Cómo eliminar el malware Shadowpad de los sistemas
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es Shadowpad?
Shadowpad es un malware modular que utiliza módulos de robo de información y puede causar infecciones en cadena. Existe desde al menos 2017. Inicialmente utilizado por un único actor de amenazas con sede en China, sus ataques posteriores se han atribuido a múltiples grupos chinos de ciberespionaje.
Las últimas campañas (en el momento de escribir estas líneas) afectaron a 21 empresas situadas en Europa, Asia, Oriente Medio y Sudamérica; la mayoría de los objetivos operaban en el ámbito de la fabricación. Algunos de estos ataques se utilizaron para infectar las redes de las víctimas con el ransomware NailaoLocker.
Visión general del malware Shadowpad
Shadowpad está diseñado para causar infecciones en cadena (es decir, descargar/instalar programas o componentes maliciosos adicionales). El malware ha sufrido cambios a lo largo de los años, especialmente en lo que respecta a la ofuscación del código. También utiliza múltiples capacidades antidepuración.
En el momento de escribir estas líneas, las infecciones de Shadowpad entran en las redes internas de las víctimas con privilegios de administrador. Puede infiltrarse en los sistemas a través de DLL sideloading - en el que el mecanismo de orden de búsqueda de Windows DLL se utiliza para aprovechar una aplicación legítima que ejecuta la carga maliciosa.
Se ha observado que Shadowpad utiliza varios módulos para ampliar su arsenal de funcionalidades. Entre los complementos conocidos se encuentran los que permiten realizar capturas de pantalla, descargar los archivos de las víctimas y registrar las pulsaciones del teclado.
Shadowpad se ha utilizado para descargar/instalar el ransomware NailaoLocker. Los programas maliciosos de esta clasificación cifran los archivos para exigir un pago por el descifrado. Normalmente, los datos cifrados por el ransomware no pueden descifrarse sin la intervención de los atacantes. Tenga en cuenta que Shadowpad podría utilizarse para introducir otros programas maliciosos en los sistemas.
En resumen, la presencia de malware como Shadowpad en los dispositivos puede provocar múltiples infecciones del sistema, pérdida de datos, graves problemas de privacidad, pérdidas financieras y robo de identidad.
| Nombre | Shadowpad virus |
| Tipo de amenaza | Troyano, cargador, spyware. |
| Nombres de detección | Avast (Win64:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Tedy.616092), ESET-NOD32 (Una variante de Win64/Agent.EAE), Kaspersky (Trojan.Win64.Shadowpad.kk), Microsoft (Trojan:Win64/Malgent!MSR), Lista completa de detecciones (VirusTotal) |
| Carga útil | ransomware NailaoLocker |
| Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada. |
| Métodos de distribución | Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software. |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una botnet. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de malware similares
EagerBee, TorNet, SlowStepper, InvisibleFerret y PNGPlug son sólo algunos de nuestros últimos artículos sobre programas capaces de causar infecciones en cadena.
En teoría, este tipo de software puede descargar/instalar casi cualquier tipo de malware en los sistemas (por ejemplo, troyanos, ransomware, mineros de criptomonedas, etc.). En la práctica, estos programas tienden a operar dentro de ciertas especificaciones o limitaciones.
Sin embargo, independientemente de cómo funcione el malware, su presencia en un sistema amenaza la integridad del dispositivo y la seguridad del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.
¿Cómo se infiltró Shadowpad en mi ordenador?
Shadowpad se ha propagado utilizando varios métodos. En otoño de 2024, las campañas lanzadas contra dos empresas europeas establecieron el acceso a través de ataques de red remotos (por ejemplo, ataques de fuerza bruta o de diccionario, etc.), en concreto, a través de cuentas de administrador de servicios VPN protegidas con contraseñas débiles. En uno de estos ataques, se eludió un mecanismo de autenticación multifactor basado en certificados. Sin embargo, se desconocen las técnicas utilizadas para facilitar este último.
Por lo general, el malware se propaga utilizando tácticas de phishing e ingeniería social. Los programas maliciosos suelen estar camuflados o empaquetados con contenidos normales.
Los archivos maliciosos se presentan en varios formatos, por ejemplo, archivos comprimidos (ZIP, RAR, etc.), ejecutables (.exe, .run, etc.), documentos (PDF, Microsoft Office, Microsoft OneNote, etc.), JavaScript, etc. Una vez que un archivo de este tipo se ejecuta, se ejecuta o se abre de otro modo, se desencadena la cadena de infección.
Los programas maliciosos proliferan principalmente a través de descargas "drive-by", archivos adjuntos o enlaces maliciosos en correos electrónicos o mensajes de spam, estafas en línea, publicidad maliciosa, canales de descarga sospechosos (por ejemplo, sitios web de programas gratuitos y de alojamiento gratuito de archivos, redes de intercambio Peer-to-Peer, etc.), programas/medios pirateados, herramientas ilegales de activación de software ("cracks") y actualizaciones falsas.
