Estimados, por favor ojalá puedan ayudarme, todos los archivos que tengo, como proyectos parece fueron infectados y aparecen con esta extensión “.promorad2”. Tengo varios proyectos y videos de Premiere que están en riesgo pues no puedo abrirlos, la mayoría se ubican en red en discos NAS.
Espero su ayuda. Gracias.
¡Hola, @Walter!
Al parecer tus archivos fueron cifrados por un Ransomware 
.
Puedes subir un archivo encriptado y la nota de rescate a esta página ID-Ransomware para verificar si existe alguna manera de desencriptar tus archivos. El rango de éxito es mínimo, pero no pierdes nada en ver si existe una herramienta gratuita.
Un saludo, 
Gracias por responder, donde puedo encontrar esa nota, cómo la identifico?
Por lo general es un archivo con extensión .TXT con el nombre de Read me.TXT o similar.
Por favor, consulte la guía apropiada para obtener más información.
Identificado por
Al parecer existe una posibilidad de recuperar tu información 
. Como lo indica la página, sigue todos los pasos que te indica dicha página para intentar recuperar toda tu información.
También es importante que realices una limpieza previa para evitar problemas. Puedes seguir los tutoriales o las guías que tiene esta página para hacerlo.
sigo esos pasos?, en la página que me direccionó no detallan algún procedimiento.
Consulta, al parecer solo ha infectado los discos NAS en red, los locales no están infectados, corro el escaneo en los NAS?. gracias.
Si, de preferencia en todo el entorno.
estimado, analicé el equipo y esto fue lo detectado:
> Malwarebytes
> www.malwarebytes.com
>
> -Detalles del registro-
> Fecha del análisis: 9/3/19
> Hora del análisis: 11:08
> Archivo de registro: 859b219c-4285-11e9-9fc4-00ff048ccd5e.json
>
> -Información del software-
> Versión: 3.7.1.2839
> Versión de los componentes: 1.0.538
> Versión del paquete de actualización: 1.0.9594
> Licencia: Prueba
>
> -Información del sistema-
> SO: Windows 8.1
> CPU: x64
> Sistema de archivos: NTFS
> Usuario: PCLAB05\BSGRUPO
>
> -Resumen del análisis-
> Tipo de análisis: Análisis de amenazas
> Análisis iniciado por:: Manual
> Resultado: Completado
> Objetos analizados: 552269
> Amenazas detectadas: 55
> Amenazas en cuarentena: 0
> Tiempo transcurrido: 21 min, 19 seg
>
> -Opciones de análisis-
> Memoria: Activado
> Inicio: Activado
> Sistema de archivos: Activado
> Archivo: Activado
> Rootkits: Desactivado
> Heurística: Activado
> PUP: Detectar
> PUM: Detectar
>
> -Detalles del análisis-
> Proceso: 0
> (No hay elementos maliciosos detectados)
>
> Módulo: 0
> (No hay elementos maliciosos detectados)
>
> Clave del registro: 1
> RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Sin acciones por parte del usuario, [3928], [352776],1.0.9594
>
> Valor del registro: 0
> (No hay elementos maliciosos detectados)
>
> Datos del registro: 4
> PUM.Optional.ForceActiveDesktopOn, HKU\S-1-5-21-3732241086-2803776452-2127528396-1480\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|FORCEACTIVEDESKTOPON, Sin acciones por parte del usuario, [13135], [293327],1.0.9594
> PUM.Optional.ForceActiveDesktopOn, HKU\S-1-5-21-3732241086-2803776452-2127528396-1680\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|FORCEACTIVEDESKTOPON, Sin acciones por parte del usuario, [13135], [293327],1.0.9594
> PUM.Optional.ForceActiveDesktopOn, HKU\S-1-5-21-3732241086-2803776452-2127528396-1934\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|FORCEACTIVEDESKTOPON, Sin acciones por parte del usuario, [13135], [293327],1.0.9594
> PUM.Optional.ForceActiveDesktopOn, HKU\S-1-5-21-3732241086-2803776452-2127528396-1837\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|FORCEACTIVEDESKTOPON, Sin acciones por parte del usuario, [13135], [293327],1.0.9594
>
> Secuencia de datos: 0
> (No hay elementos maliciosos detectados)
>
> Carpeta: 0
> (No hay elementos maliciosos detectados)
>
> Archivo: 50
> Generic.Malware/Suspicious, C:\USERS\BSGRUPO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Pc Backup.lnk, Sin acciones por parte del usuario, [0], [392686],1.0.9594
> Generic.Malware/Suspicious, C:\PROGRAMDATA\WGBACKUP\WGBACKUP.EXE, Sin acciones por parte del usuario, [0], [392686],1.0.9594
> Trojan.BitCoinMiner, C:\PROGRAM FILES\ADOBE\ADOBE ANTICLOUD CC 2018.EXE, Sin acciones por parte del usuario, [594], [447463],1.0.9594
> HackTool.Cain, C:\PROGRAM FILES (X86)\CAIN\ABEL.EXE, Sin acciones por parte del usuario, [9039], [29604],1.0.9594
> HackTool.Cain, C:\PROGRAM FILES (X86)\CAIN\ABEL64.EXE, Sin acciones por parte del usuario, [9039], [29604],1.0.9594
> PUP.Optional.PasswordTool.Cain, C:\USERS\BSGRUPO\DESKTOP\Cain.lnk, Sin acciones por parte del usuario, [14793], [299928],1.0.9594
> PUP.Optional.PasswordTool.Cain, C:\PROGRAM FILES (X86)\CAIN\CAIN.EXE, Sin acciones por parte del usuario, [14793], [299928],1.0.9594
> RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE, Sin acciones por parte del usuario, [3928], [352776],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 2\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 2\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 2\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 2\Web Data, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 3\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 3\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 3\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 3\Web Data, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.RocketFind, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 4\Secure Preferences, Sin acciones por parte del usuario, [334], [455279],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 4\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 4\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 5\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 5\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 5\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 5\Web Data, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 6\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 4\Secure Preferences, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 4\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 6\Secure Preferences, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 6\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 2\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Web Data, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 2\Secure Preferences, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 3\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 2\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 3\Secure Preferences, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 3\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.RocketFind, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 4\Web Data, Sin acciones por parte del usuario, [334], [455279],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 5\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 6\Secure Preferences, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 5\Secure Preferences, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 5\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 6\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> Adware.Elex.ShrtCln, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 6\Web Data, Sin acciones por parte del usuario, [270], [454721],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Secure Preferences, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
> PUP.Optional.RocketFind, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 4\Web Data, Sin acciones por parte del usuario, [334], [455279],1.0.9594
> PUP.Optional.Iminent, C:\USERS\ALUMNO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 6\Web Data, Sin acciones por parte del usuario, [96], [455248],1.0.9594
>
> Sector físico: 0
> (No hay elementos maliciosos detectados)
>
> WMI: 0
> (No hay elementos maliciosos detectados)
>
>
> (end)
estimado, que otra herramienta puedo usar para desencriptar mis archivos?, ya pasé el malwarebytes pero no desencripta. Por otro lado no me permite realizar un escaneo personalizado para escanear las carpetas en red.
El programa es para eliminar la presencia de esa infección, no para desencriptar. Si la página te mandó el mensaje anterior, debes de seguir los pasos indicados para poder reutilizar tus archivos.
Estimado, es posible analizar unidades de red?,
Hasta donde yo sé, tienes que ser físicamente, pero si algunos de los del Staff nos ayuda con esa duda, mejor.
Por cierto, ¿por qué no pusiste los archivos en cuarentena? 
Sería bueno que alguien del staff pueda ayudar. Si puse en cuarentena los archivos que encontró detectados en la PC. Al parecer es solo el NAS el que tiene ese problema.
En el registro marca que no se puso ningún archivo en cuarentena. De todos modos, si lo hiciste, bien, aunque la infección está en el NAS.
Hola chicos y permiso:
Deberias subir nuevamente los archivos a la pagina y cuando te de el resultado nos pegas el enlace. Para ver si hay algun otro dato.
Ten en cuenta que si esa red es compartida pueden infectarse otros. Es una empresa? No tienen backup?
Veamos si @Marcelo puede aclararte mas sobre el tema.
Mientras tanto revise el enlace de este post, alli mencionan un desencriptador.
Salu2
Si es empresa, no hay backup de todo. Si revisé lo del desencriptador pero no funciona para este tipo de ransomware. Necesitaría saber como puedo desinfectar los NAS, para que no se siga extendiendo ya que con el malwarebytes no hay opción para analizarlo.
Estimados, por favor si pudieran recomendarme el mejor antivirus para mi empresa, para no verme afectado por este tipo de amenazas?. Me sugirieron el ESET Endpoint Protection Standard o el Advance, sería el ideal o me recomendarían otras marcas?.
Gracias de antemano.
Hola @Walter
Eset siempre es una excelente opción, por supuesto pagando por la licencia.
Pero lo que es imprescindible es tener al menos un servidor de copias de seguridad en modo offline.
En cuanto a los archivos encriptados si son de suma importancia, puedes guárdalos esperando que salga algún desencriptador para tu versión de Rasomware.
Salu2