El virus CDXX, una variante de la familia de ransomware STOP/Djvu, es conocido por su amplia distribución. Este malware se dirige a PC con Windows, cifrar archivos en formato CDXX y agregar una nota de rescate (Léame.txt) a cada carpeta que contiene archivos cifrados. Sus sofisticadas técnicas de cifrado dificultan la recuperación de archivos por medios convencionales., convirtiéndola en una de las amenazas más formidables en el panorama de la ciberseguridad.
en esta publicación, Le explicaré lo que sucedió y le mostraré cómo eliminar el malware CDXX de su computadora.. Además, Verá varias formas de recuperación de archivos después del ataque de ransomware.
¿Qué es el virus CDXX??
CDXX ransomware es un software malicioso que apunta a los archivos del usuario y lo cifra con un cifrado fuerte (salsa20), desactiva las herramientas antivirus, y elimina las copias de seguridad. Cada archivo – Documento de Word, tabla de excel, o foto – recibirá una extensión de archivo CDXX. Por eso, el archivo “foto.jpg” se convertirá en “foto.jpg.cdxx”. Entonces, genera una nota de rescate llamada _léame.txt y lo agrega a cada carpeta con archivos cifrados en su escritorio. En esa nota, Verá el mensaje sobre un evento malicioso y las instrucciones para el pago del rescate.. Se parece a esto:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-iVcrVFVRqu
Price of private key and decrypt software is $9999.
Discount 50% available if you contact us first 72 hours, that's price for you is $4999.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
support@freshingmail.top
Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc
Your personal ID:
ransomware CDXX comparte los mismos hábitos con la mayoría de otros ejemplos de ransomware STOP/Djvu. Esta familia apareció en 2018 y contabilizado encima 70% de todos los ataques de ransomware en individuos. Es un creador de tendencias en su industria y tiene un montón de características que son típicas de cualquier otro grupo de ransomware que ataca a usuarios individuales. Suma de rescate, forma de notificación, Precauciones tomadas para evitar el uso de copias de seguridad. – todas estas cosas ahora son iguales en todas partes. Pero inicialmente aparecieron gracias al ransomware Djvu..
¿Cómo obtuve el malware CDXX??
La gran mayoría del malware que ataca a usuarios individuales opta por las mismas tácticas de propagación.. DETENER/Djvu ransomware, particularmente la variante CDXX, no es una exclusión. Las formas más comunes de propagación son diferentes cracks de software., programas sin licencia, y herramientas dudosas de Internet. En particular, aplican la táctica de crear un sitio de un solo uso donde se publican cosas actualmente populares. Nuevas películas de Marvel, nuevos juegos, o herramientas para Windows 11 activación – la base para tal muñeco aparece diariamente. Las técnicas de búsqueda de spam mejoran los resultados de búsqueda de esta página, haciéndolo el más popular en las solicitudes relacionadas. Un enlace para descarga directa o torrent contiene la carga útil en el mismo sitio.
Los ciberdelincuentes que distribuyen este ransomware inyectan inicialmente el malware de descarga, que actúa como precursor de más malware. Él desactiva los mecanismos de seguridad que potencialmente puede detener el ransomware o dificultar la infección del sistema. Deshabilitar el defensor de Windows, aplicar ciertos cambios de red, y ajustar las Políticas del Grupo. La última acción se realiza para restringir la ejecución de los archivos de instalación de los programas., generalmente – soluciones antivirus.
Proceso de cifrado del virus CDXX
El ransomware continúa cambiando el sistema después de haber sido inyectado con el descargador.. En particular, CDXX ransomware desactiva los métodos de copia de seguridad más populares (Instantáneas de volumen y copias de seguridad de OneDrive). Bloquea el acceso a determinados sitios web donde la víctima puede encontrar la solución. Después, ransomware inicia el proceso de cifrado. Según el código de muestras STOP/Djvu filtradas, realiza el cifrado de manera paso a paso. Primero, ransomware escanea las carpetas de su disco. Si detecta los archivos que puede cifrar, se conecta al servidor, pide la clave de cifrado, y comienza el cifrado. Cuando el proceso termine, vuelve al proceso de escaneo.
