Da un po 'di google, DECRYPT_INFORMATION sembra un'identificazione personale di Hermes Ransomware, symantec ha una descrizione tecnica qui
Secondo il link il Trojan eseguito crea i seguenti file, che puoi cercare per confermare, ma sicuramente non fare clic su quel file Reload.exe se lo trovi:
- %AllUsersProfile%\Reload.exe
- %AllUsersProfile%\shade.bat
- %AllUsersProfile%\system_.bat
- [LOCATION OF ENCRYPTED FILES]\DECRYPT_INFORMATION.html
- [LOCATION OF ENCRYPTED FILES]\UNIQUE_ID_DO_NOT_REMOVE
E crea la seguente sottochiave del Registro di sistema:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\allkeeper
Mira ai file con una serie di estensioni, disponibili sul collegamento Symantec, ma le raccomandazioni si applicano principalmente agli amministratori di rete e non ti aiuteranno molto.
Nota: sto condividendo questo post sul forum bleepingcomputer solo per informazioni, non suggerendo assolutamente di seguire i suggerimenti lì.
Da questo post sul forum di bleepingcomputer , sembra che il Trojan di Hermes potrebbe avere qualche difficoltà nel percorrere directory, quindi potrebbe essere minore se non peggiori le cose nel tuo lavoro da detective.
Suggerisco di eseguire il backup di qualsiasi informazione sul tuo computer che non vuoi perdere e di aprire i file facendo clic con il pulsante destro del mouse e aprendoli nel blocco note invece di fare doppio clic.
Se ricordo che Windows ha la spiacevole caratteristica di nascondere le estensioni di file e non vuoi inciampare in altri eseguibili nel caso in cui abbia più mine.