Evite la instalación del troyano Kryptik mediante emails "WeTransfer"

Conocido también como: virus por email spam WeTransfer
Tipo: Troyano
Propagación: Baja
Nivel de peligrosidad: Extremo

Guía de eliminación "WeTransfer"

¿Qué es "WeTransfer"?

"WeTransfer" es el título de un correo electrónico engañoso diseñado para difundir el troyano Kryptik. El correo electrónico también podría usarse para difundir otros programas maliciosos. Se recomienda encarecidamente no abrir este mensaje, y especialmente los enlaces que contiene, ya que esto desencadenará la instalación de la infección de malware mencionada anteriormente.

Correo electrónico

El texto presentado en el correo electrónico "WeTransfer" es breve y simplemente informa a los destinatarios que se les ha enviado un documento sobre el perfil de la empresa no especificado y los detalles de compra/pedido ("El perfil de nuestra empresa según lo solicitado y el pedido de compra.pdf"). El mensaje tiene pocos detalles y no juega con las emociones de las personas (por ejemplo, usando tácticas de miedo), sin embargo, corren el riesgo de ser engañados para descargar el archivo archivado dentro del mensaje por confusión o curiosidad. Los ciberdelincuentes a menudo mencionan o utilizan servicios legítimos para fines maliciosos. Tanto "WeTransfer" como ownCloud son servicios genuinos (transferencia de archivos y hosting respectivamente), que son abusados ​​por las personas detrás de esta campaña de spam. En el momento de la investigación, el enlace en el correo electrónico "WeTransfer" abrió una página web ownCloud, desde la cual se podía descargar el archivo que contenía el troyano Kryptik. Este es un malware de alto riesgo con una amplia gama de capacidades, que incluyen (pero no se limitan a) la modificación del sistema y del navegador, el control sobre el hardware conectado y la filtración de datos. En resumen, es probable que Kryptik cause serios problemas de privacidad, pérdidas financieras significativas e incluso robo de identidad. Para proteger la seguridad del dispositivo y del usuario, es crucial eliminar todos los programas maliciosos sin demora.

Resumen de la Amenaza:
Nombre virus por email spam WeTransfer
Tipo de Amenaza Trojan, password-stealing virus, banking malware, spyware.
Farsa El email afirma que los destinatarios han recibido detalles de la compañía y la compra según su solicitud.
Anexo(s) Enlace de descarga de "Our company profile as requested and Purchase Order_PDF.cab" (ejecutable malicioso dentro)
Nombres de Detección
Avast (Win32:TrojanX-gen [Trj]), Fortinet (MSIL/Kryptik.UGA!tr), ESET-NOD32 (A Variant Of MSIL/Kryptik.UGA), Kaspersky (HEUR:Trojan-Dropper.Win32.Generic), Lista Completa de Detecciones (VirusTotal)
Síntomas Los troyanos están diseñados para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada.
Carga Útil Kryptik
Métodos de Distribución Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, 'cracks' de software.
Daño Contraseñas robadas e información bancaria, robo de identidad, la computadora de la víctima es agregada a una botnet.
Eliminación

Para eliminar virus por email spam WeTransfer, nuestros investigadores de software malicioso recomiendan analizar el equipo con Malwarebytes.
▼ Descargar Malwarebytes
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.