El mecanismo de cifrado utilizado por el ransomware CDXX es AES-256. Muchas tecnologías de seguridad optan por ese estándar.. Por ejemplo, su tráfico se cifra con ese cifrado cuando se conecta al sitio web a través de una conexión HTTPS. no es el mas fuerte, pero no puedes descifrarlo en computadoras modernas. Con cifrado de extremo a extremo en la etapa de conexión al servidor utilizado por este ransomware, es imposible interceptar la clave de descifrado. Sin embargo, eso no significa que no puedas recuperar tus archivos.
CDXX ransomware finaliza la última parte del cifrado. Aplica varias acciones más para proporcionar una mayor persistencia.. El archivo ejecutable original se está clonando en un directorio alejado de los típicos elegido por malware. Directorios temporales o ProgramFiles son controlados incluso por los antivirus más simples, entonces el ransomware coloca sus archivos en lugares más profundos y menos familiares.
Cómo eliminar CDXX y protegerse del ransomware?
El ransomware es uno de los tipos de malware más sofisticados. Es dificil de detectar, y el proceso de eliminación debe realizarse con la máxima diligencia. El virus CDXX es conocido por bloquear el lanzamiento de archivos ejecutables de programas de seguridad. Este bloqueo no es proactivo y se basa en los cambios que realiza antes del cifrado.. Por eso, debes sortear esta barrera y arreglarla después de que se elimine el ransomware. Y es vital eliminar el virus antes de realizar cualquier otra acción. – de lo contrario, ransomware revertirá sus cambios.
El mejor software de eliminación de malware para este propósito es Loaris Trojan Remover.. Esta aplicación puede eliminar la amenaza de ransomware de su PC y reparar el sistema después del ataque.. Tiene un mecanismo de escaneo avanzado que consta de tres módulos diferentes que pueden detectar ransomware en cualquier forma.. Además, Podrás comprobar todos los lugares sospechosos. con la función de escaneo personalizado – escaneará el directorio designado en solo un minuto.
Es importante mencionar que para evitar el ransomware que bloquea el inicio de los archivos ejecutivos es necesario iniciar en modo seguro con funciones de red. Puede descargar el instalador antes o después de iniciar – eso no importará en absoluto.
Para iniciar su PC en modo seguro, debes abrir el panel de Solución de problemas. Presione Win → Encendido, y luego haga clic en el botón Reiniciar mientras mantiene presionada la tecla Shift. Después, Verá la pantalla de solución de problemas.. Ir a Configuración de inicio → Windows 10 Modo seguro con funciones de red. Presione Enter y espere hasta que su sistema se esté cargando.
Modo seguro en Windows supone que el sistema se carga sin ciertos módulos, En particular – los programas de inicio y una parte de las Políticas del Grupo. Este modo es conveniente para la eliminación de malware ya que evita el inicio de programas que no figuran como sistemas y soluciona la mayoría de las restricciones implementadas por el malware..
Eliminar ransomware con Loaris Trojan Remover
Cuando su PC arranca en modo seguro, inicie el archivo de instalación de Loaris y espere hasta que el programa esté instalado. puede tomar varios minutos. Después, el programa te ofrecerá para activar una prueba gratuita. Se recomienda esta acción ya que le permite utilizar la funcionalidad completa de Trojan Remover.. Simplemente ingrese su dirección de correo electrónico y reciba un código de prueba gratuito.
Cuando se activa la prueba, iniciar el escaneo completo. puede durar para 20-30 minutos, así que ten paciencia. Puede utilizar su computadora durante esta operación sin restricciones.
Después del escaneo, Verás la lista de amenazas detectadas.. Por defecto, el programa designa acciones adecuadas para cada detección. En particular, para el virus CDXX, es una eliminacion. Sin embargo, Puede administrar estas acciones haciendo clic en la etiqueta en el lado derecho de la detección si cree que algunos elementos detectados pueden necesitar una acción diferente..
