Cómo eliminar el malware STRRAT
Escrito por Tomas Meskauskas el
Guía de eliminación del virus STRRAT
¿Qué es STRRAT?
STRRAT es un troyano de administración remota (RAT, por sus siglas en inglés) que es capaz de robar credenciales de inicio de sesión guardadas en navegadores y clientes de email, registrar pulsaciones de teclas y controlar de forma remota los sistemas operativos Windows infectados. STRRAT también incluye un módulo de ransomware capaz de hacer que los archivos almacenados en las computadoras de las víctimas sean inaccesibles.
Los ciberdelincuentes pueden usar el malware STRRAT para robar credenciales guardadas en navegadores web y clientes de email como Mozilla Firefox, Internet Explorer, Google Chrome, Foxmail, Microsoft Outlook y Mozilla Thunderbird. Pueden usar esta RAT para robar varias cuentas y hacer un mal uso de ellas con fines maliciosos. Por ejemplo, para realizar compras y transacciones fraudulentas, difundir correo no deseado y otras campañas de correo no deseado, engañar a otros usuarios para que realicen transacciones financieras, etc. información como direcciones de email ingresadas, nombres de usuario, contraseñas, detalles de tarjetas de crédito y otra información confidencial. Además, como ocurre con la mayoría de malware de este tipo, STRRAT permite a los ciberdelincuentes responsables controlar las máquinas/ordenadores infectados de forma remota. Las investigaciones muestran que esta RAT se puede utilizar para ejecutar comandos que les permitan reiniciar y apagar la computadora, cargar, descargar, eliminar y abrir (ejecutar) archivos y realizar otras acciones. De esta manera, los ciberdelincuentes pueden usarlo para provocar la instalación de malware adicional. Por ejemplo, ransomware, otro malware de de tipo troyano, y mineros de criptomonedas. Como se mencionó, STRRAT incluye un módulo de ransomware, que puede usarse para hacer que los archivos sean inaccesibles (cambiando las extensiones a ".crimson") y crear un mensaje de rescate. Tenga en cuenta que no encripta los archivos, simplemente les cambia el nombre para que las víctimas no puedan abrirlos con un doble clic. Este problema se puede resolver eliminando la extensión adjunta/cambiándola a la extensión original.
| Nombre | Troyano de administración remota STRRAT |
| Tipo de Amenaza | Trojan, password-stealing virus, banking malware, spyware. |
| Nombres de Detección (NEW ORDER.jar) | Avast (Java:Malware-gen [Trj]), BitDefender (Trojan.GenericKD.43308841), ESET-NOD32 (VBS/TrojanDropper.Agent.OIY), Kaspersky (HEUR:Trojan-Downloader.VBS.SLoad.gen), Lista Completa (VirusTotal) |
| Carga útil | Esta RAT se puede utilizar para instalar una variedad de programas maliciosos. |
| Síntomas | Los troyanos de administración remota están diseñados para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada. |
| Métodos de Distribución | Archivos adjuntos de email infectados, anuncios maliciosos online, ingeniería social, 'cracks' de software. |
| Daño | Contraseñas robadas e información bancaria, robo de identidad, la computadora de la víctima es agregada a una botnet. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
En resumen, los usuarios que tienen el malware STRRAT instalado en sus equipos pueden convertirse en víctimas de robo de identidad, perder el acceso a varias cuentas personales, sufrir pérdidas monetarias, experimentar problemas relacionados con la privacidad en línea, seguridad en la navegación, tener sus sistemas infectados con otro malware, etc. Por lo tanto, si existe alguna razón para sospechar que este malware está instalado, debe eliminarlo de inmediato. Algunos de los ejemplos de otras RAT incluyen Bozok, DarkTrack y EpicSplit.
¿Cómo se infiltró STRRAT en mi computadora?
