Cómo eliminar CrySome de los dispositivos infectados
TroyanoConocido también como: CrySome troyano de administración remota
Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué tipo de malware es CrySome?
CrySome es un troyano de acceso remoto (RAT) que permite a los ciberdelincuentes tomar el control de un dispositivo infectado. Este RAT puede robar archivos y contraseñas, espiar la actividad y ejecutar comandos de forma remota. Lo que convierte a CrySome en una amenaza aún más grave es que puede ocultarse, desactivar el software antivirus y permanecer en el sistema incluso después de reinicios o intentos de eliminación.
Más información sobre CrySome
Una vez que CrySome se conecta a su servidor, envía información sobre el dispositivo infectado. Los datos transmitidos incluyen el nombre de usuario del ordenador, la versión del sistema operativo, el tiempo transcurrido desde el arranque y el país o la región. También envía el título de la ventana que el usuario está utilizando en ese momento (sin habilitar la sesión remota).
A continuación, el RAT configura el sistema infectado para que reciba comandos. Algunas funciones básicas están siempre activas, mientras que otras pueden activarse o desactivarse según la configuración. CrySome admite una amplia gama de comandos, lo que permite a los ciberdelincuentes llevar a cabo diversas actividades maliciosas.
Puede ejecutar comandos de Shell o PowerShell, descargar y ejecutar archivos, subir y descargar archivos, explorar, leer y eliminar archivos, realizar capturas de pantalla, forzar el reinicio del sistema, mostrar una lista de los programas en ejecución o cerrarlos, tomar fotografías con la cámara web y acceder (y utilizar) el micrófono. CrySome también permite el intercambio directo de mensajes entre los ciberdelincuentes y las víctimas.
Además, el RAT puede crear túneles SOCKS o de proxy inverso para acceder de forma oculta a la red, ver pantallas, controlar el ratón y el teclado, gestionar varios monitores, controlar en secreto una sesión de usuario oculta y ejecutar aplicaciones de forma invisible, robar contraseñas y cookies guardadas en el navegador, y registrar todo lo que se escribe con el teclado.
Persistencia y evasión de la defensa
CrySome crea una tarea programada para reiniciarse cada pocos minutos y se instala como un servicio de Windows que se inicia al arrancar el sistema y se reinicia si se bloquea. Se copia a sí mismo en carpetas de copia de seguridad ocultas para poder recuperarse en caso de ser eliminado y añade entradas en el Registro para que se ejecute automáticamente al iniciar Windows. Este RAT puede modificar ciertos archivos del sistema para permanecer incluso después de un restablecimiento de fábrica.
Además, CrySome oculta sus archivos y los bloquea para que no puedan eliminarse, y ejecuta un proceso de «vigilancia» que lo reinicia si se detiene. Puede marcarse a sí mismo como un proceso crítico del sistema e impedir que las herramientas de seguridad accedan a él o lo detengan.
Además, el RAT detecta y elimina los procesos del antivirus, bloquea los archivos de instalación del antivirus, detiene los servicios del antivirus e impide que se reinicien, y desactiva las funciones de Microsoft Defender (como la protección en tiempo real, la protección en la nube, el análisis, etc.). También puede impedir por completo que se inicien los programas de seguridad.
| Nombre | CrySome troyano de administración remota |
| Tipo de amenaza | Troyanos de administración remota |
| Nombres de detección | Avast (Win32:MalwareX-gen [Misc]), Combo Cleaner (Gen:Variant.Application. Barys.65422), ESET-NOD32 (MSIL/Agent.FTF Trojan), Kaspersky (HEUR:Trojan-Spy.MSIL.Bobik.gen), Microsoft (Trojan:MSIL/Crysome!AMTB), Lista completa (VirusTotal) |
| Síntomas | Los RAT están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultos, por lo que no se observan síntomas claros en un equipo infectado. |
| Posibles métodos de distribución | Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en Internet, ingeniería social, vulnerabilidades de software y programas «crackeados». |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una red de bots, infecciones adicionales, pérdidas económicas. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Conclusión
CrySome permite a los atacantes tomar el control de un dispositivo infectado y les permite robar datos, espiar a los usuarios y llevar a cabo numerosas acciones maliciosas de forma remota. Está diseñado para permanecer oculto y seguir funcionando mediante potentes métodos de persistencia que dificultan su eliminación, incluso tras reinicios o restablecimientos del sistema. Estas capacidades lo convierten en una amenaza peligrosa.