Cómo descifrar archivos CDXX?
Eso es no hay mucho que puedas hacer con los archivos cifrados por CDXX ransomware si todo se hace correctamente. Este malware supone el uso de dos tipos de claves – en línea y fuera de línea. El primero es el principal., y se utiliza en la mayoría de los casos.. Consiste en 256 símbolos y es único para cada víctima.. virus CDXX lo recibe del servidor de comando cada vez que intenta cifrar otra carpeta en el sistema de archivos. Sin embargo, cuando no se puede conectar al servidor – porque está caído o hay problemas de conectividad – los archivos se cifran con una clave fuera de línea. La clave fuera de línea siempre es única para cada variante., para que todas las víctimas cuyos archivos fueron cifrados con la clave fuera de línea puedan guardarse.
Emsisoft ofrece una herramienta para descifrar los archivos tras el ataque STOP/Djvu. El equipo de desarrolladores recopila las claves en línea y fuera de línea filtradas. Es 100% libre de usar ya que la empresa realiza esta acción de forma voluntaria.
Descifre sus archivos con Emsisoft Decryptor para STOP Djvu
Descargar e instalar Emsisoft Decryptor para DETENER Djvu desde el sitio web del desarrollador. Entonces, abra la aplicación y realice alguna configuración primaria. Debe especificar las carpetas donde se almacenan los archivos cifrados.. Entonces, Puedes presionar "Descifrar" y observar los resultados..
Durante el proceso de descifrado, Puedes ver ciertos mensajes del programa.. Echemos un vistazo:
-
☞ No se pudo resolver el nombre remoto
Ese mensaje representa el error al resolver los servidores de Emsisoft.’ DNS. Ya que el programa no trae la base de datos de claves y la recibe de la nube, necesita una conexión a Internet estable. En caso de este error, intentar restablecer su archivo HOSTS e intenta de nuevo.
-
☞ Sin clave para la identificación en línea de nueva variante: [tu identificación]
Aviso: Esta es una identificación en línea. El descifrado es imposible.
El peor de los casos – Tienes tus archivos cifrados con la clave online.. Es único para cada víctima.. Por lo tanto, no puede descifrar los archivos con la herramienta Emsisoft..
-
☞ No hay clave para la ID sin conexión de nueva variante: [ID de ejemplo]
Este ID parece ser un ID sin conexión. Por lo tanto, el descifrado puede ser posible en el futuro.
La nota a pie de página de este mensaje explica muchas cosas.. Tienes suerte porque tus archivos fueron cifrados con una identificación fuera de línea., pero aún no se ha filtrado ninguna clave para su caso. Ten paciencia y espera.. La clave puede aparecer en varias semanas..
-
☞Error: No se puede descifrar el archivo con ID: [tu identificación]
Ese mensaje significa que el programa Emsisoft no pudo encontrar la clave correspondiente a su caso.. Aún, esa no es la peor situación – todavía puede aparecer en el futuro.
Recupere sus archivos con herramientas de recuperación de archivos
El descifrador que describí anteriormente no es la única opción para recuperar los archivos. Debido al algoritmo específico aplicado por el ransomware durante el proceso de cifrado, , es posible recuperarse los archivos con herramientas de recuperación de archivos. Recomendaré PhoroRec como una solución gratuita y eficaz..
DETENER/Djvu ransomware no cifra el archivo exacto. Copia el documento original., lo cifra, luego elimina el original y lo sustituye por una copia cifrada. Mientras tanto, Las técnicas de almacenamiento de archivos permiten recuperar los archivos eliminados del disco.. Eliminar los archivos del sistema operativo generalmente significa eliminar la información sobre la ubicación del archivo en el disco del sistema de archivos.. Al mismo tiempo, el disco aún conserva el residuo del archivo – hasta que el área correspondiente no se llene con la otra, validado por el sistema de archivos.
