Makop: cómo recuperar tus archivos y qué hacer
Sin descifrador gratuito conocido
No existe (todavía) una herramienta pública para descifrar esta familia. No pagues el rescate sin antes consultar con especialistas.
Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.
Resumen
Makop es una familia de ransomware activa desde 2020, derivada del código base de Phobos, que cifra archivos en sistemas Windows y anexa extensiones personalizadas junto con un identificador de víctima y una dirección de correo de contacto. Al momento de esta publicación no existe un descifrador gratuito conocido públicamente para las variantes actuales de Makop. Esta guía describe cómo identificar la infección, contener el incidente, preservar evidencia y evaluar opciones realistas de recuperación.
TL;DR
- No hay descifrador gratuito conocido para Makop. Desconfía de cualquier herramienta que prometa lo contrario.
- Aísla de inmediato los equipos afectados de la red, pero no los apagues si aún puedes capturar memoria y evidencia.
- Busca notas
readme-warning.txto+README-WARNING+.txty archivos con extensiones.makop,.mkpo del patrón.[<id>].[<email>].makop. - Preserva la nota de rescate, muestras de archivos cifrados y registros antes de remediar.
- Restaura desde respaldos offline verificados; es la vía de recuperación más confiable.
- Reporta el incidente a las autoridades y considera asesoría profesional antes de cualquier contacto con los atacantes.
1. Qué es Makop
Makop es un ransomware de tipo criptográfico que apareció públicamente a inicios de 2020 y se relaciona técnicamente con la familia Phobos [1], [2]. Opera bajo un modelo en el que operadores afiliados obtienen acceso a redes, frecuentemente mediante servicios RDP expuestos, credenciales débiles o comprometidas, y phishing [2], [3]. Una vez dentro, el actor suele desactivar herramientas de seguridad, eliminar copias de sombra de volumen (Volume Shadow Copies) y ejecutar el cifrado.
Makop emplea cifrado híbrido (algoritmos simétricos para el contenido de archivos y asimétricos para proteger las claves), un esquema que hace inviable el descifrado sin la clave privada en poder de los atacantes [1]. Los operadores utilizan direcciones de correo para la negociación y, en varios casos documentados, portales alojados en la red Tor (sitios con dirección .onion, accesibles solo mediante el navegador Tor) para presionar a las víctimas con la publicación de datos exfiltrados [2].
2. Cómo identificar la infección (notas, extensiones, IOCs)
Notas de rescate. Busca archivos de texto con estos nombres en carpetas afectadas y en el escritorio:
readme-warning.txt+README-WARNING+.txt
Estas notas normalmente incluyen un identificador único de víctima y una o más direcciones de correo para contacto.
Extensiones de archivos cifrados. Makop renombra los archivos cifrados agregando:
.makop.mkp- El patrón compuesto
.[<id>].[<email>].makop, donde<id>es el identificador de la víctima y<email>la dirección de contacto del atacante.
Otros indicadores (IOCs) a revisar:
- Eliminación de copias de sombra (uso de
vssadmin delete shadowso comandos equivalentes). - Modificación masiva de archivos en un lapso corto.
- Conexiones RDP anómalas o inicios de sesión fuera de horario.
- Creación de tareas programadas o servicios inusuales para persistencia.
Nota: los identificadores y correos varían por víctima. Documenta los valores exactos que veas en tu entorno; te servirán para el análisis forense y para verificar si alguna variante específica llega a tener solución en el futuro.
3. Pasos inmediatos (contención, preservación de evidencia)
- Aísla los equipos afectados. Desconéctalos de la red (cable y Wi-Fi) y de recursos compartidos. Si es posible, segmenta en lugar de apagar, para no destruir evidencia en memoria.
- No apagues de inmediato los sistemas si tu equipo de respuesta puede capturar volcado de memoria RAM y artefactos volátiles; contienen indicadores valiosos.
- Preserva evidencia: copia la nota de rescate, al menos dos o tres muestras de archivos cifrados (junto con sus versiones originales si existen), registros de eventos de Windows, y registros de RDP/VPN.