La investigación muestra que los ciberdelincuentes intentan engañar a los usuarios para que instalen STRRAT en sus computadoras a través de malspam. Es decir, enviando emails que contienen un archivo adjunto malicioso llamado "NEW ORDER.jar". Cuando se ejecuta, este archivo inicia una cadena de infección que finaliza con la instalación del troyano de acceso remoto STRRAT. Más ejemplos de archivos que los ciberdelincuentes adjuntan a sus emails son documentos maliciosos de Microsoft Office, archivos JavaScript, archivos ejecutables (.exe), archivos de almacenamiento (ZIP, RAR) y documentos PDF. Los archivos adjuntos pueden causar daños solo si los destinatarios los abren. En lugar de adjuntar archivos maliciosos directamente a sus emails, los ciberdelincuentes también envían emails que contienen enlaces a sitios web; estos descargan los archivos maliciosos. Tenga en cuenta que los delincuentes a menudo logran engañar a los usuarios para que abran archivos maliciosos simplemente disfrazando sus emails como oficiales, importantes y legítimos.
¿Cómo evitar la instalación de malware
No confíe ni abra archivos o enlaces a sitios web en emails irrelevantes, especialmente si los emails se envían desde direcciones desconocidas y sospechosas. El software y los archivos deben descargarse solo de sitios web oficiales y mediante enlaces directos. Otros canales (como descargadores de terceros, redes Peer-to-Peer, sitios web no oficiales, sitios de alojamiento de archivos gratuitos, etc.) se utilizan a menudo para distribuir malware. Lo mismo se aplica a los instaladores de terceros. El software instalado debe actualizarse y activarse solo con herramientas/funciones diseñadas por desarrolladores de software oficiales. Las herramientas no oficiales de terceros a menudo infectan equipos con programas maliciosos. Además, es ilegal activar software con licencia con herramientas de "craqueo". Los sistemas operativos/computadoras deben tener instalado un antivirus o anti-spyware de buena reputación. Se recomienda escanear su computadora en busca de amenazas con regularidad. Si cree que su computadora ya está infectada, le recomendamos que ejecute un análisis Combo Cleaner para eliminar automáticamente el malware infiltrado.
Email utilizado para distribuir STRRAT (a través del archivo adjunto "NEW ORDER.jar"):
Otros ejemplos utilizados para propagar STRRAT a través de archivos PDF maliciosos adjuntos;
Ejemplo 1:
Texto presentado:
Subject: Outgoing Payments
Dear Supplier,Please find attached Outgoing Payments 18610.
In case there is any discrepancy please notify us immediately.
Accounts Payable Department
CONFIDENTIALITY AND DISCLAIMER NOTICE:
This email contains proprietary information which may be legally privileged. It is for intended recipient only. If an addressing or transmission error has misdirected this email, please notify the author by replying to this email. If you are not the intended recipient you must not use, disclose, distribute, copy, print, or rely on this email and delete all copies. ************ is a private company limited by shares.
Ejemplo 2:
Texto presentado:
Subject: PL-REM-40310EMEA02 (0085)
Dear Supplier,
We are pleased to inform you that your payment has been released as per attached payment advice.
Please verify payment adjustments shown in advice. In case there is any discrepancy please notify us immediately.
Accounts Payable Department
Disclaimer: Information in this message is confidential and may be legally privileged. It is intended solely for the person to whom it is addressed. If you are not the intended recipient, you must neither take any action based upon its contents nor copy or show it to anyone. Please notify the sender, and delete the message and any other record of it from your system immediately. Unless expressly stated, this email is not intended to create any contractual relationship. If this email is not sent in the course of the sender's employment or fulfilment of his/her duties to
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es STRRAT?
- PASO 1. Eliminación manual del malware STRRAT.
- PASO 2. Revise si su computadora está limpia.
¿Cómo eliminar el malware manualmente?
La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:
Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:
Reinicie su computadora en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.
Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":
Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.
Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":
Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".
Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.
Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".
Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.
Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Combo Cleaner.
¡Excelente!
▼ Mostrar discusión.