Ransomware shadow


#1

Hola amigos, hace unos minutos se me infecto la computadora y todos los archivos se convirtieron en extension .shadow, hasta se pasó a la otra computadora que estaba conectada a la red. Hay alguna forma de desencriptar los archivos?


#2

Hola Sergiy_Savin, bienvenido al nuevo foro

Sube un archivo/nota de rescate a este link para ver que tipo de Ransomware tienes y si hay programa para desencriptar los archivos.

Nos comentas que es lo que te dice.

Un saludo


#3

Ya subí los archivos y no detecto ningún ransomware, dice que no hay en la base de datos .


#4

Aquí subí la foto del mensaje

![20181205_222215|666x500]b(upload://rlghZQLq7eY0lPFyGetvNbn80EP.jpeg)


#5

Hola @Sergiy_Savin,

Lamento informarte que tus archivos fueron cifrados por una variante del ransomware BTCWare, el cual agrega: .*[email]-id-id.shadow - a los archivos cifrados y para el cual desafortunadamente por el momento no hay herramienta de descifrado disponible ni manera de recuperar los archivos.

Salu2


#6

Marcelo, muchas gracias por responder y ayudar con el dato. este virus es nuevo y resiente salido?


#7

No, esta variante es de finales del 2017 y generalmente BTCWare en la mayoría de sus infecciones lo hace via RDP (Remote Desktop Protocol) y luego procesando el ransomware manualmente el cual luego de entrar en una red desprotegida se comienza a propagar de forma automática.

Tus equipos estaban en una red con RDP abierto? o ejecutaste algo recientemente?

Salu2


#8

Estaban con red abierta, solo una carpeta carpeta de la otra computadora la tenía compartida. (Y por suerte solo se infectó esa, y no se propagó más…)