Restablecer archivos ocultos por virus

El otro día platicando con algunos compañeros de trabajo, les comentaba los virus informáticos han evolucionado tanto que ya es difícil englobarlos como tal en el termino, de hecho ahora el termino correcto tendría que ser malware, como todo en la informática en unos pocos años han evolucionado desde sus orígenes hasta nuestros días dando lugar a una gran variedad de mutaciones las que en ocasiones puede resultar hasta imposible clasificar, pero una cosa es segura hoy en día el propósito se ha vuelto específico, es precisamente esta especificidad lo que ha hecho complicado detectarlos a tiempo y ha llevado a los creadores de antivirus a optar por módulos de detección heurística, no pretendo dar una explicación detallada del tema, por lo que solo diré que la heurística a diferencia de la detección tradicional se basa en la observación de las funciones de determinado software, si estas pueden dañar el equipo y no se encuentran en una base de datos son etiquetados como posibles amenazas.

Respecto de la especificidad del malware lo comente porque la mayoría de estas amenazas ya no tienen como objetivo borrar los archivos, pero si hacerles creer a los usuarios que así fue, incluso fingiendo ser un antivirus XD (y todavía hay quienes caen), si has caído alguna vez en esta trampa te sugiero sigas los siguientes pasos antes de dar click en vacunar la siguiente vez:

  1. Si tu sistema operativo esta en español (u otro idioma), porque se te habría de informar que tienes un problema de seguridad en ingles?
  2. Si no tienes instalado ese antivirus como es que te detectó virus?
  3. Si no tenías antivirus, cuándo se instalo?
  4. Cuando fue que te salto la alerta, si es al inicio de sesión te pudiste infectar antes de cerrar por última vez tu sesión y el malware ya afecto el registro de tu sistema; en caso de que la alerta se presente mientras navegabas por la red, con seguridad se trata de algún engaño, tu antivirus debería de haber cortado esa conexión por lo que es mejor que verifiques que este funcionando; si fue al insertar un dispositivo USB hay dos posibilidades, que el dispositivo ya estuviera infectado o que el malware se activara al detectar un dispositivo para infectar.
Ahora al grano, si ya eliminaste la amenaza y aún así no puedes ver tus archivos, no pienses que todo esta perdido, antes de pensar en formatear todo vamos a realizar lo siguiente:

Primero abrimos una consola de ms-dos (Win + R) Enter, escribimos cmd y damos otro Enter:
Bien una vez tengamos esto lo siguiente que necesitamos saber es la ruta en donde esta nuestra información perdida, en este caso yo voy a usar una memoria USB que se encuentra en la unidad G.
 

Como se muestra en la imagen de arriba no hay ningún archivo en la memoria o al menos eso es lo que parece, regresamos a la consola de ms-dos y nos ubicamos en la ruta en cuestión en este caso G:, ahora le damos un dir y vemos que no aparece nada, sin embargo al ejecutar dir /a la cosa es bastante diferente.


Ahora vamos a listar verificar porque diablos no podemos ver nuestros archivos, para eso ejecutamos el comando attrib y como parámetro el nombre de la carpeta que nos mostró el comando anterior "hack" y vemos que nos informa.


Como se pueden dar cuenta en la imagen anterior use el comando attrib de dos formas la primera porque en ausencia de archivos si ejecutan el comando les dará un error pero si existe al menos un archivo se puede ejecutar directo, además quiero que noten otro detalle los directorios no tienen la "A" antes del nombre del archivo y las letras SHR que son los atributos de nuestras carpetas, y quieren decir System (Sistema), Hidden (Oculto) y Read Only (Solo lectura), en caso de no tener establecidos estos atributos no aparecerían dichas letras, ahora el porque de que alargara esto tanto y no les diera el comando desde un principio es porque hay que tener en cuenta que si el directorio infectado fuera "C:\Documments and Settings\AlgunUsuario" tendrán que tener cuidado con lo que van a restablecer, para el caso concreto de este tutorial el comando final es attrib -r -h -s *.* /s /d. Los parametros "/s" y "/d" indican que lo haga de manera recursiva en todos los directorios con la -r eliminan el atributo solo lectura, con la -h eliminan el atributo oculto y por supuesto con -s el atributo de sistema, ahora que ya saben como se hace pueden emplearlo para recuperar sus archivos, en caso de que en verdad hubieran sido eliminados chequen esto, tengan cuidado con el método de empleo de los atributos o pueden dejar expuesto (más de lo normal jajaja) su sistema a que pueda dañarse al borrar archivos necesarios.



Por otra parte y como seguramente algunos ya lo dedujeron, pueden ocupar la inversa del comando o sea +r +h +s para ocultar todo y espantar a algún incauto, no lo hagan jajajajaja!!!

Comentarios

  1. Muchas gracias, mas allá de ayudarme a solucionar mi problema, fue muy explicativo y educativo.

    ResponderEliminar
  2. Como dicen en mi tierra... eres una bestia man!! muchas gracias, me salvaste!

    ResponderEliminar
  3. Gracias por la explicación larga, el truco de la letra "a" delante es lo que me ha sacado de dudas

    ResponderEliminar
  4. Gracias por tu aporte. Me fue de mucha ayuda.

    ResponderEliminar
  5. Excelente, me sirvió!! Gracias!!!

    ResponderEliminar
  6. Genio despues de mil paginas lo solucionaste gracias.

    ResponderEliminar
  7. Muchas gracias, me funcionó perfecto.

    ResponderEliminar
  8. Buen aporte, gracias por compartir tus conocimientos.

    ResponderEliminar
  9. Si me funcionó. Muchas gracias brother por hacer lo que haces en este espacio, ayudarnos a solucionar problemas que no son tan fáciles de arreglar para nosotros. Seguí así hermano!!!

    ResponderEliminar
  10. Gracias!!! intenté con otros tutoriales y no funcionaron. Gracias otra vez!!

    ResponderEliminar

Publicar un comentario

Tu opinión es importante compartela...

Entradas populares de este blog

Detener la sincronización de tiempo/fechas entre Host y Guest en Virtual Box

Extraer datos de un archivo.mdb (Access) con python

Solución al problema con odbc pgsql (postgresql) en Windows 7 de 64 bits