Hace poco me pidieron que mirara a una computadora con Windows que se comportaba de forma extraña, y encontré una nota de rescate "Sus archivos han sido cifrados" que se había dejado en varios directorios. No pude identificar ningún archivo cifrado real, excepto una copia de la nota de rescate que había sido cifrada por un ransomware diferente que dejó otra nota.
La nota de rescate estaba presente en 3 formatos: un archivo de texto plano, un archivo HTML y un acceso directo (archivo .url ) que apunta a la página web de pago.
Pude leer algunos de los archivos, pero algunos de ellos (la segunda nota del ransomware y el primer archivo HTML del ransomware) desaparecieron inmediatamente en cualquier intento de abrirlos. Entonces, System Center Endpoint Protection me notificó que los había identificado y puesto en cuarentena. Tuve que restaurarlos de la cuarentena e inhabilitar su escaneo en tiempo real para poder leerlos.
Esto me parece una acción drástica. Actuó como si la lectura de la nota causara más daño, cuando en realidad es todo lo contrario: ¡leer la nota es la única forma en la que tendrá una posibilidad distinta de cero de descifrar sus archivos!
No solo los trató como "generalmente sospechosos", sino que específicamente dijeron que eran Ransom:HTML/Tescrypt.A y Ransom:HTML/Crowti.A , por lo que tenía suficiente información para tomar una mejor decisión.
Por otra parte, evitar que las víctimas lean las notas de rescate podría verse como una regla difícil de "no negociar". Si las víctimas no pueden hacer contacto, la industria de los crypto-rescates será menos rentable, y quizás ese hecho disuadirá futuros incidentes, lo que sería un beneficio definitivo a largo plazo. En cuanto a la víctima actual , bueno, no había ninguna garantía de que el malo realmente vaya a renunciar a la clave de descifrado después de obtener el dinero ...
¿Es Shoot The Hostage una política oficial en la industria antivirus?