Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Black (Prince)?

Mientras buscábamos nuevos archivos enviados a la plataforma VirusTotal, nuestros investigadores descubrieron un programa malicioso llamado Black. Está basado en el ransomware Prince. Este programa está diseñado para cifrar datos y pedir rescates por el descifrado.

En nuestra máquina de pruebas, el ransomware Black (Prince) cifró los archivos y añadió a sus nombres la extensión ".black". Por ejemplo, un nombre de archivo original como "1.jpg" aparecía como "1.jpg.black", "2.png" como "2.png.black", etc.

Una vez completado este proceso, el ransomware cambiaba el fondo de escritorio y creaba un mensaje de petición de rescate titulado "Decryption Instructions.txt".

¿Qué tipo de malware es Brain Cipher?

Brain Cipher es un virus de tipo ransomware. Este programa malicioso se basa en el ransomware LockBit. Los programas maliciosos incluidos en la clasificación de ransomware están diseñados para cifrar datos y exigir un pago por el descifrado.

En nuestro sistema de pruebas, Brain Cipher cifró y renombró archivos. Los títulos originales se modificaban con una cadena de caracteres de rescate y se les añadía una extensión aleatoria. Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "cZCD700.KUsfyVlDo".

Una vez finalizado el cifrado, este ransomware dejaba caer una nota de rescate titulada "[random_string].README.txt". Tras examinar este mensaje, determinamos que Brain Cipher está dirigido a empresas y no a usuarios domésticos. Los atacantes detrás de este ransomware también utilizan tácticas de doble extorsión.

¿Qué tipo de malware es Crynox?

Hemos descubierto Crynox durante un análisis de muestras de malware enviadas a VirusTotal. Crynox es un ransomware basado en otro ransomware llamado Chaos. Su objetivo es cifrar archivos. Además, Crynox está diseñado para cambiar el nombre de los archivos (añade la extensión ".crynox"), cambiar el fondo de escritorio y crear una nota de rescate ("read_it.txt").

Cabe destacar que existe otra variante de Crynox que utiliza un fondo de pantalla diferente. Los archivos cifrados por este ransomware cambian de nombre de la siguiente manera: "1.jpg" se cambia a "1.jpg.crynox", "2.png" a "2.png.crynox", y así sucesivamente.

¿Qué tipo de malware es Luck (MedusaLocker)?

Descubrimos este ransomware Luck durante una investigación rutinaria de nuevos envíos al sitio web VirusTotal. Este programa malicioso forma parte de la familia de ransomware MedusaLocker.

Después de ejecutar una muestra del ransomware Luck (MedusaLocker) en nuestra máquina de pruebas, cifró los archivos y añadió a sus nombres la extensión ".luck_06". Por ejemplo, un archivo llamado inicialmente "1.jpg" aparecía como "1.jpg.luck_06", "2.png" como "2.png.luck_06", etc. Cabe destacar que el número en la extensión puede diferir entre las posibles variantes de este ransomware.

Una vez concluido el proceso de cifrado, Luck (MedusaLocker) dejaba caer un mensaje de petición de rescate en un archivo HTML titulado "How_to_back_files.html".

¿Qué tipo de malware es PlainGnome?

PlainGnome es un programa espía específico para Android. Está diseñado para grabar y robar información vulnerable de los dispositivos infectados. PlainGnome apareció en 2024.

Este malware está asociado a Gamaredon (también conocido como Primitive Bear y Shuckworm), un actor de amenazas ruso respaldado por el Estado, afiliado específicamente al Servicio Federal de Seguridad de la Federación Rusa (FSB). PlainGnome se ha utilizado para atacar a usuarios de habla rusa ubicados en estados de la antigua URSS, como Kazajstán, Kirguistán, Tayikistán y Uzbekistán.

¿Qué tipo de malware es BoneSpy?

BoneSpy es un programa espía dirigido a Android que existe al menos desde 2021. Este programa malicioso se basa en el software de vigilancia de código abierto ruso DroidWatcher.

BoneSpy está asociado con un actor de amenazas ruso apodado Gamaredon (también conocido como Primitive Bear y Shuckworm). Este grupo está afiliado al FSB (Servicio Federal de Seguridad de la Federación Rusa). El malware BoneSpy se ha utilizado en ataques dirigidos principalmente a usuarios de habla rusa en estados de la antigua URSS, como Kazajstán, Kirguistán, Tayikistán y Uzbekistán.

¿Qué tipo de malware es X101?

Nuestro descubrimiento del X101 se produjo durante la inspección de muestras enviadas a VirusTotal. Tras examinar X101, llegamos a la conclusión de que se trata de un ransomware que cifra archivos, genera una nota de rescate ("!!!HOW_TO_DECRYPT!!!.TXT") y cambia el nombre de los archivos añadiendo el ID de la víctima y la extensión ".X101".

Por ejemplo, cambia "1.jpg" por "1.jpg.[8ce450cd67].X101" y "2.png" por "2.png.[8ce450cd67].X101".

¿Qué tipo de malware es Starcat?

Descubrimos Starcat mientras inspeccionábamos muestras de malware enviadas a VirusTotal. Tras examinar Starcat, llegamos a la conclusión de que se trata de un ransomware que cifra los archivos (y los oculta tras el cifrado) en el dispositivo infectado.

Además, Starcat cambia el fondo de escritorio, crea una nota de rescate ("recuperar archivos, ver aquí.txt") y añade la extensión ".starcat" a los nombres de archivo. Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.starcat", "2.png" a "2.png.starcat", etc.

¿Qué tipo de malware es EagleMsgSpy?

EagleMsgSpy es una herramienta de vigilancia que consiste en un instalador APK y un cliente que se ejecuta secretamente en el dispositivo. El malware está dirigido a usuarios de Android. Una vez infiltrado, EagleMsgSpy recopila una amplia gama de datos de los dispositivos infectados. Lleva activo desde 2017 y sigue evolucionando.

¿Qué tipo de malware es Gengar?

Descubrimos Gengar durante nuestro análisis de muestras de malware subidas a VirusTotal. Nuestros hallazgos muestran que Gengar es un ransomware diseñado para cifrar archivos, añadir la extensión ".gengar" a los nombres de los archivos y soltar una nota de rescate ("info.txt"). Un ejemplo de cómo Gengar cambia el nombre de los archivos: cambia "1.jpg" por "1.jpg.gengar", "2.png" por "2.png.gengar", etc.