![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Hola, T113H Topline:
Antes de nada, siento mucho el problema que tiene con sus archivos personales cifrados. Es algo que causa mucha frustración y mucho estrés.
La extensión .CDMX que cifró sus archivos corresponde a la familia ransomware **** conocida como STOP Ransomware. Esta variante (extensión) fue distribuida por los delincuentes en diciembre de 2023: https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-djvu-puma-promo-support-topic/page-802
A continuación, le ofrezco información detallada:
- Los ciberdelincuentes saben que muchos usuarios descargan software o material pirata y aprovechan esta circunstancia para añadir el ransomware a este tipo de descargas. Es una manera rápida y fácil de ganar dinero, porque una amplía cantidad de usuarios no realizan copias de seguridad de sus archivos personales, o bien tienen esas copias de seguridad conectadas siempre al equipo y terminan siendo también cifradas por el ransomware.
- Los ciberdelincuentes habrán dejado una o varias notas de rescate con el nombre de _readme.txt en las que les solicita cierta cantidad de dinero en Bitcoin para hacerle llegar la clave de descifrado de los archivos.
- El primer paso que debería dar (aunque en su caso no es necesario si formateó el Sistema y lo instaló desde cero), es eliminar el archivo que descargó y que produjo el cifrado de los archivos, también asegurarse de que no haya ningún proceso en segundo plano relacionado con el proceso de cifrado, y eliminar la Tarea Programada que las últimas variantes del ransomware incluyen para ejecutar el proceso de cifrado. Para ello puede utilizar los siguientes anti-malwares recomendados:
Emsisoft Anti-Malware Home -> anti-malware especializado en ransomwares
Estos anti-malwares no van a hacer que recupere sus archivos, solamente eliminar el proceso del malware que pueda seguir en ejecución en el Sistema.
Ahora paso a detallarle el problema de la recuperación de los archivos que tiene cifrados y usted quiere recuperar:
1) Para saber si sus archivos son recuperables o no sin tener que pagar (cosa que tampoco le garantiza que vaya a a recibir la clave de descifrado), deberá conocer si sus archivos fueron cifrados por una ID Personal perteneciente a un tipo de cifrado online (archivos no recuperables) u offline (archivos recuperables).
Hay dos maneras de conocer este dato:
Opción 1) La primera es revisando el contenido del archivo C:\SystemID\PersonalID.txt.
Si la ID Personal o ID's Personales (puede existir más de una de ellas), termina en t1, usted podría recuperar sus archivos próximamente.
De lo contrario, no podría recuperar sus archivos y tendría que esperar a que los ciberdelincuentes sean detenidos, o se disuelva la organización por algún motivo.
Si usted no dispone de este archivo C:\SystemID\PersonalID.txt., porque formateó el Sistema, podría revisar las notas de rescate _readme.txt que el ransomware deja en las carpetas que contienen archivos cifrados y comprobar lo mismo que hicimos en el paso anterior.
Debe tener en cuenta que realmente el archivo que recopila todas las posibles ID's Personales se encuentra en C:\SystemID\PersonalID.txt, por lo que lo ideal es no revisar las notas de rescate _readme.txt para ver si en alguna de ellas hay otra ID Personal distinta, sino ir directamente a consultar el archivo C:\SystemID\PersonalID.txt.
Opción 2) La segunda opción es utilizando la única herramienta de descifrado existente para este ransomware que es Emsisoft Decryptor for STOP Djvu: https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu
Si utiliza esta herramienta, y sus archivos tienen un cifrado de tipo online recibirá el siguiente mensaje:
Error: No key for New Variant online ID ***************************Notice: this ID appears to be an online ID. decryption is impossible
Como entenderá la propia herramienta le indicará en ese caso, que el descifrado de los archivos es imposible de realizar. Desafortunadamente si este es el mensaje que recibiera por parte de la herramienta, la clave de descifrado de sus archivos es personal y única, y solamente se encuentra disponible en el servidor de los ciberdelincuentes, por lo que es imposible descifrar sus archivos sin acceder a esos servidores de claves. No debe fiarse de nadie que le indique que puede recuperarlos, aunque sea una cifra desorbitada o de poco valor, porque la estará engañando. No hay solución posible para casos con un cifrado online que no sea la de pagar a los ciberdelincuentes, cosa que tampoco le asegura que vaya a recibir la clave de descifrado.
