Tengo una nota en mi máquina que indica que mi máquina tiene ransomware. He hecho una restauración del sistema de mi máquina varias semanas atrás, y cada vez que los archivos siguen regresando. Mis archivos NO están encriptados, pero aún recibo la nota.
¿Alguna sugerencia sobre cómo podría encontrar la causa de esta nota?
Antes de restaurar el sistema, asegúrese de eliminar esas notas, luego puede habilitar la Auditoría para rastrear los cambios de archivos en las carpetas en las que ve los archivos recreados (abra la carpeta Propiedades- > Seguridad- > Avanzadas- & gt ;Revisión de cuentas). Todos los cambios serán reportados en el registro de seguridad. Le proporcionarán más información sobre el proceso que crea esos archivos.
Hay posibilidades de que encuentre el proceso malicioso en la información de registro. También existe la posibilidad de encontrar un proceso intermediario en su lugar (por ejemplo, un cmd.exe que ejecuta un script que copia los archivos). En este caso, sería mejor también habilitar la Auditoría de seguimiento de procesos (esto se realiza desde la Política de seguridad local / grupal) antes de que se vuelvan a crear esos archivos (por ejemplo, después de la restauración del sistema, arrancar en modo seguro y habilitar la auditoría), sin embargo esto no está garantizado para funcionar en todos los casos, ya que depende de cómo se ejecute el malware cuando se inicie el sistema.
Por último, pero no menos importante, es posible que deba considerar el escenario en el que la instantánea del sistema que intenta restaurar podría estar ya infectada.
Lea otras preguntas en las etiquetas ransomware