Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué son los sitios web first-tl?

Al investigar sitios web sospechosos, nuestro equipo de investigación descubrió un grupo de páginas web fraudulentas que comparten el dominio "first-tl". First-tl-139-d[.]buzz es un ejemplo de página perteneciente a esta familia; los números y/o la letra de estos dominios pueden diferir.

El objetivo de las páginas web first-tl es engañar a los visitantes para que activen la entrega de notificaciones en el navegador. Estas páginas también pueden generar redirecciones a otros sitios (probablemente poco fiables o dañinos). La mayoría de los usuarios acceden a páginas web como las del grupo first-tl a través de redirecciones provocadas por sitios web que utilizan redes publicitarias fraudulentas.

¿Qué tipo de malware es Tyson?

Tyson es un ransomware (basado en el ransomware Chaos) que descubrimos durante un análisis de muestras de malware enviadas a VirusTotal. Una vez infiltrado, Tyson cifra los archivos, añade su extensión (".tyson") a los nombres de archivo y deja caer una nota de rescate ("DECRYPTION INSTRUCTIONS.txt"). Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.tyson", "2.png" a "2.png.tyson", etc.

¿Qué tipo de aplicación es GxuApp?

Al inspeccionar una página de descargas engañosa, nuestros investigadores descubrieron un instalador fraudulento que portaba la PUA (aplicación potencialmente no deseada) GxuApp. Los programas de esta categoría suelen tener funciones dañinas.

Las PUA suelen venir acompañadas de otro software sospechoso, y el instalador de GxuApp que investigamos no es una excepción: también instala una extensión maliciosa para navegadores, "Save to Google Drive", que imita a un software legítimo.

¿Qué es el secuestrador de navegadores Newtab?

Newtab es un software dudoso que promociona el falso motor de búsqueda fxsmash.xyz modificando la configuración del navegador. Por tanto, Newtab está clasificado como secuestrador de navegadores. Además, Newtab recopila información relacionada con la navegación.

Dado que la mayoría de los usuarios descargan o instalan secuestradores de navegadores sin darse cuenta, también se clasifican como aplicaciones potencialmente no deseadas (PUA).

¿Qué tipo de software es SmartSearch?

Nuestros investigadores descubrieron el secuestrador de navegadores SmartSearch al analizar la configuración de una instalación fraudulenta. SmartSearch modifica la configuración del navegador para producir redireccionamientos a sitios web promocionados. Esta extensión del navegador también se considera una amenaza para la privacidad, ya que el software de esta clasificación suele espiar la actividad de navegación de los usuarios.

¿Qué tipo de malware es Mqpoa?

Mientras revisábamos los nuevos programas maliciosos enviados a la plataforma VirusTotal, nuestro equipo de investigación descubrió el ransomware Mqpoa. Este programa cifra los datos y exige un pago para descifrarlos.

En nuestro sistema de pruebas, Mqpoa cifró archivos y les cambió el nombre. Los nombres de archivo originales se cambian por una cadena de caracteres aleatoria y se les añade la extensión ".mqpoa". Por ejemplo, un archivo inicialmente llamado "1.jpg" aparecía como "RgxeKlTmZ7.mqpoa".

Una vez completado el proceso de cifrado, Mqpoa creaba varias notas de rescate: un mensaje a pantalla completa que aparecía antes de la pantalla de inicio de sesión del usuario, el fondo de escritorio y un archivo de texto titulado "#HowToRecover.txt".

¿Qué es Ajina?

Ajina es un troyano bancario dirigido a usuarios de Android. Es conocido por robar información financiera y mensajes de autenticación de dos factores (2FA). Ajina se distribuye haciéndose pasar por aplicaciones bancarias y de otro tipo legítimas. Los ciberdelincuentes que están detrás de Ajina se han dirigido a usuarios de Armenia, Azerbaiyán, Islandia, Kazajstán, Kirguistán, Pakistán, Rusia, Tayikistán, Ucrania y Uzbekistán.

¿Qué tipo de correo electrónico es "Unusual Activities In Your Account"?

Tras examinarlo, hemos determinado que el correo electrónico "Unusual Activities In Your Account" es spam. La carta informa sobre una actividad no reconocida detectada en la cuenta de correo electrónico del destinatario. Actualizar su información (contraseña) es fundamental para evitar que la cuenta se desconecte del servidor. Este correo pretende engañar a las víctimas para que revelen sus credenciales de inicio de sesión de correo electrónico a un sitio de phishing.

¿Qué tipo de estafa es "Email Server"?

Hemos analizado este correo electrónico y hemos descubierto que su objetivo es extraer información personal de los destinatarios. Esta carta fraudulenta se disfraza de notificación de un proveedor de servicios de correo electrónico y contiene un enlace engañoso. Los correos electrónicos de este tipo se denominan correos de phishing. Los destinatarios deben ignorarlos.

¿Qué tipo de estafa es "Conflicto de dominio/nombre de empresa"?

Nuestro equipo ha examinado este correo electrónico y ha llegado a la conclusión de que se trata de un mensaje de phishing. Los estafadores utilizan este tipo de correos para engañar a los destinatarios desprevenidos y hacerles revelar información personal. En este caso concreto, los estafadores se hacen pasar por una empresa llamada NET Registry para extraer información de los destinatarios. Se recomienda encarecidamente no responder a este tipo de correos electrónicos y hacer clic en el enlace proporcionado.