Dazx es un ransomware que pertenece a la familia Djvu/Stop Ransomware. Los analistas de SecneurX observaron que entre las familias de ransomware más destacadas en 2023, Djvu/Stop fue una de las más utilizadas por los atacantes. Según los datos de la investigación, Djvu/Stop se utilizó principalmente en ataques centrados en ciudadanos, pero también puede utilizarse contra organizaciones.
Dazx ransomware cifra archivos y agrega su extensión (.dazx) a los nombres de archivos. Además, deja el archivo _readme.txt que contiene una nota de rescate.
Después de ejecutar el ransomware Dazx, todos los archivos y carpetas se cifran y se les agrega a sus nombres una extensión .dazx. Por ejemplo, un archivo titulado Sep2019.docx aparece como Sep2019.docx.Dazx, Jan2020.docx como Jan2020.docx.Dazx, etc.
Existen alrededor de 600 variantes de STOP/DJVU. Por lo tanto, las extensiones que se agregan a los archivos cifrados son diferentes entre ellas: .veza, .vehu, .vepi, .paaa, .qeza, .qehu, .qepi, .baaa, .bgzq, .bgjs, .kaaa, y otras.
Después de que STOP/DJVU invade el sistema, descarga automáticamente varios programas que ayudan al ransomware a cifrar todos los archivos sin interrupción. Al final del cifrado, se deja un archivo de texto con instrucciones para que la víctima contacte al grupo y pague el rescate. Desafortunadamente, no hay garantía de que se puedan restaurar los archivos después de pagar el rescate.
Los ciberdelincuentes saben que muchos usuarios descargan software o material pirata y aprovechan esta circunstancia para añadir el ransomware a este tipo de descargas. Es una manera rápida y fácil de ganar dinero, porque una amplía cantidad de usuarios no realizan copias de seguridad de sus archivos personales, o bien tienen esas copias de seguridad conectadas siempre al equipo y terminan siendo también cifradas por el ransomware.
El primer paso que debería dar es eliminar el archivo que descargó y que produjo el cifrado de los archivos, también asegurarse de que no haya ningún proceso en segundo plano relacionado con el proceso de cifrado, y eliminar la Tarea Programada que las últimas variantes del ransomware incluyen para ejecutar el proceso de cifrado. Para ello puede utilizar los siguientes anti-malwares recomendados:
Emsisoft Anti-Malware Home -> anti-malware especializado en ransomwares
Ahora paso a detallarle el problema de la recuperación de los archivos que tiene cifrados y usted quiere recuperar.
Para saber si sus archivos son recuperables o no sin tener que pagar (cosa que tampoco le garantiza que vaya a a recibir la clave de descifrado), deberá conocer si sus archivos fueron cifrados por una ID Personal perteneciente a un tipo de cifrado online (archivos no recuperables) u offline (archivos recuperables).
Hay dos maneras de conocer este dato:
Opción 1) La primera es revisando el contenido del archivo C:\SystemID\PersonalID.txt.
Si la ID Personal o ID’s Personales (puede existir más de una de ellas), termina en t1, usted podría recuperar sus archivos.
De lo contrario, no podría recuperar sus archivos y tendría que esperar a que los ciberdelincuentes sean detenidos, o se disuelva la organización por algún motivo.
Si usted no dispone de este archivo C:\SystemID\PersonalID.txt., podría revisar las notas de rescate _readme.txt que el ransomware deja en las carpetas que contienen archivos cifrados y comprobar lo mismo que hicimos en el paso anterior.
Debe tener en cuenta que realmente el archivo que recopila todas las posibles ID’s Personales se encuentra en C:\SystemID\PersonalID.txt, por lo que lo ideal es no revisar las notas de rescate _readme.txt para ver si en alguna de ellas hay otra ID Personal distinta, sino ir directamente a consultar el archivo C:\SystemID\PersonalID.txt.
Opción 2) La segunda opción es utilizando la única herramienta de descifrado existente para este ransomware que es Emsisoft Decryptor for STOP Djvu: https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu
Si utiliza esta herramienta, y sus archivos tienen un cifrado de tipo online recibirá el siguiente mensaje:
Error: No key for New Variant online ID ***************************
Notice: this ID appears to be an online ID. decryption is impossible
Como entenderá la propia herramienta le indicará en ese caso, que el descifrado de los archivos es imposible de realizar. Desafortunadamente si este es el mensaje que recibiera por parte de la herramienta, la clave de descifrado de sus archivos es personal y única, y solamente se encuentra disponible en el servidor de los ciberdelincuentes, por lo que es imposible descifrar sus archivos sin acceder a esos servidores de claves.
