De un poco de googlear, la DECRYPT_INFORMATION parece una huella digital de Hermes Ransomware, symantec tiene una descripción técnica aquí
Según el enlace, el troyano ejecutado crea los siguientes archivos, que puede buscar para confirmar, pero definitivamente no haga clic en ese archivo Reload.exe si lo encuentra:
- % AllUsersProfile% \ Reload.exe
- % AllUsersProfile% \ shade.bat
- % AllUsersProfile% \ system_.bat
- [UBICACIÓN DE LOS ARCHIVOS CIFRADOS] \ DECRYPT_INFORMATION.html
- [UBICACIÓN DE LOS ARCHIVOS CIFRADOS] \ UNIQUE_ID_DO_NOT_REMOVE
Y crea la siguiente subclave del registro:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ allkeeper
Se dirige a archivos con una variedad de extensiones, disponibles en el enlace de Symantec, pero las recomendaciones se aplican principalmente a los administradores de red y no le ayudarán mucho.
Nota: Estoy compartiendo esta publicación en el foro de bleepingcomputer solo para obtener información, en modo alguno sugiero seguir las sugerencias allí.
De esta publicación en el foro de bleepingcomputer , parece que el troyano de Hermes puede tener algunas dificultades para atravesar directorios, por lo que podría ser menor si no empeora las cosas en su trabajo de detective.
Le sugiero que haga una copia de seguridad de la información de su computadora que no quiera perder y que abra archivos haciendo clic con el botón derecho en ellos y abriéndolos en el bloc de notas en lugar de hacer doble clic.
Si recuerdo bien, Windows tiene la desagradable característica de ocultar las extensiones de archivo y no quieres tropezar con más ejecutables en caso de que tenga más minas terrestres.