Hoy, uno de mis usuarios finales que usan Windows 7 (para referencia) se infectó con una variante de ransomware que, por extraño que parezca, no parece haber cambiado las extensiones de los archivos.
¿Es esto posible? ¿Hay algún mecanismo para ocultar la extensión? Porque todos los archivos parecen ser normales en ese sentido.
Basado en los archivos .txt y .png con el mensaje para el usuario, creo que podría ser una variante de Cerber, pero no estoy seguro.
¿Es esto posible?
Por supuesto que lo es. No tiene que cambiar los nombres de archivo en absoluto. Simplemente encripta el contenido.
¿Hay un mecanismo para ocultar la extensión? Porque todos los archivos parecen ser normales en ese sentido.
Sí, podría llamarlo foo.txt.enc y luego habilitar la opción "Ocultar extensiones" en el Explorador. Pero como mencioné anteriormente, no tiene que cambiar la extensión en absoluto.
Lea otras preguntas en las etiquetas ransomware