Buen día, una disculpa he estado tan liado en el trabajo que no he tenido ni tiempo para poder contestar aquí.
Ahora que me pude hacer un tiempo te lo relato, la infección inicio cuando descargue unos programas de un video de “YouTube” intentaba conectar un mando de Play 3 a mi PC vía Bluetooth y bueno debí buscar las versiones directamente en la pagina de los programas en lugar de descargarlos de un link del video.
La maquina la dejo encendida en la noche así que el virus tubo mínimo como 6 horas para campar a sus anchas, lo que si es que tengo muchísima información en dos discos extra, al final tengo un disco M.2 de 512GB, un disco HDD de 4TB lleno de información y otro HDD de 8TB.
Cuando despierto y me siento en la computadora, me doy cuenta que están muchos iconos con figura de candado y para mis adentros lo que hice fue maldecir.
Acto seguido quite la tapa de la maquina (y aunque se que no se debe de hacer) desconecte los cables SATA para terminar que no siguiera haciendo nada, después desconecte el cable de internet y ponerme a revisar lo que había pasado. Aún con la maquina infectada solamente navegue un poco por las carpetas que tenia en el escritorio y pues bueno todo lo que se podía encriptar lo estaba.
Ahora si después de todo este mucho texto (una disculpa es el contexto de la situación y me imagine que no estaba por demás agregarlo), inicie la desinfección con el disco de rescate del antivirus Kaspersky, lo buscaba pero después de un poco me entere o por lo que lei que este estaba descontinuado desde el 2024, aunque era un poco antiguo lo descargue y lo “instale” en un HDD (si un disco duro no una memoria USB) con las “prisas” era lo que más tenia a la mano escaneo por un par de horas y elimino 4 infecciones; como mencione antes no tengo los reportes, imagenes o Log’s de las cosas una disculpa.
Como tengo un poco de idea de las computadoras, se que una infección por Rasomware no se limita a poderse eliminar con un simple escaneo y menos de un software descontinuado hace un par de años, así que después de estar intentando correr otras instancias de live CD de otros antivirus sin poder arrancar en la maquina, compre una memoria y le instale el Hire’s boot.
En el mismo viene el antivirus Eset Online Scanner y lo puse a escanear pero tardo mas de 14 horas y para colmo por problemas en el servicio de corriente electrica de donde resido no pude ver la finalización del escaneo ni si limpio, así que no me quedo más que una vez que se restableció la electricidad inicie de nuevo el escaneo pero esta vez no marco ninguna infección.
El siguiente paso que hice fue buscar la manera de hacer una instalación de “Windows 10 LTSC” en un el disco duro que mencione antes para iniciarlo por conexión USB (Tarda un poco más de tiempo en correr, pero es muy efectivo), con eso hecho inicie windows e instale los programas (drivers, navegadores) y también Malwarebytes, en esta instalación de windows, porque no logre ni instalar, ni ejecutarlo desde la instancia de Hire’s Boot, esto tampoco encontro virus más que algunas herramientas del capitan Sparrow pero por si acaso las elimine todas (con la infección me entro la psicosis y paranoia).
Lo que siguió fue escanear con RougeKiller, también detecto algunas cosas más pero todas herramientas que no se eliminarón si no que se fuerón a curentena supongo, por si acaso las volvi a eliminar, ya con esto sentí que estaba suficientemente “limpia” la computadora como para arrancar el disco donde estaba la infección.
Y lo mismo a iniciar de nuevo con los escaneos con las mismas herramientas, pero ahora desde el disco infectado para asegurar que no se quedara nada raro arrancando.
Después de un par de dias escaneando el sistema me doy cuenta de que no tengo acceso de administrador y que estoy restringido en algunas acciones, así que me toca instalar de nuevo el Hire’s Boot en la USB y con las herramientas que trae preinstaladas iniciar a revisar los Usuarios y que nivel de acceso tienen, encontre que había uno que no reconocía, así que lo puse en pausa y quite la contraseña de todos los demás usuarios, aún así no pude recuperar el nivel de administrador y hay fue cuando comencé a meterme con cosas de permisos de usuarios y listas de acciones, porque tenia hasta desaparecido el botón de apagar el sistema del menú principal de Windows.
Así fue cuando revisando cuestiones en internet me di cuenta de que necesitaba editar unas opciones directamente en el registro de Windows y hay fue cuando por una mala movida termine borrando una clave que no debía y la instalación quedo completamente inaccesible.
Ya resignado a que me había ganado la partida la infección, hice una USB para reinstalar windows limpio en el disco duro principal de la computadora (el M.2), ya después de instalado y configurado el Windows limpio, y reinstalados el antivirus (que tengo una licencia de Kaspersky Plus), actualizado y reforzado (aunque se que no se debe hacer) con Malwarebytes de prueba, volví a conectar los otros dos discos y a iniciar el recuento de los daños en esas unidades.
También esta por demás decir que los escaneos con esos antivirus no arrojarón nada fuera de las herramientas que mencione antes en respaldos viejos que tenia en los discos que volví a conectar.
Así termina esta historia anécdota.
Un par de días después investigando (más bien preguntando a una IA) me dio esta información.
Este patrón de ransomware (uso de qTOX + Jabber en exploit.im) se asocia con varios grupos modernos sofisticados, pero no encontré un descifrador público disponible. Esto sugiere que es:
- Un ransomware relativamente nuevo o poco documentado
- Posiblemente de un grupo pequeño pero técnicamente capaz
- O una variante de un ransomware conocido con cambios menores
Así que estoy jodido hasta que se encuentre más información y una posible forma de des-encriptar la información.
Eso es lo que puedo aportar, lastima que no espere un poco más de tiempo hubiera sido interesante (ya después de la resignación) el como atacar esa infección para ver paso a paso y aprender un poco más de este mundo de las computadoras que me facina.
Quedo a la espera de cualquier comentario, retroalimentación y/o critica que pueda recibir.
Desde el vamos, muchas gracias por apoyar con este web.