Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es search.media-tab.com?

Hemos analizado search.media-tab.com y hemos descubierto que se trata de un motor de búsqueda falso. Este falso motor de búsqueda se promociona a través de una extensión llamada Vids Tab, que es un browser hijacker. La aplicación que promociona search.media-tab.com secuestra un navegador cambiando su configuración. Los usuarios afectados deben eliminar Vids Tab y la URL asociada de sus navegadores.

¿Qué tipo de malware es SRC?

Durante nuestro examen de muestras de malware subidas a VirusTotal, descubrimos una variante de ransomware conocida como SRC. Descubrimos que esta variante de ransomware pertenece a la Familia Makop. Una vez infiltrado, SRC cifra los archivos, añade el ID de la víctima, la dirección de correo electrónico restoreBackup@cock.li y la extensión ".SRC" a los nombres de los archivos.

Además, SRC cambia el fondo de escritorio y proporciona una nota de rescate ("+README-WARNING+.txt"). Un ejemplo de cómo SRC modifica los nombres de archivo: cambia el nombre de "1.jpg" a "1.jpg.[2AF20FA3].[RestoreBackup@cock.li].SRC", "2.png" a "2.png.[2AF20FA3].[RestoreBackup@cock.li].SRC", etc.

¿Qué tipo de malware es MrAnon?

MrAnon es el nombre de un malware que roba información escrito en lenguaje de programación Python. Este ladrón tiene diversas capacidades de extracción de datos y se dirige a la información de navegadores, monederos de criptomonedas, mensajeros y otras aplicaciones.

En el momento de escribir estas líneas, los desarrolladores de MrAnon lo ofrecen a la venta online; por lo tanto, existen diversas variantes con diferentes funcionalidades basadas en el plan de pago. Es pertinente mencionar que se ha observado la proliferación de este malware a través de campañas de spam por correo electrónico.

¿Qué tipo de malware es EMBARGO?

EMBARGO es ransomware, un tipo de malware que cifra los archivos del dispositivo infectado. Además, añade una extensión aleatoria a los nombres de los archivos y crea una nota de rescate "HOW_TO_RECOVER_FILES.txt". Un ejemplo de cómo EMBARGO modifica los nombres de los archivos: cambia el nombre de "1.jpg" a "1.jpg.564ba1", "2.png" a "2.png.564ba1", etc.

¿Qué es "Pass-code Expires Today"?

Nuestro análisis del correo electrónico ha revelado que se trata de un mensaje de phishing disfrazado de notificación de un proveedor de servicios de correo electrónico. Los estafadores pretenden engañar a los destinatarios para que abran un sitio web falso y revelen información personal. Por lo tanto, los destinatarios deben ignorar este correo electrónico y no proporcionar nunca datos confidenciales en páginas abiertas a través de enlaces de este tipo de correos electrónicos.

¿Qué tipo de malware es OPIX?

Nuestro equipo de investigación descubrió OPIX mientras investigaba nuevos envíos al sitio web VirusTotal. Este programa malicioso es ransomware: cifra archivos y pide rescates por descifrarlos.

Una vez que OPIX se ejecutaba en nuestra máquina de pruebas, encriptaba los archivos y cambiaba sus nombres. Los títulos originales se modificaban con una cadena de caracteres aleatoria y se les añadía la extensión ".OPIX". Por ejemplo, un nombre de archivo como "1.jpg" aparecía como "Jb9gPY9nDT.OPIX", "2.png" como "i73Kxq9FFg.OPIX", y así sucesivamente para todos los archivos cifrados.

Una vez concluido este proceso, se creó una nota de rescate titulada "#OPIX-Help.txt". El mensaje que contiene implica que este ransomware está dirigido a empresas y no a usuarios domésticos.

¿Qué tipo de malware es EnigmaWave?

Descubierto por Yogesh Londhe, EnigmaWave es un programa de tipo ransomware. Funciona cifrando los datos (haciéndolos inaccesibles/inutilizables) y exigiendo un pago por el descifrado (recuperación).

Adquirimos una muestra de este ransomware y la ejecutamos en nuestra máquina de pruebas. Después, descubrimos que este programa añade a los nombres de los archivos cifrados la dirección de correo electrónico de los atacantes, un identificador único asignado a la víctima y la extensión ".EnigmaWave".

Por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg.Enigmawave@zohomail.com.KXRP0XGHXIJA.EnigmaWave" tras el cifrado. Además, EnigmaWave crea un mensaje de petición de rescate titulado "Readme.txt".

¿Qué tipo de software es Drop Tab?

Nuestro equipo de investigación descubrió la extensión de navegador Drop Tab mientras examinaba sitios sospechosos. Se presenta como una herramienta que muestra fondos de pantalla del navegador.

Sin embargo, tras investigar este software, hemos determinado que modifica la configuración del navegador para promocionar (a través de redirecciones) el falso motor de búsqueda search.droptab.net. Además, esta extensión espía la actividad de navegación de los usuarios. Debido a este comportamiento, Drop Tab está clasificado como secuestrador de navegador.

¿Qué es la estafa por correo electrónico "Fund Release"?

Los estafadores suelen utilizar el correo electrónico como canal para engañar a la gente para que facilite información confidencial (por ejemplo, credenciales de acceso, datos de tarjetas de crédito, números de la seguridad social), envíe dinero e instale programas maliciosos en sus ordenadores. Los estafadores suelen disfrazar sus correos electrónicos de mensajes importantes y oficiales de empresas legítimas.

Utilizan nombres de entidades conocidas, logotipos, nombres de personas reales, se aprovechan de acontecimientos reales, etc., para añadir autenticidad a sus correos electrónicos. Este correo electrónico se disfraza de mensaje relativo a la liberación de fondos: los estafadores lo difunden con el objetivo de extorsionar a los destinatarios.

¿Qué tipo de malware es EDHST?

Durante nuestra inspección de muestras en VirusTotal, descubrimos un ransomware variante conocida como EDHST. Este malware cifra los archivos, añade la extensión ".EDHST" a los nombres de archivo y crea el archivo "HOW TO RECOVER YOUR FILES.txt" (una nota de rescate). Un ejemplo de cómo EDHST cambia el nombre de los archivos: cambia "1.jpg" por "1.jpg.EDHST", "2.png" por "2.png.EDHST", y así sucesivamente.