- Deshabilita credenciales comprometidas y fuerza cambio de contraseñas, priorizando cuentas privilegiadas y de administrador de dominio.
- Identifica el vector de entrada (RDP expuesto, phishing, vulnerabilidad) para evitar reinfección.
- Revisa exfiltración de datos: analiza tráfico saliente y accesos anómalos. Makop y familias afines suelen combinar cifrado con robo de datos [2].
- Notifica a tu área legal, dirección y, cuando aplique, a las autoridades competentes.
4. Opciones de recuperación
Aviso claro y honesto: al momento de esta publicación NO existe un descifrador gratuito público para Makop. Ninguna herramienta legítima puede, hasta donde se conoce, revertir el cifrado sin la clave privada de los atacantes.
Opciones realistas, en orden de preferencia:
- Restaurar desde respaldos offline verificados. Es la vía más segura. Asegúrate de que los respaldos no estén cifrados y de haber erradicado la persistencia del atacante antes de restaurar.
- Reconstruir sistemas desde cero e importar datos limpios cuando no haya respaldo íntegro del sistema operativo.
- Conservar copias de los archivos cifrados. Si en el futuro se publica un descifrador (por decomiso de infraestructura, filtración de claves o error criptográfico), podrías recuperarlos entonces. Consulta periódicamente el proyecto No More Ransom [4].
Advertencia sobre herramientas no verificadas. Existen supuestos "descifradores universales" y servicios que prometen recuperar Makop; muchos son fraudes, adware o incluso malware adicional. No descargues ni ejecutes utilidades de origen dudoso sobre sistemas comprometidos. Verifica siempre en fuentes reconocidas como No More Ransom, CISA o proveedores de seguridad establecidos [3], [4].
Sobre pagar el rescate. Agencias como CISA y el FBI desaconsejan pagar: no garantiza la recuperación, financia a los delincuentes y puede tener implicaciones legales [3], [5]. Si consideras negociar, hazlo solo con asesoría profesional y legal.
5. Prevención y endurecimiento
- Elimina la exposición de RDP a Internet; usa VPN con MFA y restricción por IP.
- Aplica autenticación multifactor en todos los accesos remotos y cuentas privilegiadas.
- Mantén respaldos con la regla 3-2-1, al menos una copia offline o inmutable, y prueba las restauraciones.
- Parcha sistemas operativos y aplicaciones expuestas con prontitud.
- Segmenta la red y aplica el principio de menor privilegio.
- Despliega EDR y monitorea eliminación de shadow copies y comportamientos de cifrado masivo.
- Capacita al personal contra phishing y refuerza políticas de contraseñas.
Advertencias honestas (limitaciones)
Esta guía no puede garantizar la recuperación de datos. No hay descifrador gratuito conocido para Makop, y el cifrado empleado hace inviable romperlo por fuerza bruta con tecnología actual. La existencia de respaldos limpios es, en la práctica, el factor determinante entre recuperar o perder la información. Los nombres de notas, extensiones y comportamientos pueden variar entre variantes; valida siempre contra tu evidencia concreta.
Si necesitas apoyo especializado en respuesta y recuperación, puedes contactarnos: tel. (800) 649-0625 o [email protected].
Referencias
[1] Bitdefender, "Ransomware families and Phobos-derived threats," Bitdefender Labs. [En línea]. Disponible: https://www.bitdefender.com/blog/labs/
[2] SentinelOne, "Makop ransomware: analysis and behavior," SentinelOne Blog. [En línea]. Disponible: https://www.sentinelone.com/blog/
[3] Cybersecurity and Infrastructure Security Agency (CISA), "#StopRansomware Guide," CISA. [En línea]. Disponible: https://www.cisa.gov/stopransomware
[4] No More Ransom Project, "Decryption Tools." [En línea]. Disponible: https://www.nomoreransom.org/
[5] Federal Bureau of Investigation (FBI), "Ransomware guidance and resources." [En línea]. Disponible: https://www.fbi.gov/investigate/cyber