Buenas noches, acudo a solicitar ayuda por el siguiente motivo: El dia de ayer se instalo un virus tipo Ransomwere en mi pc aproximadamente a las 11:00 am. Encripto todos mis archivos, documentos y algunas aplicaciones. No estoy seguro de como llego allí supongo que fue vía mi pendrive el cual había usado horas antes en un establecimiento local para imprimir unos planos y cuando lo coloque en la pc todos los archivos estaban encriptados, tanto dentro de la unidad portatil como en la pc. Busque formas de erradicarlo vía internet y a través de esas secuencias, ejecute las siguientes acciones: -Ingrese en modo seguro. -Elimine un par de registros del “Editor de registros” que se encontraban en la siguiente ruta HKEY_LOCAL_MACHINE/SOFTWARE/Windows/CurrentVersion/Run en esta ruta se encontraban un par de enlaces desconocidos que investigue en google se trataban de registros malignos. -Ejecute en modo seguro el malwerebytes el mismo detecto 26 archivos infectados que luego elimine. -Reinicie la pc e intente ubicar el archivo que desencadeno todo esto, segun la fecha de ultima modificación de cada carpeta, resulta ser que hay una carpeta en la unidad C:/ProgramData que se llama ErrorResponder hasta horas de la noche de ayer daba como registro de fecha de modificación una hora entre las 11 y las 12, justo en este momento que revise nuevamente da como fecha de ultima modificacion, pues justo el dia de hoy a las 7:10pm cabe decir que no he abierto siquiera la carpeta por lo tanto esta ejecutándose por si misma, ayer elimine casi todos los archivos q esta carpeta tenia, sin embargo revisando justo ahora, tenia un archivo nuevo llamado “ahokzaabehotra”.
- Cabe decir que no puedo hacer una restauración de sistema ya que estos malweres se encargan de eliminar los últimos puntos de restauración. También después de ejecutar el malwerebytes el diagnostico fue que ya no habían problemas en mi pc sin embargo esta carpeta que mencione de ErrorResponder aun sigue activa y lo peor es que no puedo eliminarla el ejecutable dentro de esa carpeta sigue también allí a pesar de que logre eliminar el resto de archivos que lo acompañaban. Intente investigar en diferentes foros pero no hay respuesta aun de como solucionar esto, tambien en otro de los temas de ayuda de esta pagina encontre un programa para identificar el tipo de ransomwere el “id-ransomwere” el mismo me arrojo el resultado que se trata del virus sadogo, del cual aun no hay suficiente información en este momento. La verdad requiero la pc para trabajar. Poseo un laptop, la cual ni quiero tocar por el miedo a que también se infecte, muchos de los archivos que se encuentran en la pc infectada, están resguardados en la laptop, por lo tanto no me importa perder la información que se encuentra en la pc infectada. He igualmente recuperar el pendrive ya me encuentro en Venezuela y pues ya se imaginaran lo caótico que es la situación económica aquí como para adquirir otro dispositivo. Estuve leyendo de restablecer la pc a su modo de fabrica, pero nunca antes he realizado eso, por lo tanto me da algo de miedo que no resuelva el problema, y termine realizando algo indebido. Y debido a eso acudo a ustedes con la esperanza de una solución viable. También otra duda con respecto a cambiar el nombre de la app vssadmin con el fin de evitar que el virus elimine los puntos de restauración. ¿Es seguro hacer eso? Gracias de antemano por su respuesta.