc. A continuación, una nota de rescate - "How To Restore Your Files.txt"- aparecía en todas las carpetas cifradas del sistema.

Es pertinente mencionar que el grupo detrás de Knight opera como Ransomware-as-a-Service, y estos delincuentes también ofrecen malware para robar información. Por lo tanto, existe la posibilidad de que estas infecciones de ransomware tengan un elemento de doble extorsión. La variante que investigamos mencionaba el uso de este tipo de tácticas.

¿Qué tipo de página es bonalluterser[.]com?

Nuestro equipo de investigación descubrió bonalluterser.com mientras investigaba sitios no fiables. El objetivo de esta página fraudulenta es engañar a los visitantes para que le permitan enviar notificaciones de spam en el navegador. También puede redirigir a los visitantes a otros sitios web (probablemente dudosos o maliciosos). Los usuarios suelen entrar en páginas web como bonalluterser[.]com a través de redireccionamientos provocados por sitios que emplean redes publicitarias fraudulentas.