Algunos programas maliciosos pueden autopropagarse a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¿Cómo evitar la instalación de programas maliciosos?
La precaución es clave para la seguridad del dispositivo y del usuario. Por lo tanto, aplique siempre prácticas sólidas de gestión de credenciales. Manténgase alerta cuando navegue, ya que los contenidos fraudulentos y peligrosos en línea suelen parecer legítimos e inocuos. Trate con cuidado los correos electrónicos entrantes y otros mensajes; no abra los archivos adjuntos ni los enlaces que encuentre en correos dudosos.
Descargue sólo de fuentes oficiales y fiables. Active y actualice los programas utilizando funciones/herramientas auténticas, ya que las obtenidas de terceros pueden contener malware. Es fundamental tener instalado y actualizado un antivirus de confianza.
El software de seguridad debe utilizarse para ejecutar análisis periódicos del sistema y eliminar las amenazas y problemas detectados. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Captura de pantalla de la nota de rescate de NailaoLocker (que puede infiltrarse en los sistemas mediante Shadowpad):
Texto presentado en este mensaje:
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]
[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]
[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]
[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]
[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]
[Contact us on johncollinsy@proton.me]
[Notice:Do not delete or move locked files without unlocking them first.]
[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es Shadowpad?
- PASO 1. Eliminación manual del malware Shadowpad
- PASO 2. Compruebe si su ordenador está limpio.
¿Cómo eliminar malware manualmente?
La eliminación manual de malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. He aquí un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, mediante el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reinicie su ordenador en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haz clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de arranque del ordenador, pulse la tecla F8 del teclado varias veces hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red de la lista.
Vídeo que muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el "Menú de opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haz clic en "Configuración de inicio".
Haz clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Pulsa F5 para arrancar en Modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú que se abre, haz clic en "Reiniciar" mientras mantienes pulsada la tecla "Mayúsculas" del teclado. En la ventana "Elegir una opción", haga clic en "Solucionar problemas" y, a continuación, seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana debes pulsar la tecla "F5" de tu teclado. Esto reiniciará su sistema operativo en modo seguro con conexión en red.
Vídeo que muestra cómo iniciar Windows 10 en "Modo seguro con conexión en red":
Extrae el archivo descargado y ejecuta el archivo Autoruns.exe.
En la aplicación Autoruns, haz clic en "Opciones" en la parte superior y desmarca las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Tras este procedimiento, haz clic en el icono "Actualizar".
Compruebe la lista proporcionada por la aplicación Autoruns y localice el archivo malicioso que desea eliminar.
Anota su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione "Eliminar".
Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrate de activar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicia el ordenador en modo normal. Siguiendo estos pasos debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación de programas maliciosos en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener tu ordenador seguro, instala las últimas actualizaciones del sistema operativo y utiliza software antivirus. Para asegurarte de que tu ordenador está libre de infecciones de malware, te recomendamos escanearlo con Combo Cleaner.
Preguntas más frecuentes (FAQ)
Mi ordenador está infectado con el malware Shadowpad, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
La eliminación del malware rara vez requiere formateo.
¿Cuáles son los mayores problemas que puede causar el malware Shadowpad?
Las amenazas que plantea una infección dependen de las capacidades del malware y de los objetivos de los atacantes. Shadowpad puede robar información y causar infecciones en cadena (incluyendo ransomware). Por lo tanto, este programa puede causar múltiples infecciones del sistema, pérdida de datos, graves problemas de privacidad, pérdidas financieras y robo de identidad.
¿Cuál es el propósito del malware Shadowpad?
El malware se utiliza principalmente para obtener beneficios económicos. Otros posibles motivos son rencores personales, diversión de los atacantes, interrupción de procesos (por ejemplo, sitios, servicios, empresas, etc.), hacktivismo y motivaciones políticas/geopolíticas.
¿Cómo se infiltró el malware Shadowpad en mi ordenador?
El malware se propaga principalmente a través de descargas no autorizadas (drive-by downloads), estafas en línea, publicidad maliciosa, correos electrónicos y mensajes de spam, canales de descarga sospechosos (por ejemplo, sitios web de programas gratuitos y de terceros, redes de intercambio P2P, etc.), contenidos pirateados, herramientas ilegales de activación de software ("cracks") y actualizaciones falsas. Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¿Me protegerá Combo Cleaner del malware?
Combo Cleaner está diseñado para escanear sistemas y eliminar todo tipo de amenazas. Puede detectar y eliminar casi todas las infecciones de malware conocidas. Recuerde que ejecutar un análisis completo del sistema es primordial, ya que el software malicioso sofisticado suele esconderse en las profundidades de los sistemas.
¡Excelente!
▼ Mostrar discusión.