Ransomware TXTME: un secuestrador digital que se esconde a plena vista

¿Qué es el ransomware TXTME?

Ha surgido otra incorporación a la infame familia de ransomware Dharma , llamada TXTME . TXTME sigue un patrón de funcionamiento ya conocido, pero aún peligroso: cifra los archivos en el sistema de la víctima y exige un pago a cambio del acceso. Una vez que infecta un dispositivo, el ransomware altera los nombres de todos los archivos afectados añadiendo el ID único de la víctima, una de dos direcciones de correo electrónico de contacto y la extensión ".TXTME". Por ejemplo, "photo.jpg" se convierte en algo como "photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME".

Tras el cifrado, el ransomware deja dos tipos de notas de rescate: una notificación emergente y un archivo de texto titulado TXTME.txt . Ambos mensajes informan a la víctima de que sus datos ya no son accesibles y ofrecen una "solución": enviar un correo electrónico al atacante y prepararse para pagar un rescate en Bitcoin . Las notas también advierten contra la manipulación de los archivos cifrados o el uso de herramientas de recuperación externas, amenazando con la pérdida permanente de datos si la víctima intenta tomar medidas por su cuenta.

Esto es lo que dice la nota de rescate:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Comprender los ataques de ransomware

El ransomware como TXTME es un tipo de software malicioso diseñado específicamente para secuestrar datos. Tras acceder a un sistema, cifra los archivos, impidiendo el acceso de los usuarios a su información. Las víctimas reciben instrucciones para pagar un rescate, generalmente en criptomonedas, para recibir una clave de descifrado. Sin embargo, los expertos en ciberseguridad advierten constantemente contra el pago. No hay garantía de que los delincuentes proporcionen la herramienta de descifrado, y pagar solo alimenta el ciclo de futuros ataques.

Estos ataques pueden tener graves consecuencias, especialmente para empresas o instituciones con datos confidenciales o irremplazables. El riesgo de pérdida de datos, interrupción del servicio y daños financieros es alto. Afortunadamente, la mejor defensa es la preparación: realizar copias de seguridad periódicas de los datos en ubicaciones remotas o sin conexión reduce significativamente el impacto de un ataque de ransomware.

¿Qué hace que TXTME sea diferente?

TXTME no es un simple bloqueador de archivos. Está diseñado para una mayor disrupción y persistencia. Una vez activo, desactiva el firewall del sistema y elimina las instantáneas de volumen, que Windows suele usar para la restauración del sistema y la recuperación de archivos. Esto dificulta considerablemente la recuperación de archivos sin pagar el rescate.

El malware también se asegura de permanecer en el equipo infectado copiándose en el directorio %LOCALAPPDATA% y modificando las claves del registro de Windows para iniciarse cada vez que se inicia el sistema. Incluso recopila datos de ubicación para evitar infectar sistemas en ciertas regiones, lo que sugiere que sus operadores prefieren evitar ciertos países, posiblemente para evadir consecuencias legales o el escrutinio de las autoridades de sus jurisdicciones.

Cómo se propaga TXTME

Los métodos exactos de distribución de TXTME aún se investigan, pero es probable que se propague a través de servicios expuestos del Protocolo de Escritorio Remoto (RDP). Los atacantes suelen usar técnicas de fuerza bruta para adivinar contraseñas débiles o comunes en sistemas con RDP habilitado. Una vez dentro, implementan manualmente el ransomware.

En términos más generales, el ransomware se distribuye comúnmente a través de correos electrónicos de phishing, archivos adjuntos maliciosos, actualizaciones de software falsas, sitios web comprometidos o incluido en software pirateado. También puede propagarse a través de unidades USB, instaladores infectados o vulnerabilidades en software obsoleto. El panorama de amenazas está en constante evolución, por lo que la vigilancia es esencial.

Prevención y mejores prácticas

La mejor manera de protegerse contra ransomware como TXTME es mediante una combinación de medidas de seguridad proactivas y concienciación. Empiece por desactivar RDP si no es necesario. En sistemas donde RDP es esencial, utilice contraseñas seguras y complejas y habilite la autenticación multifactor. Mantenga todo el software, los sistemas operativos y las herramientas de seguridad actualizados con los parches más recientes.

Tenga cuidado al manipular archivos adjuntos de correo electrónico o al hacer clic en enlaces, especialmente si provienen de fuentes desconocidas. Evite descargar software de sitios web no confiables o usar versiones pirateadas de programas legítimos. Estos vectores comunes son la forma en que el ransomware suele burlar las defensas.

La importancia de las copias de seguridad

Las copias de seguridad siguen siendo una de las contramedidas más eficaces contra el ransomware. Guardar copias de archivos importantes en un dispositivo independiente o en un servicio seguro en la nube puede reducir drásticamente el daño. En caso de ataque, los sistemas pueden borrarse y restaurarse sin necesidad de contactar al atacante.

Sin embargo, las copias de seguridad deben desconectarse del sistema principal cuando no se utilicen, ya que muchas cepas de ransomware también intentan encontrar y cifrar las unidades de copia de seguridad conectadas. Las copias de seguridad programadas y automáticas con un control de versiones adecuado ofrecen la mayor resiliencia.

Reflexiones finales

TXTME recuerda a todos que las amenazas de ransomware siguen evolucionando y adaptándose. Si bien sus métodos imitan a los de otras cepas de la familia Dharma, sus funciones personalizadas, como la persistencia del sistema, la desactivación del firewall y la evasión regional específica, demuestran un sofisticado nivel de planificación.

Los ciberdelincuentes buscan constantemente nuevas formas de explotar vulnerabilidades, pero mantenerse informado y mantener una buena ciberseguridad puede marcar una diferencia significativa. Al comprender cómo operan amenazas como TXTME, los usuarios y las organizaciones pueden prepararse, responder y recuperarse mejor, sin caer en la trampa de pagar un rescate digital.

En Willa
May 21, 2025
Ransomware
Spanish
May 21, 2025
Ransomware

Entradas populares

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 1 month

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 12 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 8 months

PayPal: correo electrónico fraudulento que agregó una nueva...

Hace 3 months

Omega Ad Blocker: una extensión engañosa que actúa como adware

Hace 3 months

Comprenda y mitigue la amenaza de W32.AIDetectMalware

Hace 10 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.