En mi computadora hay muchos archivos html con títulos DECRYPT_INFORMATION. Los he escaneado con AVG y dice que no son una amenaza, pero sospecho. No sé html, así que cuando los abro en el bloc de notas no lo entiendo. Mi pregunta es: ¿es algo de lo que debería preocuparme?
De un poco de googlear, la DECRYPT_INFORMATION parece una huella digital de Hermes Ransomware, symantec tiene una descripción técnica aquí
Según el enlace, el troyano ejecutado crea los siguientes archivos, que puede buscar para confirmar, pero definitivamente no haga clic en ese archivo Reload.exe si lo encuentra:
- % AllUsersProfile% \ Reload.exe
- % AllUsersProfile% \ shade.bat
- % AllUsersProfile% \ system_.bat
- [UBICACIÓN DE LOS ARCHIVOS CIFRADOS] \ DECRYPT_INFORMATION.html
- [UBICACIÓN DE LOS ARCHIVOS CIFRADOS] \ UNIQUE_ID_DO_NOT_REMOVE
Y crea la siguiente subclave del registro:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ allkeeper
Se dirige a archivos con una variedad de extensiones, disponibles en el enlace de Symantec, pero las recomendaciones se aplican principalmente a los administradores de red y no le ayudarán mucho.
Nota: Estoy compartiendo esta publicación en el foro de bleepingcomputer solo para obtener información, en modo alguno sugiero seguir las sugerencias allí.
De esta publicación en el foro de bleepingcomputer , parece que el troyano de Hermes puede tener algunas dificultades para atravesar directorios, por lo que podría ser menor si no empeora las cosas en su trabajo de detective.
Le sugiero que haga una copia de seguridad de la información de su computadora que no quiera perder y que abra archivos haciendo clic con el botón derecho en ellos y abriéndolos en el bloc de notas en lugar de hacer doble clic.
Si recuerdo bien, Windows tiene la desagradable característica de ocultar las extensiones de archivo y no quieres tropezar con más ejecutables en caso de que tenga más minas terrestres.
Lamentablemente, esto se parece mucho a los archivos creados por ransomware, que contienen instrucciones sobre cómo descifrar los archivos después de que el ransomware los haya cifrado.
¿Puede acceder a sus archivos normales (por ejemplo, archivos en la carpeta Documentos)?
Además: ¿son estos archivos nuevos? (¿Cuándo dice que fueron creados?) ¿Podría compartir el contenido de estos archivos?
Lea otras preguntas en las etiquetas ransomware virus