PhotoRec es una herramienta que busca estas partes residuales del archivo y las recupera. Puede desenterrar el resto de los archivos que haya eliminado anteriormente., pero es mucho mejor recuperar sus datos importantes y eliminar los archivos excesivos. Veamos cómo usarlo correctamente..
Usando PhotoRec para recuperar archivos .CDXX
Descargar FotoRec desde el sitio web oficial. Es gratuito y se difunde junto con la otra herramienta de este desarrollador. – Disco de prueba. ya que es portatil, no necesitas instalarlo – justo descomprimir el archivo descargado y abre la carpeta. En eso, busque el archivo qphotorec_win.exe y ejecútelo.
En el programa, debe configurar antes de cada escaneo de disco. Primero, elija el disco o la partición que desea escanear en el menú desplegable en la parte superior de la ventana. Entonces, debe especificar la carpeta para los archivos recuperados. Se recomienda volcar todos los archivos recuperados en una unidad flash USB.. Finalmente, debe especificar los formatos de archivo que desea recuperar. PhotoRec se recupera encima 400 diferentes formatos, pero optar por todos aumentará significativamente el tiempo de escaneo. Se recomienda suscribirse solo para los tipos de archivos que necesita.
Preguntas frecuentes
🤔Cómo descifrar la identificación del ransomware en línea?
Desafortunadamente, no hay forma de descifrar la identificación en línea de forma habitual. El cifrado que utiliza el ransomware CDXX es demasiado duro; descifrarlo con computadoras modernas llevará millones de años. La forma más prometedora de recuperar sus archivos en el caso de la identificación en línea es utilizar herramientas de recuperación de archivos., como se muestra arriba.
🤔¿Debo pagar por el ransomware??
Puede parecer una solución obvia, pero es una mala idea. Primero, pagando el rescate, automáticamente patrocinas a los delincuentes, su actividad, y el electrodoméstico por el dinero que recibirán (generalmente la actividad ilegal similar). El otro problema es que los operadores de ransomware no siempre son honestos y pueden pedirle que pague una vez más para obtener la clave de descifrado.. Desde el punto de vista jurídico, estas claro, pero hay suficientes principios morales para abrirse paso.
🤔Cómo protegerse del ransomware?
El ransomware es un malware enormemente dudoso, métodos tan preventivos, así como formas de revertir el ataque, debe aplicarse también. La mayoría de los ataques ocurren a través de sitios falsos, donde se difunden programas pirateados o camrips de películas. En algunos casos raros, Los delincuentes difunden su ransomware ofreciendo archivos maliciosos en varios foros o chats.. Cortar estas fuentes, es decir., evitando estos archivos, es la mejor manera de disminuir el peligro del ransomware en órdenes de magnitud.
Hacer frente a las consecuencias del ataque de ransomware también debe ser un motivo de preocupación. Hacer una copia de seguridad de sus datos con regularidad resolverá el problema de accesibilidad a los datos después del ataque.. El uso del software especial que sincronizará sus datos con el almacenamiento en la nube después de cada día laboral reducirá el retraso de la copia de seguridad.. Mientras tanto, los métodos de copia de seguridad estándar, como OneDrive o instantáneas de volumen, son ineficaces ya que el ransomware los desactiva incluso antes del cifrado.
🤔¿Loaris puede descifrar archivos CDXX??
Loaris Trojan Remover sólo es capaz de eliminar el ransomware CDXX y reparar su PC después del ataque. No es una herramienta de descifrado y no tiene ninguna capacidad para revertir el proceso de cifrado.. Para intentar descifrar los archivos, utilice la herramienta de descifrado ofrecida.
🤔 ¿Son peligrosos los archivos CDXX??
Son los mismos que los archivos que solías ver en tu disco.. Lo único que cambió el ransomware es el cifrado del encabezado del archivo., que contiene la información clave para que el sistema de archivos lo reconozca y lea. En general, no estan infectados, como en el caso de un ataque de virus informático – acaban de recibir una alteración maliciosa. Puede guardarlos en su disco sin preocuparse por la seguridad de su PC..