Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es VXUG?

VXUG es un ransomware, que nuestro equipo descubrió durante una inspección de muestras enviadas a VirusTotal. Descubrimos que VXUG es una variante de CryLock. Una vez infiltrado, cifra y cambia el nombre de los archivos y crea una nota de rescate ("how_to_decrypt.hta"). VXUG añade una dirección de correo electrónico, un número y el ID de la víctima a los nombres de los archivos.

Por ejemplo, cambia "1.jpg" por "1.jpg[staff@vx-underground.org][1].[F27195A8-B7BFB093]", "2.png" por "2.png[staff@vx-underground.org][1].[F27195A8-B7BFB093]", etc.

¿Qué tipo de malware es Hawk?

Mientras analizábamos muestras de malware subidas a la plataforma VirusTotal, descubrimos Hawk, una variante de ransomware diseñada para cifrar archivos. Además de cifrar los datos, Hawk crea una nota de rescate ("#Recover-Files.txt") y añade el ID de la víctima, la dirección de correo electrónico sup.logical@gmail.com y la extensión ".hawk" a los nombres de los archivos.

Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.id[XX-B2750012].[sup.logical@gmail.com].hawk", "2.png" a "2.png.id[XX-B2750012].[sup.logical@gmail.com].hawk", etc.

¿Qué es "BlockDAG Presale Scam"?

Hemos inspeccionado la página (block-dagxyznetwork[.]live) y hemos descubierto que promueve una preventa falsa de monedas BlockDAG. Este sitio web ha sido diseñado por estafadores que pretenden atraer a personas desprevenidas para que realicen acciones que podrían acarrear importantes pérdidas económicas. Los usuarios deben evitar visitar block-dagxyznetwork[.]live y otras plataformas engañosas.

¿Qué tipo de página es o-video-live[.]com?

Nuestros investigadores encontraron la página fraudulenta o-video-live[.]com mientras inspeccionaban sitios web sospechosos. Tras examinarla, determinamos que promociona notificaciones de spam en el navegador y redirige a los visitantes a diferentes sitios (probablemente poco fiables o peligrosos).

Los usuarios acceden principalmente a páginas como o-video-live[.]com a través de redirecciones provocadas por sitios web que emplean redes publicitarias fraudulentas. Alternativamente, se puede entrar en estas páginas web a través de notificaciones de spam, anuncios intrusivos, URLs mal escritas y adware instalado.

¿Qué tipo de correo electrónico es "Email Password Expiration"?

Tras inspeccionar el mensaje "Email Password Expiration", hemos determinado que se trata de spam. Se presenta como una notificación de caducidad de contraseña. Las víctimas de este correo de phishing corren el riesgo de que les roben sus cuentas de correo electrónico.

¿Qué tipo de página es srmadsmebook[.]org?

Nuestro equipo ha inspeccionado srmadsmebook[.]org y ha descubierto que es una de las numerosas páginas web diseñadas para engañar a los visitantes para que acepten recibir sus notificaciones. Una vez visitado, srmadsmebook[.]org presenta contenido engañoso para inducir a los visitantes a permitir que muestre notificaciones.

¿Qué tipo de malware es BLASSA?

BLASSA es un programa malicioso clasificado como ransomware. Los programas maliciosos de este tipo cifran los datos y exigen un rescate para descifrarlos.

Después de ejecutar una muestra de BLASSA en nuestra máquina de pruebas, cifró los archivos y añadió la extensión ".blassa" a sus nombres. Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.blassa", "2.png" como "2.png.blassa", y así sucesivamente para todos los archivos cifrados.

Una vez completado el proceso de cifrado, se creaba una nota de rescate en un archivo de texto llamado "RESTORES_FILESDESKTOP-[random_string].txt".

¿Qué tipo de malware es CrypticSociety?

CrypticSociety es un ransomware diseñado para cifrar archivos. Es idéntico a otra variante de ransomware conocida como Blue. Además de cifrar los archivos, CrypticSociety les cambia el nombre y proporciona una nota de rescate ("#HowToRecover.txt"). Sustituye los nombres de los archivos cifrados por una cadena aleatoria y añade la extensión ".crypticsociety".

Por ejemplo, cambia el nombre de "1.jpg" a "MB3jiu9qTU.crypticsociety", "2.png" a "HsX80orMk0.crypticsociety", etc.

¿Qué tipo de malware es ZipLOCK?

ZipLOCK es un ransomware que, a diferencia de la mayoría de los programas maliciosos de este tipo, no cifra los archivos. Introduce los archivos de la víctima en un archivo ZIP protegido con contraseña. Además, ZipLOCK crea una nota de rescate ("[ZipLOCK]INSTRUCTIONS.txt") y cambia el nombre de los archivos comprimidos añadiendo "[ZipLOCK]" y ".zip".

Por ejemplo, renombra "1.jpg" a "[ZipLOCK]1.jpg.zip" y "2.png" a "[ZipLOCK]2.png.zip".

¿Qué es NotLockBit?

NotLockBit es un ransomware que se hace pasar por el ransomware LockBit. Se dirige tanto a usuarios de Windows como de Mac. NotLockBit es capaz tanto de cifrar como de exfiltrar (robar) archivos. Además, este ransomware cambia el escritorio de la víctima. Además de cifrar los archivos, NotLockBit les cambia el nombre.

Los renombra utilizando el siguiente formato: [nombre de archivo original].[vector de inicialización].abcd. Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.3544329bb141eea628f7c3bff6c79c11.abcd", "2.png" a "2.png.c1f3b4d9f4c2eb1a6e7a9c3b7f1c2a92.abcd", etc.