Un ransomware bloqueó mi sistema operativo en C. ¿Están las otras unidades en riesgo?

Como se explica en los comentarios, su problema no se parece en nada al ransomware.

Pero si fuera ransomware, no puede saber si los archivos en otras unidades están guardados. Existen innumerables tipos diferentes de ransomware que tienen diferentes estrategias para encontrar archivos que valga la pena cifrar. Algunos pueden buscar archivos en todas las unidades disponibles, otros pueden concentrarse solo en ubicaciones conocidas como C:\Users\ . Pero generalmente debe asumir que cualquier volumen de almacenamiento en el que el sistema tenga permisos de escritura es un objetivo potencial.

Ver que los archivos aún están en los directorios no significa necesariamente que no estén cifrados. Es posible que el ransomware codifique los archivos sin cambiarles el nombre. Usted dice que puede "hacer operaciones" en ellos, pero no de qué tipo de "operaciones" está hablando. A menos que una de estas "operaciones" sea abrirlas con una aplicación de visor y mirar su contenido, no puede estar seguro de que el archivo no esté dañado.

Es ciertamente posible que el ransomware haya tenido una acción de propagación similar a un virus autorreplicante, y podría haber dejado caer los caballos de Troya en cualquier unidad montada cuando el ransomware atacó. Consideraría poner en cuarentena todas las unidades a las que tuvo acceso la máquina infectada, al menos hasta que sepa que el problema ha sido contenido. Esto incluiría recursos compartidos de red.

Para ser más seguro en sus esfuerzos de recuperación, cree una máquina virtual que no tenga acceso a la red y realice sus esfuerzos de recuperación en las copias de los discos afectados. Algunos ransomware que he visto en el mundo salvaje están escritos en .Net y, en teoría, podrían atacar archivos en una caja de Linux si se ejecutan bajo Mono.

En primer lugar, ¿su sistema está pidiendo un rescate?

El ransomware es un "crimen de negocios", es decir, su propósito es ganar dinero.

Para hacerlo con eficacia, ellos (los delincuentes) deben hacer 3 cosas.

Primero. Necesitan mantener algo de tu valor como rehén.

Segundo. Necesitan pedir dinero.

Tercero. Deben decirle cómo obtener el dinero que está solicitando.

Por lo que describe, no parece cumplir ningún criterio de ransomeware.

Parece que su instalación de Windows puede estar dañada o puede que tenga un virus de ejecución más amplio.

Ransomeware actúa al escanear TODO su sistema en busca de archivos de destino y luego encripta aquellos archivos que se enfocan en cosas que los delincuentes de rescate creen que usted consideraría que vale la pena pagar para regresar. Las primeras versiones escanearían y cifrarían archivos en cada letra de unidad. Las versiones más recientes exploran las redes locales en busca de recursos compartidos UNC con permisos de escritura.

El archivo que se considera que vale la pena rescatar es, por lo general, archivos de documentos, archivos de Excel, archivos de imágenes, etc. Hace un tiempo atrás, encontré un Ransomware que ingeniosamente usaba algún tipo de extensión de sistema 'se abre con MS Word' para apuntar a cualquier ventana que se abra Microsoft Word. Los propietarios de ese sistema cambiaron la asociación de archivos para archivos DOC a otro programa, pero el archivo DOCX todavía estaba asociado con MSWORD y se cifró.

Cifrar posiblemente cientos o miles de archivos potencialmente grandes requiere recursos significativos del sistema y los recursos de respuesta por lo general intentan no dañar los archivos del sistema, ya que podrían afectar los recursos del sistema o la rapidez con la que pueden cifrar o descifrar esos archivos en primer lugar.

Una vez que las pocas cuentas de noticias de ransomware no devuelven archivos después de que se pagan los rescates, la gente deja de pagarlos y los criminales dejan de ganar dinero.

Todas las circunstancias tienen variaciones, pero su situación no suena como un ransomware.

Diría que si no enciende su sistema operativo Windows, el riesgo para otras unidades y particiones es mínimo. Sin embargo, estoy de acuerdo con la idea de que esto no parece ser un ransomware, ya que le faltan varios rasgos clave, como pedirle dinero / artículos de valor. Si fuera a extraer los datos de la unidad, eliminaría la unidad física, la insertaría en otra PC y la abriría en una máquina virtual para copiarla en una unidad de copia de seguridad o flash.