Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de aplicación es App?

Nuestro equipo ha probado la extensión de navegador App y ha descubierto que funciona como un secuestrador del navegador. El objetivo de esta extensión es promocionar varios motores de búsqueda falsos. Además, la extensión App añade la función "Gestionado por tu organización" a los navegadores Chrome. Lo descubrimos en una página web engañosa.

¿Qué es Pdf ransomware?

Mientras revisábamos nuevos registros en VirusTotal, nuestros investigadores descubrieron otro programa malicioso perteneciente a la familia de ransomware Dharma, llamado Pdf.

Tras lanzar una muestra del ransomware Pdf en nuestra máquina de pruebas, encriptó los archivos y alteró sus nombres. A los títulos originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".pdf" (no confundir con el formato de documento PDF). Por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg.id-9ECFA84E.[3442516480@qq.com].pdf".

Una vez finalizado el proceso de cifrado, este ransomware creaba/mostró notas de rescate en una ventana emergente y un archivo de texto con el título "RETURN FILES.txt".

¿Qué tipo de página es totalrecaptcha[.]top?

Mientras investigábamos sitios web no fiables, nuestros investigadores descubrieron la página web fraudulenta totalrecaptcha[.]top. Descubrimos que tiene dos variantes de apariencia (posiblemente más), que utilizan contenido engañoso para engañar a los visitantes para que permitan que la página envíe notificaciones de spam en el navegador. Además, este sitio puede redirigir a los usuarios a diferentes páginas web (probablemente dudosas/maliciosas).

Los visitantes de sitios como totalrecaptcha[.]top suelen acceder a ellos a través de redireccionamientos provocados por páginas que utilizan redes publicitarias fraudulentas.

¿Qué es el mensaje de correo electrónico "Email Quarantine"?

"Email Quarantine" se refiere a una campaña de correo electrónico spam de phishing. El término "campaña de spam" se utiliza para definir una operación a gran escala, durante la cual se envían miles de correos electrónicos engañosos. Los mensajes distribuidos a través de la campaña "Email Quarantine" afirman que los usuarios tienen varios correos electrónicos entrantes, que han sido "puestos en cuarentena" (es decir, que no han llegado a la bandeja de entrada).

Para evitar que estos mensajes (inexistentes) sean eliminados, se indica a los destinatarios que inicien sesión en sus cuentas de correo electrónico. Este es el objetivo principal de esta estafa: animar a los usuarios a revelar inadvertidamente las credenciales de inicio de sesión de su cuenta de correo electrónico introduciéndolas en un sitio web de phishing.

¿Qué tipo de malware es Pegasus?

Pegasus es el nombre de un programa malicioso dentro de la clasificación de spyware. Está dirigido a sistemas operativos Android y puede ejecutar varios comandos y extraer una amplia gama de información.

Pegasus es un programa muy sofisticado desarrollado por la empresa israelí de ciberarmas NSO Group. Este spyware está licenciado a varias agencias gubernamentales de todo el mundo, lo que ha hecho que se utilice para el ciberespionaje contra objetivos de interés, como políticos, activistas, periodistas, etc.

¿Qué es OperativeQueue?

Mientras revisábamos nuevos registros en VirusTotal, nuestro equipo de investigación descubrió la aplicación OperativeQueue. Tras instalar esta aplicación en nuestro sistema de pruebas, comprobamos que funciona como software respaldado por publicidad (adware). Cabe destacar que OperativeQueue forma parte de la familia de malware AdLoad.

¿Qué tipo de correo electrónico es "PayPal - Your Order Is Already Processed"?

Tras inspeccionar el correo electrónico "PayPal: Your Order Is Already Processed", hemos determinado que se trata de spam. Este falso correo electrónico se presenta como una notificación de PayPal que informa al destinatario de un pedido procesado correctamente. El objetivo de este correo es engañar a los usuarios para que llamen al número de teléfono proporcionado y enredarlos en una estafa.

Cabe destacar que estos correos electrónicos no están asociados en modo alguno con la empresa real PayPal Holdings, Inc.

¿Qué es el ransomware Lorenz?

Lorenz es una nueva variante del ransomware Sz40. Está diseñado para cifrar datos y pedir rescates por el descifrado. En otras palabras, Lorenz hace inaccesibles los archivos afectados y pide a las víctimas que paguen para recuperar el acceso a sus datos.

Durante el proceso de cifrado, a los archivos se les añade la extensión ".Lorenz.sz40". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecería como "1.jpg.Lorenz.sz40", "2.jpg" como "2.jpg.Lorenz.sz40", y así sucesivamente.

Una vez finalizado el proceso de cifrado, se crea una nota de rescate con el nombre de archivo "HELP_SECURITY_EVENT.html".

En el momento de la investigación, el ransomware Lorenz tenía un bug (fallo), que corrompía ciertos archivos. Esta corrupción se producía porque se borraba una parte del archivo cifrado. Por lo tanto, la recuperación completa de estos archivos no es posible incluso con la intervención de los ciberdelincuentes.

Sin embargo, existe una herramienta de descifrado gratuita capaz de restaurar los archivos cifrados por Lorenz (pero no dañados). Este descifrador es compatible con documentos de Microsoft Office y PDF, así como con algunos archivos en formato de imagen y vídeo. El software de descifrado ha sido desarrollado por Tesorion y puede descargarse gratuitamente a través de la iniciativa NoMoreRansom.

¿Qué es Split Files?

Mientras inspeccionábamos sitios web sospechosos, nuestros investigadores encontraron una página engañosa que promocionaba un asistente de descargas malicioso. Tras instalarlo en nuestro equipo de pruebas, descubrimos que incluía varios programas dañinos, entre ellos Split Files (también conocido como Split Files Setup). Esta aplicación funciona como adware y puede tener funcionalidades peligrosas adicionales.

¿Qué tipo de aplicación es Snetchball?

Al analizar la aplicación Snetchball, descubrimos que funciona como adware: muestra anuncios intrusivos. Es habitual que el adware se promocione y distribuya utilizando métodos turbios. Descubrimos Snetchball tras descargar un instalador malicioso de una página web poco fiable.