¿Cómo desinstalar JhoneRAT?

Conocido también como: Troyano de acceso remoto JhoneRAT
Tipo: Troyano
Propagación: Baja
Nivel de peligrosidad: Extremo

Guía de eliminación del virus JhoneRAT

¿Qué es JhoneRAT?

JhoneRAT es el nombre de una herramienta de acceso remoto (troyano) que se distribuye a través de documentos maliciosos de Microsoft Office. Los ciberdelincuentes detrás de él apuntan a usuarios de habla árabe, este programa malicioso elige (filtra) a las víctimas al verificar la distribución del teclado de sus computadoras. JhoneRAT es capaz de descargar cargas útiles adicionales (infectar sistemas con otro malware) y recopilar información en la computadora de su víctima.

Malware JhoneRAT

La investigación muestra que los ciberdelincuentes proliferan JhoneRAT al menos a través de tres documentos maliciosos de Microsoft Office. Cada uno de esos documentos está diseñado para descargar y abrir documentos adicionales de MS Office que contienen macros integradas. Si los usuarios otorgan a un documento malicioso un permiso para habilitar la edición/contenido, entonces inicia la ejecución del proceso de infección. La etapa final es la instalación de JhoneRAT, que inicia una secuencia de instrucciones programadas. JhoneRAT lanza tres hilos: el primero es responsable de verificar si la distribución del teclado de la víctima es árabe, el segundo es responsable de crear persistencia que evite que las víctimas eliminen JhoneRAT y el tercero es responsable de permitir que JhoneRAT comience sus actividades de Comando y Control (C2). Los ciberdelincuentes detrás de JhoneRAT pueden usar para tomar capturas de pantalla en la computadora infectada y enviarlas a ImgBB (sitio web de alojamiento de imágenes), descargar y ejecutar archivos binarios disfrazados de imágenes y ejecutar varios comandos. Significa que los ciberdelincuentes podrían usar JhoneRAT para robar información personal como contraseñas, credenciales, detalles de tarjetas de crédito, etc. Además, esta RAT podría usarse para infectar sistemas con más programas maliciosos como algunos programas de tipo ransomware, troyanos, y otros programas maliciosos de alto riesgo. De una forma u otra, la mayoría de los ciberdelincuentes que intentan infectar sistemas con programas maliciosos como JhoneRAT tienen un objetivo principal: generar la mayor cantidad de ingresos posible. En la mayoría de los casos, los usuarios de máquinas infectadas encuentran una variedad de problemas, por ejemplo, se convierten en víctimas de robo de identidad, experimentan problemas con la privacidad, la seguridad de navegación, pierden datos, dinero, etc. Es por eso que vale la pena recordar que incluso un solo clic en algún documento malicioso (en este caso, MS Word) puede conducir a muchos (y graves) problemas. Si dicho documento ya se abrió y se permitió iniciar la infección, entonces se debe iniciar inmediatamente la eliminación del malware instalado.

Resumen de la amenaza:
Nombre Troyano de acceso remoto JhoneRAT
Tipo de Amenaza Trojan, password-stealing virus, banking malware, spyware.
Nombres de Detección BitDefender (Trojan.GenericKD.42249088), Emsisoft (Trojan.GenericKD.42249088 (B)), ESET-NOD32 (Python/Agent.HX), Kaspersky (Trojan.Python.Agent.ba), Lista Completa (VirusTotal)
Carga Útil JhoneRAT podría usarse para infectar sistemas con una variedad de otros programas maliciosos.
Síntomas Las RATs están diseñadas para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio, y por lo tanto no hay síntomas particulares claramente visibles en una máquina infectada.
Métodos de Distribución Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, 'cracks' de software.
Daño Contraseñas robadas e información bancaria, robo de identidad, la computadora de la víctima es agregada a una botnet.
Eliminación

Para eliminar Troyano de acceso remoto JhoneRAT, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

Más ejemplos de otros programas que pertenecen a una categoría de RATs son Dacls, Bandook y PiXie. No todas las RATs son maliciosas, sin embargo, la mayoría de ellas pueden usarse con intención maliciosa. Por lo general, los delincuentes cibernéticos los usan con el propósito de realizar tareas que podrían ayudarlos a generar ingresos de varias maneras. La mayoría de las veces incluye el robo de información que podría ser mal utilizada para realizar compras, transacciones fraudulentas y realizar otras acciones que llevarían a las víctimas a pérdidas financieras y otros problemas.

¿Cómo se infiltró JhoneRAT en mi computadora?