Otros ejemplos de RAT son GHOSTFORM, KarstoRAT y Moonrise.
¿Cómo se ha colado CrySome en mi ordenador?
El software malicioso, como CrySome, suele propagarse a través de archivos infectados, entre los que se incluyen archivos ejecutables, archivos comprimidos, scripts y documentos como archivos PDF y de Office. El simple hecho de abrir estos archivos o realizar acciones adicionales puede provocar una infección.
Los ciberdelincuentes utilizan diversos métodos de distribución para propagar malware, entre los que se incluyen archivos adjuntos o enlaces en correos electrónicos, descargas de software falso, vulnerabilidades de seguridad, mensajes fraudulentos de soporte técnico, sitios web maliciosos o pirateados, software pirateado o crackeado, anuncios engañosos, dispositivos extraíbles infectados, plataformas de intercambio entre pares y programas de descarga de terceros.
¿Cómo evitar la instalación de malware?
Abre únicamente enlaces o archivos adjuntos de fuentes fiables y ten cuidado con los correos electrónicos o mensajes inesperados, sobre todo si proceden de remitentes desconocidos. Asegúrate de descargar aplicaciones y software solo desde sitios web oficiales o tiendas de aplicaciones verificadas, y evita utilizar programas pirateados, software ilegal o generadores de claves.
Mantén tu sistema operativo y todas las aplicaciones actualizados, y evita interactuar con anuncios, ventanas emergentes u otros contenidos de sitios web no fiables. Además, evita aceptar recibir notificaciones de páginas sospechosas.
Si crees que tu ordenador ya está infectado, te recomendamos que realices un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware que se haya infiltrado.
Página web promocional de CrySome (fuente: cyfirma.com):
Panel de administración de Crysome (fuente: cyfirma.com):
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
DESCARGAR Combo CleanerSi decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
Menú rápido:
- ¿Qué es CrySome?
- PASO 1. Eliminación manual del malware CrySome.
- PASO 2. Comprueba si tu ordenador está libre de virus.
¿Cómo eliminar el malware manualmente?
La eliminación manual de malware es una tarea complicada; por lo general, lo mejor es dejar que los programas antivirus o antimalware se encarguen de ello automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se está ejecutando en el ordenador de un usuario:
Si has consultado la lista de programas que se están ejecutando en tu ordenador, por ejemplo, mediante el Administrador de tareas, y has identificado un programa que te parece sospechoso, debes seguir estos pasos:
Descarga un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones en el sistema de archivos:
Reinicia el ordenador en modo seguro:
Usuarios de Windows XP y Windows 7: Inicie el ordenador en modo seguro. Haga clic en «Inicio», luego en «Apagar», después en «Reiniciar» y, por último, en «Aceptar». Durante el proceso de arranque del ordenador, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione «Modo seguro con funciones de red» en la lista.
Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:
Usuarios de Windows 8: Inicia Windows 8 en modo seguro con funciones de red: ve a la pantalla de inicio de Windows 8, escribe «Avanzado» y, en los resultados de la búsqueda, selecciona «Configuración». Haz clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, selecciona «Inicio avanzado».
Haz clic en el botón «Reiniciar ahora». El ordenador se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haz clic en el botón «Solucionar problemas» y, a continuación, en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haz clic en «Configuración de inicio».
Haz clic en el botón «Reiniciar». El ordenador se reiniciará y aparecerá la pantalla de opciones de inicio. Pulsa F5 para arrancar en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:
Usuarios de Windows 10: Haz clic en el logotipo de Windows y selecciona el icono de energía. En el menú que se abre, haz clic en «Reiniciar» mientras mantienes pulsada la tecla «Shift» del teclado. En la ventana «Elige una opción», haz clic en «Solucionar problemas» y, a continuación, selecciona «Opciones avanzadas».
