Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es la falsa "preventa MoonBag"?

Durante nuestra inspección de claim-moonbag-org.pages[.]dev, descubrimos que se trata de una página web que promociona una preventa de la moneda MoonBag ($MBAG). Sin embargo, un análisis más detallado ha demostrado que este sitio web es fraudulento. Es propiedad de estafadores que buscan robar criptomonedas a las víctimas. Por lo tanto, claim-moonbag-org.pages[.]dev debe ser evitado.

¿Qué tipo de página es amazonflow[.]top?

Nuestro análisis de amazonflow[.]top ha revelado que el propósito de esta página es obtener permiso para enviar notificaciones a través de clickbait. Una vez obtenido el permiso, amazonflow[.]top puede enviar una gran variedad de notificaciones engañosas. Los usuarios deben evitar visitar amazonflow[.]top y nunca aceptar recibir notificaciones de tales sitios web.

¿Qué es el falso "EtherMail ($EMT) Airdrop"?

Mientras investigaban sitios engañosos, nuestros investigadores descubrieron este falso "EtherMail ($EMT) Airdrop". La estafa se hace pasar por la plataforma EtherMail (ethermail.io) ejecutando un airdrop de tokens EMT (EMAIL).

Hay que destacar que este sorteo es falso y no está asociado con la verdadera EtherMail ni con ninguna otra plataforma o entidad existente. Esta estafa es un drenador de criptomonedas que busca robar los activos digitales almacenados en las billeteras de criptomonedas de las víctimas.

¿Qué es el falso sitio web "Soneium Registration"?

Mientras inspeccionaban páginas fraudulentas, nuestros investigadores descubrieron este falso sitio web "Soneium Registration" (event-soneium[.]org; ten en cuenta que podría estar alojado en otro lugar).

Se presenta como una plataforma de blockchain, pero esta página fraudulenta no está asociada a las existentes ni a ninguna entidad legítima. Este esquema funciona como un drenador de cripto, es decir, transfiere activos digitales desde billeteras de criptodivisas expuestas.

¿Qué tipo de malware es Heda?

Nuestro descubrimiento de Heda se produjo durante un análisis de muestras de malware enviadas a VirusTotal. Descubrimos que Heda es un ransomware que cifra los archivos de los ordenadores infectados. Además, modifica los nombres de los archivos, cambia el fondo de escritorio y genera un archivo de texto (una nota de rescate llamada "#HowToRecover.txt").

Heda cambia el nombre de los archivos añadiendo el ID de la víctima, una dirección de correo electrónico y la extensión ".Heda". Por ejemplo, cambia "1.jpg" por "1.jpg.[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda" y "2.png" por "2.png.[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda". Cabe destacar que Heda es idéntico al ransomware Sauron.

¿Qué tipo de malware es PlayBoy LOCKER?

PlayBoy LOCKER es un ransomware diseñado para cifrar archivos y añadir la extensión ".PLBOY" a los nombres de los archivos. También genera un archivo de texto ("INSTRUCTIONS.txt") que contiene una nota de rescate y cambia el fondo de escritorio. Un ejemplo de cómo PlayBoy LOCKER modifica los nombres de los archivos: cambia "1.jpg" por "1.jpg.PLBOY", "2.png" por "2.png.PLBOY", y así sucesivamente.

¿Qué es "Binance USDC Distribution"?

Durante nuestro análisis de la página (binance-airdrop-carv[.]info), hemos determinado que se trata de un sitio web fraudulento. Está diseñado para engañar a los visitantes haciéndoles creer que pueden participar en un sorteo de criptomonedas. Los estafadores detrás de este esquema fraudulento tienen como objetivo engañar a individuos desprevenidos para que tomen acciones que podrían resultar en pérdidas financieras.

¿Qué tipo de página es aroidsguide[.]com?

Tras revisar aroidsguide[.]com, nuestro equipo determinó que no es una página fiable diseñada para obtener el permiso de los visitantes para enviar notificaciones a través de una técnica conocida como clickbait. Si se permite, aroidsguide[.]com puede enviar notificaciones engañosas. Por lo tanto, los usuarios no deben aceptar recibirlas de aroidsguide[.]com (y sitios similares).

¿Qué tipo de página es andespeaks[.]top?

Nuestro equipo ha analizado andespeaks[.]top y ha averiguado que su objetivo es obtener permiso para enviar notificaciones a los usuarios. Este sitio web emplea una técnica engañosa para inducir a los usuarios a concederle este permiso. Por lo tanto, los usuarios deben evitar visitar andespeaks[.]top y páginas web similares.

¿Qué tipo de correo electrónico es "Office Server"?

Después de leer este correo electrónico "Office Server", hemos determinado que se trata de spam. Este mensaje falso se presenta como un aviso de caducidad de la contraseña. El objetivo de esta campaña es engañar a los destinatarios para que proporcionen las credenciales de inicio de sesión de su cuenta de correo electrónico a un sitio web de phishing.