Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es "CrowdStrike Scam"?

CrowdStrike es una empresa estadounidense de ciberseguridad que ofrece servicios de seguridad de puntos finales, inteligencia de amenazas y respuesta a ciberataques. El 19 de julio de 2024, CrowdStrike publicó una actualización para sistemas Windows. Desafortunadamente, esta actualización contenía un error que provocaba que los sistemas implicados se bloquearan con una Pantalla Azul de la Muerte, creando una oportunidad para que los ciberdelincuentes explotaran la situación.

¿Qué tipo de aplicación es ExtraFastApps?

ExtraFastApps es una aplicación potencialmente no deseada (PUA). Su aspecto es prácticamente idéntico al de otra aplicación no deseada llamada PC Accelerate. ExtraFastApps afirma ofrecer funciones relacionadas con la optimización del sistema. Esta funcionalidad falsa se utiliza para engañar a los usuarios para que compren la aplicación. Es pertinente mencionar que las PUAs a menudo tienen capacidades dañinas no mencionadas.

¿Qué es searchnukes.com?

Hemos inspeccionado searchnukes.com y hemos descubierto que es un motor de búsqueda falso promocionado a través de una extensión de navegador que funciona como secuestrador de navegador. Los usuarios deben evitar el uso de motores de búsqueda falsos y la adición de secuestradores de navegadores a los navegadores. Los usuarios que encuentren searchnukes.com deberían eliminarlo, así como la extensión asociada.

¿Qué tipo de malware es ZILLA?

ZILLA es un ransomware que descubrimos durante un examen de muestras de malware enviadas a VirusTotal. Nuestra investigación ha demostrado que ZILLA forma parte de la familia Dharma. Una vez en el sistema, ZILLA cifra los archivos, cambia los nombres de todos los archivos cifrados, muestra una ventana emergente (una nota de rescate) y crea un archivo de texto llamado "ZILLA-INFO.txt" (otra nota de rescate).

Este ransomware cambia el nombre de los archivos añadiendo el ID de la víctima, la dirección de correo electrónico filezilla@cock.li y la extensión ".ZILLA". Por ejemplo, cambia "1.jpg" por "1.jpg.id-9ECFA84E.[filezilla@cock.li].ZILLA", "2.png" por "2.png.id-9ECFA84E.[filezilla@cock.li].ZILLA", etc.

¿Qué tipo de malware es BLUE LOCKER?

BLUE LOCKER es un ransomware. Este tipo de software encripta archivos, modifica sus nombres y genera una nota de rescate. BLUE LOCKER añade la extensión ".blue" a los nombres de los archivos, por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.blue", "2.jpg" a "2.jpg.blue". Su nota de rescate es un archivo de texto llamado "restore_file.txt".

¿Qué es el ransomware PROM?

PROM es un programa malicioso clasificado como ransomware. Los sistemas infectados con este malware tienen sus datos cifrados y los usuarios reciben peticiones de rescate por herramientas de descifrado. Es decir, los archivos quedan inaccesibles y se pide a las víctimas que paguen para recuperar el acceso a sus datos.

Durante el proceso de cifrado, a los archivos afectados se les añade la extensión ".PROM[prometheushelp@mail.ch]", que contiene la dirección de correo electrónico de los ciberdelincuentes.Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecería como "1.jpg.PROM[prometheushelp@mail.ch]", "2.jpg" como "2.jpg.PROM[prometheushelp@mail.ch]", y así sucesivamente.

Una vez completado este proceso, se crean los archivos "RESTORE_FILES_INFO.hta" (ventana emergente) y "RESTORE_FILES_INFO.txt", que contienen mensajes de rescate idénticos.

¿Qué es el virus del correo electrónico UNILEVER?

El "virus del correo electrónico UNILEVER" está catalogado como una campaña de spam. Los estafadores envían mensajes de correo electrónico a cientos (o incluso miles) de personas con la esperanza de que algunas abran el archivo adjunto entregado. Existen muchas estafas similares, pero ésta se utiliza para propagar el virus LokiBot a través del archivo adjunto. Le recomendamos encarecidamente que ignore el mensaje y no abra el archivo adjunto.

¿Qué tipo de malware es RADAR?

Mientras examinaban los nuevos envíos a la plataforma VirusTotal, nuestros investigadores descubrieron el ransomware RADAR. Los programas maliciosos de esta clasificación están diseñados para cifrar archivos y pedir rescates por su descifrado.

Después de ejecutar una muestra de RADAR en nuestro sistema de pruebas, cifró los archivos y añadió a sus nombres una cadena de caracteres aleatoria. Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.W8M8ePNp".

Una vez finalizado este proceso, RADAR cambiaba el fondo de escritorio y creaba una nota de rescate titulada "README_FOR_DECRYPT.txt". Basándonos en el mensaje del archivo de texto, es evidente que este ransomware también roba datos con fines de doble extorsión.

¿Qué es searchninjapro.com?

Al inspeccionar searchninjapro.com, descubrimos que se supone que esta dirección es un motor de búsqueda. Sin embargo, searchninjapro.com es un falso motor de búsqueda promocionado a través de una extensión que funciona como secuestrador de navegadores. Por lo tanto, los usuarios que encuentren searchninjapro.com deberían eliminarlo (y la extensión asociada) de sus navegadores.

¿Qué tipo de malware es Ursq?

Ursq es un programa de tipo ransomware descubierto por nuestros investigadores durante una investigación rutinaria de nuevos envíos a la plataforma VirusTotal. Este programa malicioso forma parte de la familia de ransomware Makop.

En nuestro sistema de pruebas, Ursq cifró archivos y cambió sus nombres. A los nombres originales se les añadía un identificador único, la dirección de correo electrónico del ciberdelincuente y la extensión ".ursq". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.[2AF20FA3].[datahelp2022@keemail.me].ursq".

Una vez finalizado el proceso de cifrado, se creaba un mensaje de petición de rescate titulado "+README-WARNING+.txt".