Como mencionamos en la introducción, esta RAT particular se instala cuando los usuarios abren un documento malicioso de Microsoft Office y habilitan comandos de macros (habilitar edición/contenido). Por lo general, los delincuentes cibernéticos difunden documentos maliciosos adjuntándolos a correos electrónicos y enviándolos a muchas personas. Vale la pena mencionar que a menudo adjuntan no solo documentos de MS Office, sino también otros archivos. Por ejemplo, pueden adjuntar archivos JavaScript, archivos ejecutables (como .exe), archivos como ZIP, RAR, documentos PDF, etc. Desafortunadamente, las campañas de spam (correos electrónicos) no son la única forma de difundir software malicioso. Muy a menudo, el malware se distribuye a través de fuentes de descarga de software cuestionables, troyanos, actualizaciones falsas y herramientas de activación no oficiales. Fuentes de descarga de software cuestionables y poco confiables, como sitios web de descarga de software gratuito, sitios de alojamiento de archivos gratuitos, redes punto a punto (ejem., clientes de torrents, eMule, etc.) se utilizan para propagar malware simplemente cargando archivos maliciosos disfrazados de legítimos e inofensivos. Las personas que abren archivos descargados a través de ellos siempre corren el riesgo de instalar algún programa malicioso en sus computadoras por sí mismos. Los troyanos (programas maliciosos) a menudo están diseñados para causar infecciones en cadena. Una vez instalados, instalan algún otro malware. Sin embargo, solo puede ocurrir cuando los sistemas ya están infectados con ellos. Las herramientas de actualización de software falsas (actualizadores) infectan los sistemas descargando malware en lugar de actualizaciones, o explotando errores, fallas de software obsoleto. Varias herramientas de 'craqueo' funcionan de manera muy similar: las personas que las usan con el propósito de evitar la activación de algún software con licencia a menudo les permiten instalar algún programa malicioso.

¿Cómo evitar la instalación de malware?

Se recomienda encarecidamente no abrir archivos adjuntos (y/o enlaces web) que se adjunten a/incluidos en correos electrónicos irrelevantes. Especialmente cuando se reciben de direcciones desconocidas y sospechosas. La opción más segura es ignorarlos (dejar sus contenidos sin abrir). Todos los archivos y programas deben descargarse solo de fuentes oficiales y confiables (sitios web). Los sitios web no oficiales, varios descargadores de terceros, instaladores y otros canales que mencionamos en el párrafo anterior no se deben usar/confiar. El software debe actualizarse mediante funciones y/o herramientas implementadas diseñadas solo por desarrolladores oficiales. Si necesita ser activado, entonces debería activarse correctamente. No es legal hacerlo mediante el uso de varias herramientas de 'craqueo' (activación no oficial). Además, a menudo están diseñados para infectar sistemas con diversos tipos de malware. Una cosa más importante es escanear regularmente el sistema operativo en busca de amenazas con un antivirus o software anti-spyware de buena reputación y eliminarlos siempre lo antes posible. Si cree que su computadora ya está infectada, le recomendamos ejecutar un análisis con Spyhunter para eliminar automáticamente el malware infiltrado.

Lista de países de habla árabe específicos:

  • Algelia
  • Bahrain
  • Egipto
  • Irak
  • Kuwait
  • Líbano
  • Libia
  • Marruecos
  • Omán
  • Arabia Saudita
  • Siria
  • Túnez
  • EAU
  • Yemen

Adjuntos maliciosos que distribuyen JhoneRAT:

Documento malicioso de Microsoft Word que distribuye JhoneRAT Documento malicioso de Microsoft Word que distribuye JhoneRAT Documento malicioso de Microsoft Word que distribuye JhoneRAT

Eliminar automáticamente de forma instantánea Troyano de acceso remoto JhoneRAT: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Troyano de acceso remoto JhoneRAT. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Spyhunter. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

Ejemplo de un proceso malicioso ejecutándose en la computadora del usuario

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

manual malware removal step 1Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:

Captura de pantalla de la aplicación autoruns

manual malware removal step 2Reinicie su computadora en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Modo Seguro con Red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.

Modo Seguro con Red en Windows 8

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Modo Seguro con Red en Windows 10

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

 

manual malware removal step 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga autoruns.zip y ejecute autoruns.exe

manual malware removal step 4En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".

Haga clic en 'Opciones' en la parte superior y desmarca las opciones 'Ocultar ubicaciones vacías' y 'Ocultar entradas de Windows'

manual malware removal step 5Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".

Localiza el archivo de malware que desea eliminar

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscando archivos de malware en su computadora

Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.

Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Spyhunter.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Troyano de acceso remoto JhoneRAT Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Troyano de acceso remoto JhoneRAT desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Troyano de acceso remoto JhoneRAT:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.