Script en powershell para borrar los archivos del virus con expresiones regulares para extensión de más de 4 caracteres y una fecha de modificación determinada.

Script en powershell para borrar los archivos del virus con expresiones regulares para extensión de más de 4 caracteres y una fecha determinada

  1. Descargamos el script https://www.soluciones.si/wp-content/uploads/2017/03/rncr2.zip y lo descomprimimos.
  2. Editamos el script

Las variables “instr1 y instr2” son los ficheros de instrucción del hacker.

Con “diastart y diaend” ponemos el rango del tiempo cuando se han encriptado los ficheros.

Ponemos una ruta donde queremos buscar los ficheros.

Al final ponemos el numero de caracteres que tiene la extensión del los fichero encriptados.

3. Lanzamos el script.

Cuando termine el script, crea un fichero de log en C:\decript.log

En caso que no se ejecuta el script, tenemos que abrir powershell y ejecutar el siguiente comando:  “set-executionpolicy remotesigned”