2) Existe una clave RSA privada maestra general para todos los usuarios afectados (tanto para cifrados online, como cifrados offline -aquellos que no estaban conectados a Internet en el momento del cifrado o el servidor de claves de los ciberdelincuentes no estaba activo en esos momentos), que permite descifrar los archivos de todos los casos. Aunque lo más probable es que esta clave de descifrado RSA privada maestra nunca se pueda conseguir, al menos hasta que los cuerpos de seguridad no detengan a estos ciberdelincuentes e intervengan los servidores de las claves. Esta clave RSA privada maestra, nunca la mandan los ciberdelincuentes a los que pagan, ya que digamos así que es la llave que abre todos los cifrados.
Podrían darse otras circunstancias más complejas para acceder a estas claves de descifrado online como que se encuentre un fallo en el código de alguna nueva variante que pueda servir como brecha para acceder a los servidores de las claves, pero esto es algo dificil que ocurra ya que esta gente ya lleva mucho tiempo realizando este tipo de prácticas malintencionadas.
También podría ocurrir que por problemas internos en la organización, si se sienten presionados de estar cerca de ser detenidos, o han alcanzado una cifra de dinero lo suficientemente importante como para dejar el "negocio"), decidan publicar la clave maestra. Es algo que ha ocurrido en ransomwares importantes que afectaron a millones de personas.
3) Un detalle adicional que debe tener en cuenta, es que algunos de los archivos que están cifrados, todavía son parcialmente funcionales. Por ejemplo, los archivos .MP3 son reproducibles, pero tendrán una parte (la parte cifrada) que se escuchará con ruido). Los archivos comprimidos (.ZIP o .RAR por ejemplo) también se pueden abrir y ver lo que hay en el interior de ellos, pero si por ejemplo tiene varias imagenes comprimidas en un archivo, la primera de ellas o las dos primeras no podrá visualizarlas al estar cifradas, pero el resto de imagenes sí.
En cuanto a las imagenes cifradas, hay una herramienta que en según que casos y en según qué formatos, podría recuperarlas: https://www.jpegmedic.com/tools/jpegmedic-arwe/
También hay programas de terceros, que podrían recuperar la parte no cifrada de los archivos de video. Por ejemplo: https://www.disktuna.com/tag/corrupt-videos/
Es posible también que algunos editores de video, puedan abrir los archivos de videos cifrados y poder visualizar y recuperar la parte no cifrada.
Hace unos meses, publiqué un artículo donde se explica con detalle cómo utilizar estos programas que he indicado anteriormente, para recuperar parcialmente los archivos cifrados de imagenes y videos si han sido obtenidas por usted misma desde una cámara, móvil u otro dispositivo. Debe tener en cuenta que por el momento los programas que permiten recuperar imagenes parcialmente son de pago (no muy caros), mientras que el que permite recuperar los videos parcialmente es gratuito.
También debe tener en cuenta que si en las últimas variantes de este ransomware, se ha producido alguna modificación en cuanto al proceso de cifrado, estos programas pueden no ser ya tan eficaces como lo eran hace unos meses. Todo es cuestión de probar. Por si le interesa, este es el enlace al artículo:
4) Si se produjese alguna novedad, se lo haré saber, aunque estos ciberdelincuentes, ya llevan mucho tiempo con este tipo de prácticas, y llevamos ya más de tres años con usuarios que todavía no han podido recuperar sus archivos al completo.
En el siguiente enlace perteneciente al foro de BleepingComputer, que es una web en donde se reunen los mayores expertos en ransomware, puede ir conociendo las novedades que se vayan produciendo:
STOP Ransomware (.STOP, .Puma, .Djvu, .Promo, .Drume) Help & Support Topic
Como consejo adicional, recuerde siempre el hacer copias de seguridad de sus archivos personales en varios dispositivos (discos duros externos, pendrives, dvd's o blu-rays...) y desconectarlas del equipo cuando no las esté utilizando. Es la única manera de que nuestros documentos y archivos personales importantes estén lo máximo protegidos, ya que los virus y ransomwares no son la única amenaza y un disco duro puede fallar electrónicamente o mecánicamente y estaríamos en un problema similar. La seguridad al 100% no existe en ningún ámbito de nuestra vida.
Además, debe tener en cuenta que no existe ningún programa o descifrador que vaya a lograr descifrar sus archivos. No caiga en la trampa de los programas descifradores o anti-malware fraudulentos que prometen recuperar archivos cifrados y solucionar toda clase de problemas. Se están distribuyendo descifradores de archivos fraudulentos y malintencionados, que lo que hacen es un segundo cifrado de los archivos. Si esto ocurriera, las probabilidades de recuperar sus archivos serían mínimas. La única herramienta de descifrado oficial como le indiqué anteriormente para esta familia de ransomwares es Emsisoft Decryptor for STOP Djvu.
Un saludo.