Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de aplicación es Roxaq Apps?

Mientras investigábamos una instalación promocionada por una página web fraudulenta, descubrimos la PUA (aplicación potencialmente no deseada) "Roxaq Apps". Este programa actúa como un dropper para el malware Legion Loader. En nuestra máquina de pruebas, Roxaq Apps se instaló junto con la falsa extensión del navegador "Save to Google Drive".

¿Qué tipo de malware es VanHelsing?

VanHelsing es un programa de tipo ransomware. Funciona cifrando archivos y exigiendo un pago por el descifrado. Los ataques VanHelsing también emplean tácticas de doble extorsión, es decir, presionan a las víctimas para que paguen amenazándolas con fugas de datos.

En nuestra máquina de pruebas, este ransomware cifró archivos y añadió una extensión ".vanhelsing" a sus nombres. Por ejemplo, un nombre de archivo original como "1.jpg" aparecía como "1.jpg.vanhelsing", "2.png" como "2.png.vanhelsing", etc. Después, VanHelsing cambiaba el fondo de escritorio y creaba una nota de rescate titulada "README.txt".

¿Qué tipo de página es highlevelnetwork.co[.]in?

Highlevelnetwork.co[.]in es una página web fraudulenta descubierta por nuestros investigadores durante una investigación rutinaria de sitios sospechosos. Tras la inspección, descubrimos que esta página respalda el spam de notificaciones del navegador y produce redirecciones a otros sitios web (probablemente poco fiables o peligrosos).

La mayoría de los usuarios acceden a páginas web como highlevelnetwork.co[.]in a través de redirecciones provocadas por sitios web que emplean redes publicitarias fraudulentas.

¿Qué tipo de malware es Anubi?

Hemos inspeccionado Anubi (Anubis) y hemos descubierto que es un ransomware idéntico a Louis, Innok, y BlackPanther. Cifra los archivos y les añade la extensión ".Anubi". También cambia el fondo de escritorio y proporciona una nota de rescate ("Anubi_Help.txt"). Además, Anubi muestra una nota en la pantalla previa al inicio de sesión.

Un ejemplo de cómo Anubi modifica los nombres de archivo: cambia "1.jpg" por "1.jpg.Anubi", "2.png" por "2.png.Anubi", y así sucesivamente. Descubrimos Anubi analizando muestras de malware enviadas a VirusTotal.

¿Qué tipo de estafa es "Error_Code: GUI45WGV0001"?

Mientras navegaba por sitios web sospechosos, nuestro equipo de investigación descubrió la estafa "Error_Code: GUI45WGV0001". Tras examinarlo, hemos determinado que se trata de una estafa de soporte técnico. Advierte a los usuarios de que sus ordenadores están infectados y les insta a llamar al servicio de asistencia técnica.

Hay que destacar que estas afirmaciones son falsas, y que esta estafa de alto riesgo no está asociada a la verdadera Microsoft Corporation ni a ninguno de sus productos/servicios.

¿Qué tipo de malware es SuperBlack?

SuperBlack es un programa malicioso probablemente basado en el ransomware LockBit 3.0. SuperBlack es un ransomware que cifra los datos y exige un pago por descifrarlos.

En nuestro sistema de pruebas, cifraba los archivos y añadía a sus nombres una extensión formada por una cadena de caracteres aleatorios. Por ejemplo, un archivo originalmente llamado "1.jpg" se convirtió en "1.jpg.fB1SZ2i3X". Después, SuperBlack cambió el fondo de escritorio y dejó caer una nota de rescate titulada "[random_string].README.txt".

Este ransomware se ha observado en campañas realizadas entre enero y marzo de 2025 por un presunto actor de amenazas de habla rusa apodado "Mora_001".

¿Qué tipo de malware es GKICKG?

Nuestro equipo de investigación encontró el ransomware GKICKG mientras buscaba archivos enviados al sitio web VirusTotal. El ransomware encripta los datos y pide un rescate para desencriptarlos.

En nuestra máquina de pruebas, este programa malicioso cifró archivos y añadió ".{ID_de_la_víctima}.GKICKG" a sus nombres. Por ejemplo, un archivo originalmente titulado "1.jpg" aparecía como "1.jpg.{FFE2FECE-1A8A-EBC5-3CA4-12479033427D}.GKICKG" tras el cifrado.

Una vez completado este proceso, GKICKG dejó caer una nota de rescate en un archivo de texto llamado "README.TXT". Según el mensaje que contiene, es evidente que este ransomware está dirigido a empresas y no a usuarios domésticos.

¿Qué tipo de malware es Squidoor?

Squidoor es un malware de tipo puerta trasera dirigido a sistemas operativos Windows y Linux. Los programas de esta clasificación abren "puertas traseras" en las máquinas objetivo para prepararlas para futuras infecciones, y algunos incluso pueden descargar/instalar malware de carga útil.

Squidoor existe al menos desde la primavera de 2023. Este programa malicioso se ha utilizado en campañas de ciberespionaje dirigidas a entidades gubernamentales, de defensa, educación, telecomunicaciones y otras esferas de alta sensibilidad en todo el Sudeste Asiático y Sudamérica. Hay indicios que vinculan esta actividad a un agente de amenazas con base en China.

¿Qué tipo de malware es Zsszyy?

Zsszyy es un ransomware que nuestro equipo descubrió mientras inspeccionaba muestras de malware enviadas a VirusTotal. Ut es idéntico a otros ransomware conocidos como Tianrui, Hush, y MoneyIsTime. El objetivo de Zsszyy es cifrar archivos. Además, añade el ID de la víctima y la extensión ".zsszyy" a los archivos, y deja caer una nota de rescate "README.TXT".

He aquí un ejemplo de cómo se renombran los archivos cifrados por Zsszyy: "1.jpg" se cambia a "1.jpg.{9D6FCEEF-BE11-F143-914B-5F2CBAAA094E}.zsszyy" y "2.png" a "2.png.{9D6FCEEF-BE11-F143-914B-5F2CBAAA094E}.zsszyy".

¿Qué tipo de página es sayadsleads[.]top?

Hemos inspeccionado sayadsleads[.]top y hemos descubierto que es un sitio web engañoso diseñado para engañar a los visitantes para que le concedan permiso para mostrar notificaciones. Una vez que sayadsleads[.]top tiene este permiso, muestra notificaciones engañosas para promocionar otros sitios web dudosos. Por lo tanto, este sitio debe ser evitado.