Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es gotoyahoo.com?

Al analizar gotoyahoo.com, descubrimos que se trata de un falso motor de búsqueda promocionado a través de secuestradores de navegador (extensiones como Image Size Info). Deben evitarse los buscadores falsos y las extensiones que los promocionan. Si están presentes en la configuración del navegador y (o) se añaden a los navegadores, deben eliminarse.

¿Qué tipo de sitio web es doktox.com?

Doktox.com es un motor de búsqueda falso. Aunque esta página es capaz de proporcionar resultados de búsqueda, son inexactos y pueden incluir contenido patrocinado y posiblemente dañino. Los sitios web de este tipo suelen ser promocionados (a través de redirecciones) por secuestradores de navegadores.

Nuestros investigadores descubrieron doktox.com al analizar un instalador obtenido de una página web engañosa. Este instalador contenía el secuestrador de navegadores EasySearch.

¿Qué tipo de malware es King?

King es una variante de ransomware de la familia Proton. Nuestro equipo descubrió King mientras inspeccionaba muestras de malware enviadas a VirusTotal. Este ransomware cifra archivos, añade una dirección de correo electrónico y la extensión ".king" a los nombres de los archivos, y crea un archivo llamado "#Read-for-recovery.txt" (una nota de rescate). Además, King cambia el fondo de escritorio.

Un ejemplo de cómo el ransomware King cambia los nombres de los archivos: renombra "1.jpg" a "1.jpg.[king_ransom1@mailfence.com].king", "2.png" a "2.png.[king_ransom1@mailfence.com].king", y así sucesivamente.

¿Qué tipo de malware es Defi?

Nuestros investigadores descubrieron un programa tipo ransomware de la familia Makop llamado Defi mientras inspeccionaban nuevos envíos al sitio web VirusTotal. El ransomware funciona cifrando los datos de las víctimas para exigir que paguen un rescate por el descifrado.

En nuestro sistema de pruebas, Defi cifró archivos y modificó sus títulos. A los nombres de archivo originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".defi1328" (tenga en cuenta que el número de la extensión puede variar en función de la variante del ransomware). Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.[2AF20FA3].[wewillrestoreyou@cyberfear.com].defi1328" en nuestra máquina de prueba.

Una vez finalizado el proceso de cifrado, el ransomware Defi cambió el fondo de escritorio y dejó caer una nota de rescate en un archivo de texto titulado "+README-WARNING+.txt".

¿Qué tipo de malware es DennisTheHitman?

Mientras revisábamos nuevos envíos de malware a la plataforma VirusTotal, nuestro equipo de investigación descubrió el ransomware DennisTheHitman . Este programa malicioso forma parte de la familia de ransomware GlobeImposter. Este tipo de malware encripta los datos para exigir un pago por su desencriptación.

En nuestra máquina de pruebas, DennisTheHitman cifró los archivos y añadió a sus nombres la extensión ".247_dennisthehitman". Así, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.247_dennisthehitman", y así con todos los archivos bloqueados. Cabe destacar que el número de la extensión puede variar en función de la variante del ransomware.

Una vez concluido el proceso de cifrado, DennisTheHitman creó un mensaje de petición de rescate en un archivo HTML titulado "how_to_back_files.html". A juzgar por la nota, es evidente que este ransomware se dirige más a las empresas que a los usuarios domésticos. También utiliza tácticas de doble extorsión.

¿Qué tipo de malware es NoDeep?

Durante nuestro análisis de NoDeep, descubrimos que se trata de un ransomware de la familia Proton. Cifra archivos, añade una dirección de correo electrónico (nodeep@tutamail.com) y su extensión (".nodeep") a los nombres de los archivos, y deja caer una nota de rescate ("#Read-for-recovery.txt"). Descubrimos NoDeep mientras inspeccionábamos muestras enviadas a VirusTotal.

Un ejemplo de cómo NoDeep modifica los nombres de los archivos cifrados: cambia el nombre de "1.jpg" a "1.jpg.[nodeep@tutamail.com].nodeep", "2.png" a "2.png.[nodeep@tutamail.com].nodeep", y así sucesivamente.

¿Qué tipo de malware es Dark Eye?

Dark Eye es un ransomware perteneciente a la familia Xorist. Lo descubrimos al comprobar muestras de malware enviadas a VirusTotal. Este ransomware cifra los archivos y añade la extensión ".darkeye" a los nombres de archivo. También proporciona una nota de rescate (muestra una ventana emergente, cambia el fondo de escritorio y crea el archivo "HOW TO DECRYPT FILES.txt").

Ilustración del cambio de nombre de los archivos cifrados por Dark Eye: "1.jpg" se convierte en "1.jpg.darkeye", "2.png" en "2.png.darkeye", y así sucesivamente.

¿Qué tipo de malware es Shadaloo?

Nuestro equipo de investigación encontró Shadaloo mientras buscaba nuevos envíos en el sitio web VirusTotal. Este programa malicioso está clasificado como ransomware; cifra los datos y exige un pago para descifrarlos.

En nuestro sistema de pruebas, Shadaloo cifró archivos y añadió la extensión ".shadaloo" a sus nombres. Así, un archivo originalmente titulado "1.jpg" aparecía como "1.jpg.shadaloo", "2.png" como "2.png.shadaloo", etc. Después, este ransomware cambiaba el fondo de escritorio y dejaba caer una nota de rescate titulada "HOW TO DECRYPT FILES.txt".

¿Qué tipo de malware es Crystal Stealer?

Crystal Stealer es un tipo de malware diseñado para robar información de los sistemas infectados. Se ha observado a ciberdelincuentes promocionando este ladrón a través de Telegram. Es habitual que este tipo de malware se ejecute de forma silenciosa, por lo que las víctimas pueden no ser conscientes de que sus ordenadores están comprometidos hasta que es demasiado tarde.

¿Qué tipo de estafa es "ClickFix"?

"ClickFix" se refiere a estafas de proliferación de malware que engañan a los usuarios para que ejecuten comandos maliciosos en sus dispositivos afirmando que es una solución a un problema. Estas estafas indican a las víctimas que copien/peguen los scripts virulentos, afirmando que al hacerlo podrán crear/editar/compartir documentos, unirse a videoconferencias, solucionar problemas de visualización de sitios web, etc.

Este contenido engañoso se respalda principalmente en la Web, pero también hemos observado la estafa facilitada a través de archivos engañosos distribuidos mediante campañas de spam por correo electrónico.