Una experiencia personal
Les comparto que el año pasado (2021) logré limpiar un equipo Windows en México, desde mi equipo Linux en Colombia, usando Anydesk portable, sin tener acceso ni siquiera a la barra de windows.. Tenía más de 500 mil infecciones, que provenían de diversos malware.
Duré varios días realizando limpieza y operaciones. Se autoreproducían heurísticamente y evitaba cualquier instalación de software de limpieza.
Tuve que realizar la labor usando terminales CMD en un escritorio 99% destrozado. También usé una minicolección de debuggers, systools, unlockers y tuve que modificar un archivo que generaba backdoors y enviaba ping de anuncio a una ruta encriptada (probablemente una IP).
Creo que además de acceder a los archivos locales, también grababa en tiempo real y usaba el equipo como zombie-bot para minería y ataques remotos.
Logré recuperar todos los archivos que se habían encriptado de una manera sencilla en carpetas que emulaban una papelera de reciclaje (que nunca logré comprender pero sí eliminar luego de decenas de pruebas y tácticas). Rastreé las infecciones, depurando por lotes, hasta que hallé el archivo base. Venía de un videojuego de una web mexicana llena de juegos crackeados en audio latino. Ese archivito de 1 KB generaba varios ejecutables, incluso montaba los servidores web.
Luego de este rastreo, noté que todo llevaba a una misma IP con muchas denuncias en la red. Hasta ahí llegó mi habilidad para poder avanzar en la investigación, que me generó mucha pasión pues me sorprendió ver el alcance de la zombieficación, especialmente porque el consumo de recursos era exponencial, de tal manera que parecía desgaste/obsolecencia de la máquina.
Logré identificar que el equipo llevaba más de 1 año infectado y cada vez tenía más troyanos, más malware, más servicios, etc.
Me pregunto por qué no se hace investigación a las IP que son masivamente reportadas por usuarios del mundo. ¿Será que tienen que ver con lo mencionado anteriormente sobre espionaje y abuso gubernamental?
@Facto