Existe una clave RSA privada maestra general para todos los usuarios afectados (tanto para cifrados online, como cifrados offline -aquellos que no estaban conectados a Internet en el momento del cifrado o el servidor de claves de los ciberdelincuentes no estaba activo en esos momentos), que permite descifrar los archivos de todos los casos. Aunque lo más probable es que esta clave de descifrado RSA privada maestra nunca se pueda conseguir, al menos hasta que los cuerpos de seguridad no detengan a estos ciberdelincuentes e intervengan los servidores de las claves. Esta clave RSA privada maestra, nunca la mandan los ciberdelincuentes a los que pagan, ya que digamos así que es la llave que abre todos los cifrados.
Podrían darse otras circunstancias más complejas para acceder a estas claves de descifrado online como que se encuentre un fallo en el código de alguna nueva variante que pueda servir como brecha para acceder a los servidores de las claves, pero esto es algo dificil que ocurra ya que esta gente ya lleva mucho tiempo realizando este tipo de prácticas malintencionadas.
También podría ocurrir que por problemas internos en la organización, si se sienten presionados de estar cerca de ser detenidos, o han alcanzado una cifra de dinero lo suficientemente importante como para dejar el negocio), decidan publicar la clave maestra. Es algo que ha ocurrido en ransomwares importantes que afectaron a millones de personas.
Un detalle adicional que debe tener en cuenta, es que algunos de los archivos que están cifrados, todavía son parcialmente funcionales. Por ejemplo, los archivos .MP3 son reproducibles, pero tendrán una parte (la parte cifrada) que se escuchará con ruido). Los archivos comprimidos (.ZIP o .RAR por ejemplo) también se pueden abrir y ver lo que hay en el interior de ellos, pero si por ejemplo tiene varias imágenes comprimidas en un archivo, la primera de ellas o las dos primeras no podrá visualizarlas al estar cifradas, pero el resto de imágenes sí.
En cuanto a las imágenes cifradas, hay una herramienta que en según que casos y en según qué formatos, podría recuperarlas: https://www.jpegmedic.com/tools/jpegmedic-arwe/
También hay programas de terceros, que podrían recuperar la parte no cifrada de los archivos de video. Por ejemplo: https://www.disktuna.com/tag/corrupt-videos/
Es posible también que algunos editores de video, puedan abrir los archivos de videos cifrados y poder visualizar y recuperar la parte no cifrada.
Para recuperar parcialmente los archivos cifrados de imágenes y videos si han sido obtenidas por usted misma desde una cámara, móvil u otro dispositivo. Debe tener en cuenta que por el momento los programas que permiten recuperar imágenes parcialmente son de pago (no muy caros), mientras que el que permite recuperar los videos parcialmente es gratuito.
También debe tener en cuenta que si en las últimas variantes de este ransomware, se ha producido alguna modificación en cuanto al proceso de cifrado, estos programas pueden no ser ya tan eficaces como lo eran hace unos meses. Todo es cuestión de probar.
Por si le interesa, este es el enlace al artículo: Recuperación parcial (casi total) de imágenes y videos cifrados por STOP Ransomware con programas de pago (imágenes) y programa gratuito (video y audio)
Si se produjese alguna novedad, se lo haré saber, aunque estos ciberdelincuentes, ya llevan mucho tiempo con este tipo de prácticas, y llevamos ya más de dos años con usuarios que todavía no han podido recuperar sus archivos al completo.
En el siguiente enlace perteneciente al foro de BleepingComputer, que es una web en donde se reunen los mayores expertos en ransomware, puede ir conociendo las novedades que se vayan produciendo: STOP Ransomware (.STOP, .Puma, .Djvu, .Promo, .Drume) Help & Support Topic
Como consejo adicional, recuerde siempre el hacer copias de seguridad de sus archivos personales en varios dispositivos (discos duros externos, pendrives, dvd’s o blu-rays…) y desconectarlas del equipo cuando no las esté utilizando. Es la única manera de que nuestros documentos y archivos personales importantes estén lo máximo protegidos, ya que los virus y ransomwares no son la única amenaza y un disco duro puede fallar electrónicamente o mecánicamente y estaríamos en un problema similar. La seguridad al 100% no existe en ningún ámbito de nuestra vida.
Además, debe tener en cuenta que no existe ningún programa o descifrador que vaya a lograr descifrar sus archivos. No caiga en la trampa de los programas descifradores o anti-malware fraudulentos que prometen recuperar archivos cifrados y solucionar toda clase de problemas. Se están distribuyendo descifradores de archivos fraudulentos y malintencionados, que lo que hacen es un segundo cifrado de los archivos. Si esto ocurriera, las probabilidades de recuperar sus archivos serían mínimas. La única herramienta de descifrado oficial como le indiqué anteriormente para esta familia de ransomwares es Emsisoft Decryptor for STOP Djvu.
Un saludo.