Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el ransomware ORCA?

Nuestro equipo de investigación descubrió el ransomware ORCA mientras investigaba nuevos envíos de malware a VirusTotal. Este programa malicioso pertenece a la familia de ransomware ZEPPELIN.

Cuando ejecutamos una muestra de ORCA en nuestro sistema de pruebas, empezó a cifrar archivos y alteró sus títulos. A los nombres de archivo originales se les añadía la extensión ".ORCA.victim's_ID", por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg.ORCA.1D1-617-F3E", y así sucesivamente.

Una vez finalizado el proceso de cifrado, ORCA creaba una nota de rescate - "HOW_TO_RECOVER_DATA.hta" - en el escritorio. Cabe destacar que este ransomware emplea una doble táctica de extorsión.

¿Qué tipo de malware es Pgp (Makop)?

Mientras investigábamos nuevos envíos al sitio VirusTotal, nuestros investigadores descubrieron el ransomware Pgp. Este programa malicioso pertenece a la familia de ransomware Makop. Los programas maliciosos de esta clasificación cifran los datos y exigen un pago para descifrarlos.

El ransomware Pgp (Makop) cifró archivos en nuestro sistema de pruebas y les cambió el nombre. A los nombres de archivo originales se les añadía un identificador único, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".pgp775". Tenga en cuenta que el número de la extensión ".pgp775" puede variar en función de la variante del ransomware.

En nuestra máquina de prueba, un archivo llamado inicialmente "1.jpg" apareció como "1.jpg.[2AF20FA3].[datarestore@cyberfear.com].pgp775" tras el cifrado.

Una vez concluido este proceso, el ransomware Pgp (Makop) creó un mensaje de petición de rescate titulado "+README-WARNING+.txt".

¿Qué tipo de correo electrónico es "Mailbox Abuse Notice"?

Nuestro examen del correo electrónico "Aviso de abuso del buzón" reveló que se trata de spam. Este mensaje de phishing se presenta como una alerta de seguridad por correo electrónico en la que se afirma que se ha detectado actividad sospechosa en la cuenta del destinatario. Este correo spam pretende engañar a las víctimas para que revelen sus credenciales de inicio de sesión de correo electrónico (contraseñas).

¿Qué tipo de páginas son free-tl?

Durante una investigación rutinaria, nuestro equipo de investigación descubrió un grupo de páginas web fraudulentas que comparten el dominio "free-tl". Free-tl-100-e[.]buzz es un ejemplo de página perteneciente a esta familia; los sitios de este grupo pueden diferenciarse por los números y/o letras de sus URL.

Las páginas Free-tl están diseñadas para promover contenidos engañosos y spam de notificaciones al navegador. Además, pueden generar redireccionamientos a otros sitios web (probablemente dudosos o maliciosos).

La mayoría de los visitantes de las páginas web de Free-tl y otras similares acceden a través de redirecciones provocadas por sitios que utilizan redes publicitarias fraudulentas.

¿Qué tipo de estafa es "Elon Musk X Donald Trump Crypto Giveaway"?

Al navegar por sitios sospechosos, nuestro equipo de investigación descubrió la estafa "Elon Musk X Donald Trump Crypto Giveaway". Se presenta como un evento de promoción de adopción masiva de criptomonedas en el que los usuarios pueden recibir el doble de la cantidad de Bitcoin, Ethereum, Solana o Dogecoin que aporten.

Sin embargo, todos los activos digitales transferidos a esta estafa serán robados, y las víctimas no recibirán nada a cambio. Cabe destacar que este esquema no está asociado de ninguna manera con Elon Musk o Donald Trump.

¿Qué es searchresultsadblocker.com?

Durante nuestro examen de searchresultsadblocker.com, descubrimos que se trata de un falso motor de búsqueda promocionado a través de un secuestrador de navegador (una extensión no deseada). Normalmente, los usuarios añaden extensiones que promocionan direcciones como searchresultsadblocker.com sin querer. Es importante que los usuarios tengan cuidado con las extensiones sospechosas y las eliminen si ya están presentes.

¿Qué tipo de correo electrónico es "Rothschild Foundation"?

Tras inspeccionar el correo electrónico de la "Rothschild Foundation", hemos determinado que se trata de spam. La carta de phishing afirma que el destinatario, entre otras cuatro personas, ha recibido casi 15 millones de USD de una famosa organización filantrópica.

Hay que subrayar que las afirmaciones que hace este correo electrónico son falsas, y que este correo no está asociado con las Fundaciones Edmond de Rothschild. Su objetivo es engañar a los destinatarios para que revelen su información privada. Cabe destacar que el spam de este tipo a menudo también busca engañar a las víctimas para que envíen dinero a los estafadores.

¿Qué tipo de malware es ELPACO-team?

Al inspeccionar las muestras de malware enviadas a VirusTotal, descubrimos que ELPACO-team es un ransomware diseñado para cifrar y renombrar archivos. Además, ELPACO-team muestra una nota de rescate en la pantalla previa al inicio de sesión y crea un archivo de texto ("Decryption_INFO.txt") que contiene la misma nota de rescate.

ELPACO-team renombra los archivos añadiendo la extensión ".ELPACO-team" a sus nombres. Por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.ELPACO-team", "2.png" a "2.png.ELPACO-team", etc.

¿Qué tipo de correo electrónico es "Irrevocable Payment Order"?

Tras leer el correo electrónico "Irrevocable Payment Order", hemos determinado que se trata de spam. Esta carta falsa afirma que los fondos fueron retenidos al destinatario debido a corrupción bancaria. Tras una investigación, se decidió liberar inmediatamente la exorbitante cantidad de dinero al destinatario una vez que verificara su identidad.

Este correo de phishing tiene como objetivo la información de identificación personal y también puede tratar de engañar a las víctimas para que envíen fondos a los estafadores.

¿Qué es la estafa por correo electrónico "Saudi Aramco"?

"Saudi Aramco email scam" se refiere a las campañas de spam que se hacen pasar por ofertas comerciales de Saudi Aramco. Hemos investigado cuatro variantes de correo electrónico distribuidas a través de dichas campañas. Sin embargo, se trata de una estafa de larga data con muchas versiones de correo electrónico.

Cabe destacar que estos correos electrónicos de spam no están asociados con el verdadero Saudi Arabian Oil Group (Saudi Aramco) ni con ninguna otra entidad legítima.