La ingeniería social y las tácticas de miedo generalmente se emplean para seguir engañando/estafando correos electrónicos. Estos mensajes se suelen disfrazar de "oficiales", "importantes", "prioritarios", "urgentes", etc. El tema varía drásticamente: el contenido escrito puede ser bien investigado y detallado, o descuidado y rápidamente preparado. Por lo tanto, los correos electrónicos plagados de errores gramaticales y de ortografía, y otras inconsistencias, deben cuestionar la legitimidad del mensaje inmediatamente. El único propósito de este correo electrónico engañoso es generar ingresos a expensas de los usuarios. Esto se logra a través de infecciones de malware, que engañan a los destinatarios para que revelen sus datos personales (por ejemplo, información relacionada con la identidad, detalles de la cuenta bancaria o de la tarjeta de crédito, etc.) o realicen transacciones monetarias (por ejemplo, chantajean a las personas por material comprometedor existente o inexistente, varias tarifas falsas o pagos, etc.), y mediante el uso de muchas otras técnicas de estafa. Los sistemas se infectan mediante archivos adjuntos o enlaces que conducen a la descarga del archivo. "Your computer hacked!", "Christmas Party Email", y "HARASSMENT COMPLAINT" son algunos ejemplos de correos electrónicos utilizados para proliferar malware. El software malicioso Kryptik se propaga a través de la campaña de correo electrónico no deseado "WeTransfer" y comparte similitudes con Emotet, TrickBot, Adwind y muchos otros troyanos.

¿Cómo "WeTransfer" infectó mi computadora?

El correo engañoso/fraudulento infecta los sistemas a través de archivos peligrosos, que se pueden adjuntar o vincular dentro del mensaje. Los enlaces se utilizan para el correo electrónico "WeTransfer". Los archivos infecciosos vienen en una variedad de formatos que incluyen archivos (CAB, ZIP, RAR, etc.) y archivos ejecutables (.exe, .run, .etc.), Documentos de Microsoft Office y PDF, JavaScript y otros. Cuando estos archivos se ejecutan, se ejecutan o se abren de otro modo, se inician los procesos de infección y comienzan a descargar/instalar malware. Por ejemplo, al abrir, los documentos de Microsoft Office solicitan a los usuarios que habiliten comandos de macro (es decir, que habiliten la edición). Habilitarlos puede desencadenar una infección, sin embargo, en las versiones de MS Office lanzadas antes de 2010, las macros se habilitan automáticamente una vez que se abre el documento.

Cómo evitar la instalación de malware

Los correos electrónicos sospechosos y/o irrelevantes no deben abrirse, especialmente si se reciben de remitentes desconocidos (direcciones). Tampoco abra archivos adjuntos o enlaces encontrados en mensajes sospechosos, ya que son el posible origen de una infección. Se recomienda encarecidamente utilizar las versiones de Microsoft Office lanzadas después de 2010. Las versiones más recientes tienen el modo "Vista protegida", que evita que las macros maliciosas inicien inmediatamente el proceso de infección cuando se abre el documento. El contenido malicioso a menudo se descarga de canales de descarga no confiables, como sitios web de alojamiento de archivos no oficiales y gratuitos, redes de intercambio punto a punto (BitTorrent, eMule, Gnutella, etc.) y otros descargadores de terceros. Por lo tanto, use solo fuentes de descarga oficiales y verificadas. Las herramientas de activación ilegal ("cracking") y los actualizadores de terceros también pueden causar infecciones. Por lo tanto, los programas deben activarse y actualizarse solo con herramientas/funciones proporcionadas por desarrolladores legítimos. Para garantizar la integridad del dispositivo y la seguridad del usuario, instale y mantenga actualizado un software antivirus/antispyware de buena reputación. Además, use este software para análisis regulares del sistema y eliminación de amenazas/problemas detectados. Si ya ha abierto el archivo descargado desde el sitio web al que se accede a través del correo electrónico "WeTransfer", le recomendamos que ejecute un análisis Malwarebytes para eliminar automáticamente el malware infiltrado.

Texto presentado en el mensaje de correo electrónico "WeTransfer":

Click 'Download images' to view images
********
sent you some documents PDF
2 item, 768 KB in total ・ Will be deleted on 30 October, 2019
Our company profile as requested and Purchase Order.pdf

Get your files
Download link
hxxps://kingsdoggy.blaucloud.de/index.php/s/*****
2 items
Company profile.pdf
Purchase Order.pdf
700 KB
To make sure our emails arrive, please add noreply@wetransfer.com to your contacts.
About WeTransfer ・ Help ・ Legal ・ Report this transfer as spam

Captura de pantalla del sitio web abierto a través de un enlace en el correo electrónico "WeTransfer":

Sitio vinculado en el correo electrónico

Captura de pantalla de las detecciones en la base de datos de malware de VirusTotal de "Our company profile as requested and Purchase Order_PDF.cab" (archivo comprimido que contiene el ejecutable de Kryptik):

Detecciones de archivos descargados del sitio web del correo electrónico

Otra variante del correo no deseado "WeTransfer":

Campaña de correo electrónico no deseado

Texto presentado dentro de este correo electrónico:

Subject: You have successfully received files Via Wetransfer


files sent to
*****
6 files, 120 MB in total · Will be deleted on&n=sp;0th Feb, 2020
Download files here

Thanks for using WeTransfer. We'll email you a confirmation as soon=as your files have been downloaded.

Download link
hxxps://loxley-th.com/*****

Message
Hi - please download files here. Thx.


To make sure our emails arrive, please add noreply@wetransfer.com to your contacts.

Captura de pantalla del sitio web promocionado a través de este correo electrónico:

Sitio web promocionado mediante la campaña de correo electrónico no deseado

Texto presentado en este sitio:

Help About Sign up Log in


Ready when you are

Files deleted in 7 days

 

Hi, regarding my earlier mail. These are the documents,Invoices and materials...

 

Agreement.pdf
40 MB - pdf


Materials.zip
23 MB - zip


Mov Intro.mp4
76 MB - mp4

 

Download

Otro ejemplo de campaña de phishing "WeTransfer" (el texto contiene "Get your files", que en realidad es un enlace que conduce a sitios web maliciosos):

WeTranser phishing spam campaign

Texto presentado dentro de este correo electrónico:

Click 'Download images' to view images
****
You have received files via WeTransfer
5 item, 40.5 MB in total · Will be deleted on 19th March, 2020
Get your files

1 item
0866_001.pdf
15.5 KB
To make sure our emails arrive, please add noreply@wetransfer.com to your contacts.
About WeTransfer · Help · Legal · Report this transfer as spam

Captura de pantalla del correo electrónico de phishing:

Sitio web de phishing promocionado a través de correos electrónicos no deseados

Otra variante más del correo no deseado "WeTransfer":

Correo electrónico no deseado

Texto presentado adentro:

Subject: WeTransfer

Click 'Download images' to view images


*******
sent you some files
4 items, 702 KB in total ・ Will be deleted on 7 JUNE, 2020
Get your files

Recipients
*******
Download link
1 File

PAYMENT PLAN INV -2020 JUNE
BL + PL AND TELEX RELEASE
700 kB
To make sure our emails arrive, please add noreply@wetransfer.com to your contacts.
Get more out of WeTransfer, get Pro
About WeTransfer ・ Help ・ Legal ・ Report this transfer as spam

Eliminar automáticamente de forma instantánea virus por email spam WeTransfer: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con virus por email spam WeTransfer. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Malwarebytes. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

Ejemplo de un proceso malicioso ejecutándose en la computadora del usuario

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

manual malware removal step 1Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:

Captura de pantalla de la aplicación Autoruns

manual malware removal step 2Reinicie su computadora en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Modo Seguro con Red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.

Modo Seguro con Red en Windows 8

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Modo Seguro con Red en Windows 10

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

 

manual malware removal step 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga autoruns.zip y ejecute autoruns.exe

manual malware removal step 4En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".

Haga clic en 'Opciones' en la parte superior y desmarca las opciones 'Ocultar ubicaciones vacías' y 'Ocultar entradas de Windows'

manual malware removal step 5Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".

Localice el archivo de malware que desea eliminar

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscando archivos de malware en su computadora

Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.

Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Malwarebytes.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
virus por email spam WeTransfer Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de virus por email spam WeTransfer desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de virus por email spam WeTransfer:

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.