En el menú de opciones avanzadas, selecciona «Configuración de inicio» y haz clic en el botón «Reiniciar». En la ventana que se abra, pulsa la tecla «F5» del teclado. De este modo, el sistema operativo se reiniciará en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:
Descomprime el archivo descargado y ejecuta el archivo Autoruns.exe.
En la aplicación Autoruns, haz clic en «Opciones» en la parte superior y desmarca las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Una vez hecho esto, haz clic en el icono «Actualizar».
Revisa la lista que ofrece la aplicación Autoruns y localiza el archivo malicioso que deseas eliminar.
Debes anotar su ruta completa y su nombre. Ten en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez que hayas localizado el programa sospechoso que deseas eliminar, haz clic con el botón derecho del ratón sobre su nombre y selecciona «Eliminar».
Una vez eliminado el malware mediante la aplicación Autoruns (esto garantiza que el malware no se ejecute automáticamente al reiniciar el sistema), debes buscar el nombre del malware en tu ordenador. Asegúrate de activar la visualización de archivos y carpetas ocultos antes de continuar. Si encuentras el nombre del archivo del malware, asegúrate de eliminarlo.
Reinicia el ordenador en modo normal. Si sigues estos pasos, deberías eliminar cualquier malware de tu ordenador. Ten en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no los tienes, deja que sean los programas antivirus y antimalware los que se encarguen de eliminar el malware.
Es posible que estos pasos no funcionen en casos de infecciones por malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener tu ordenador a salvo, instala las últimas actualizaciones del sistema operativo y utiliza un programa antivirus. Para asegurarte de que tu ordenador no tiene infecciones por malware, te recomendamos que lo analices con Combo Cleaner Antivirus para Windows.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware CrySome, ¿debería formatear mi dispositivo de almacenamiento para eliminarlo?
Aunque un restablecimiento completo puede eliminar CrySome, borrará todos los archivos del sistema. En la mayoría de los casos, lo primero que se debe intentar es utilizar un programa de seguridad de confianza, como Combo Cleaner.
¿Cuáles son los principales problemas que puede causar el malware?
El malware puede dañar o borrar archivos, introducir más malware, espiar a las víctimas y mucho más. Esto puede acarrear graves consecuencias, como pérdidas económicas, robo de datos e identidad, acceso no autorizado a cuentas, pérdida de datos y otros problemas graves.
¿Cuál es el objetivo de CrySome RAT?
CrySome RAT está diseñado para espiar a los usuarios de forma encubierta mediante el acceso a la pantalla, la cámara web, el micrófono y la actividad del sistema. También puede robar datos confidenciales, como contraseñas, archivos, cookies e información del sistema. Al mismo tiempo, proporciona a los atacantes un control remoto total del dispositivo, permaneciendo oculto y desactivando las herramientas de seguridad.
¿Cómo se ha colado un programa malicioso en mi ordenador?
El malware suele propagarse a través de archivos ejecutables, archivos comprimidos, scripts y documentos maliciosos, que pueden infectar un dispositivo al abrirlos o ejecutarlos. Los ciberdelincuentes utilizan sitios web maliciosos, correos electrónicos de phishing con archivos adjuntos o enlaces, estafas de falso soporte técnico, vulnerabilidades de software, programas pirateados, anuncios online dañinos, memorias USB infectadas, redes de intercambio entre pares y fuentes de descarga de terceros no fiables para propagar el malware.
¿Me protegerá Combo Cleaner contra el malware?
Sí, Combo Cleaner es capaz de detectar y eliminar la mayoría de las infecciones de malware conocidas. Sin embargo, algunas amenazas avanzadas pueden estar muy bien ocultas en el sistema, por lo que es importante realizar un análisis completo del sistema para garantizar una detección exhaustiva.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión