Cómo eliminar el malware Phemedrone de su ordenador
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es Phemedrone?
Phemedrone es un ladrón de información codificado en el lenguaje de programación C#. Este software malicioso está diseñado para recopilar información del sistema, capturar archivos y robar datos de navegadores web y aplicaciones. Los usuarios que sospechen que sus ordenadores están infectados con Phemedrone deben eliminar el malware inmediatamente.
Más información sobre Phemedrone
Phemedrone stealer está diseñado para funcionar tanto en sistemas x32 como x64. El ladrón utiliza un host HTTP para enviar todos los registros, lo que permite al atacante recopilar la información robada de forma remota. El malware está equipado con funcionalidades configurables antianálisis, antimáquina virtual, antidepuración y mutex para eludir la detección.
Es capaz de hacerse con varios datos confidenciales, como cookies, contraseñas, datos de autorrelleno y detalles de tarjetas de crédito de navegadores basados en Chromium y Gecko. También puede capturar sesiones de plataformas populares como Telegram, Steam y Discord. Además, puede robar archivos de los sistemas infectados.
Además, Phemedrone puede recopilar información confidencial de monederos criptográficos y proporcionar información detallada del sistema, incluyendo hardware, geolocalización, información del sistema operativo, e incluso capturar pantallas. Funciona recopilando todos los datos directamente en la memoria sin depender de bibliotecas externas.
Las víctimas de Phemedrone pueden encontrarse con varios problemas debido a las actividades de este ladrón de información. Estos pueden incluir el acceso no autorizado a sus datos confidenciales, como contraseñas, información de tarjetas de crédito y monederos de criptomonedas, lo que puede conducir al robo de identidad, pérdidas financieras y el posible uso indebido de cuentas personales.
La capacidad del malware para recopilar información del sistema y realizar capturas de pantalla puede comprometer la privacidad y exponer datos confidenciales a terceros no autorizados. Además, las características antidetección de Phemedrone dificultan su detección y eliminación, prolongando el impacto potencial en el sistema de la víctima y aumentando el riesgo de robo continuado de datos.
| Nombre | Phemedrone ladrón de información |
| Tipo de amenaza | Robo de información |
| Nombres de detección | Avast (Win32:SpywareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.358520), ESET-NOD32 (Una variante de MSIL/Spy.Agent.ENP), Kaspersky (HEUR:Trojan-PSW.MSIL.Stealer.gen), Microsoft (Trojan:MSIL/FormBook.CD!MTB), Lista completa (VirusTotal) |
| Síntomas | Es habitual que los ladrones de información estén diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no se aprecian síntomas particulares en una máquina infectada. |
| Métodos de distribución | Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software. |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, pérdida de acceso a cuentas en línea, pérdidas monetarias y otros problemas. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Los ladrones de información en general
Los ladrones de información, incluido Phemedrone y otros programas maliciosos similares, comparten varias características comunes. Están diseñados para recopilar información confidencial de sistemas comprometidos, como contraseñas, datos financieros y detalles personales. Suelen emplear técnicas para eludir la detección, como las funciones antivirus o antimáquina virtual.
Los ladrones de información suelen tener la capacidad de exfiltrar los datos robados a servidores remotos controlados por los actores de la amenaza. Además, suelen dirigirse a aplicaciones y navegadores populares para maximizar las posibilidades de capturar información valiosa de las víctimas. Ejemplos de diferentes ladrones son Meduza Stealer, ThirdEye Stealer y RedEnergy Stealer.
¿Cómo se infiltró Phemedrone en mi ordenador?
Los usuarios pueden infectar sus ordenadores a través de varios medios. Un método habitual es a través de la descarga y ejecución de archivos o adjuntos maliciosos, como archivos adjuntos de correos electrónicos infectados o archivos descargados de fuentes poco fiables. Visitar sitios web comprometidos o maliciosos y hacer clic en enlaces o anuncios engañosos también puede conducir a infecciones por malware.
Además, el software obsoleto o los sistemas operativos con vulnerabilidades no parcheadas pueden ser aprovechados por los atacantes para obtener acceso no autorizado e infectar el sistema.
¿Cómo evitar la instalación de malware?
Mantenga su sistema operativo y sus programas actualizados con los últimos parches de seguridad, ya que el malware puede aprovecharse de las vulnerabilidades. Tenga cuidado al abrir archivos adjuntos de correo electrónico o al hacer clic en enlaces, especialmente de fuentes desconocidas o sospechosas. Utilice un software antivirus de confianza y manténgalo actualizado para buscar y eliminar programas maliciosos.
Además, preste atención a las páginas que visita y descargue software sólo de fuentes oficiales y de confianza (por ejemplo, sitios oficiales y tiendas verificadas). No se fíe de los anuncios que aparecen en sitios web sospechosos. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Imagen utilizada para promocionar Phemedrone:
Actualización del 16 de enero de 2024: se ha observado el uso de una nueva técnica para propagar el ladrón Phemedrone. Se trata de la explotación de una vulnerabilidad (rastreada como CVE-2023-36025), que afecta a Microsoft SmartScreen. La vulnerabilidad permite que archivos de acceso directo a Internet (.URL) específicamente diseñados infiltren malware y eviten ser detectados por SmartScreen. Aunque se han publicado parches para solucionar este problema, muchos equipos siguen siendo vulnerables.
Para profundizar en una de las cadenas de infección conocidas de Phemedrone que explota CVE-2023-36025, los archivos .URL maliciosos se alojaban en Discord, FileTransfer.io y otros servicios. Es probable que se utilice el acortamiento de URL.
Una vez abierto, se establece una conexión con el servidor de los ciberdelincuentes desde el que se descarga y ejecuta un elemento del Panel de Control de Windows (.CPL). Esto debería ser evitado por Microsoft SmartScreen, pero el proceso se realiza intencionadamente para evadir la detección.
Además, se descargan y ejecutan archivos .DLL que utilizan PowerShell para obtener (de GitHub) y lanzar la siguiente etapa del ataque. Incluye un cargador PowerShell bien ofuscado, que descarga un archivo ZIP de GitHub.
Contiene WerFaultSecure.exe, un binario legítimo de Windows, y dos archivos maliciosos. Uno se utiliza para la técnica de carga lateral de DLL, mientras que el otro es un cargador para otra fase. La infección culmina con la infiltración de Phemedrone en el sistema.
Captura de pantalla de un archivo de acceso directo en el que prolifera Phemedrone utilizando el exploit descrito anteriormente:
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es Phemedrone?
- PASO 1. Eliminación manual del malware Phemedrone.
- PASO 2. Compruebe si su ordenador está limpio.
¿Cómo eliminar malware manualmente?
La eliminación manual de malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. He aquí un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, mediante el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reinicie su ordenador en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haz clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de arranque del ordenador, pulse la tecla F8 del teclado varias veces hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red de la lista.
Vídeo que muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el "Menú de opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haz clic en "Configuración de inicio".
Haz clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Pulsa F5 para arrancar en Modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú que se abre, haz clic en "Reiniciar" mientras mantienes pulsada la tecla "Mayúsculas" del teclado. En la ventana "Elegir una opción", haga clic en "Solucionar problemas" y, a continuación, seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana debes pulsar la tecla "F5" de tu teclado. Esto reiniciará su sistema operativo en modo seguro con conexión en red.
Vídeo que muestra cómo iniciar Windows 10 en "Modo seguro con conexión en red":
Extrae el archivo descargado y ejecuta el archivo Autoruns.exe.
En la aplicación Autoruns, haz clic en "Opciones" en la parte superior y desmarca las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Tras este procedimiento, haz clic en el icono "Actualizar".
Compruebe la lista proporcionada por la aplicación Autoruns y localice el archivo malicioso que desea eliminar.
Anota su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione "Eliminar".
Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrate de activar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicia el ordenador en modo normal. Siguiendo estos pasos debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación de programas maliciosos en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener tu ordenador seguro, instala las últimas actualizaciones del sistema operativo y utiliza software antivirus. Para asegurarte de que tu ordenador está libre de infecciones de malware, te recomendamos escanearlo con Combo Cleaner.
Preguntas más frecuentes (FAQ)
Mi ordenador está infectado con el malware Phemedrone, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
El formateo debe considerarse como último recurso si otros métodos, como el uso de software antivirus como Combo Cleaner, no han conseguido eliminar el malware.
¿Cuáles son los principales problemas que puede causar el malware?
El malware puede provocar filtraciones de datos, poniendo en peligro información sensible y personal como datos financieros, contraseñas, etc. Además, el malware puede alterar el funcionamiento del sistema, provocando caídas del mismo, ralentización del rendimiento y pérdida de datos. Además, puede facilitar el acceso no autorizado al sistema infectado, permitiendo a los ciberdelincuentes controlar el dispositivo comprometido y, potencialmente, lanzar nuevos ataques.
¿Cuál es el objetivo de Phemedrone?
Phemedrone, un malware ladrón de información, tiene como objetivo recopilar datos confidenciales de los sistemas infectados. Su objetivo es recopilar varios tipos de información, como detalles del sistema, archivos, datos de navegadores web y aplicaciones, cookies, contraseñas, datos de autorrelleno, datos de tarjetas de crédito e incluso información de sesión de plataformas específicas como Telegram, Steam y Discord.
¿Cómo se infiltró un malware en mi ordenador?
Los métodos más comunes incluyen hacer clic en enlaces maliciosos o descargar archivos infectados de fuentes no fiables, abrir archivos adjuntos de correo electrónico de remitentes desconocidos o sospechosos, visitar sitios web comprometidos o maliciosos, o explotar vulnerabilidades en software o sistemas operativos obsoletos. Además, el malware puede propagarse a través de dispositivos externos infectados, como unidades USB, o a través de ataques basados en red dirigidos a sistemas desprotegidos o mal protegidos.
¿Me protegerá Combo Cleaner del malware?
Combo Cleaner detecta y elimina eficazmente casi todas las infecciones de malware conocidas. El malware sofisticado a menudo se oculta en lo más profundo del sistema. Por lo tanto, es esencial realizar un análisis exhaustivo del sistema para garantizar la detección y erradicación de este tipo de malware de alto nivel.
¡Excelente!
▼ Mostrar discusión.