[KB6274] Elimina un'infezione da Crysis o Wallet utilizzando il decryptor ESET Crysis

Problema

  • il tuo prodotto ESET ha rilevato un infezione Win32/Filecoder.Crysis
     
  • Decifra varianti specifiche dei tuoi file utilizzando lo strumento ESETCrysisDecryptor.exe
Le varianti correnti non possono essere decifrate

L'ultima versione del tool ESETCrysisDecryptor.exe fu rilasciato nel 2017 e non supporta le più recenti versioni di Win32/Filecoder.Crysis. solo i file con le estensioni menzionate sotto posso essere  decifrati. Una volta che un nuovo viene rilasciato , informeremo in questo articolo

  • i tuoi file personali sono diventati criptati
     
  • i tuoi files sono stati rinominati con una delle estenzioni di seguito: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion
     
  • hai ricevuto uno dei seguenti messaggi sullo schermo del desktop, o in a .txt, .html or .png file:

    - "Attention! Your computer was attacked by virus-encoder.. bitcoin143@india.com"
    - "Your data was encrypted... Do not try to decrypt it - data wil be lost... checksupport@163.com"

    - "To restore information email technical support"
    - "all your data was crypted to get it back write to helphomeless@india.com"

Figure 1-1
 

Click + Dettagli per ulteriori informazioni e immagini aggiuntive associate a questo ransomware

Dettagli

Win32/Filecoder.Crysis è un trojan che crittografa i file su unità locali. Agli utenti è detto che devono inviare informazioni e fare pagamenti utilizzando i Bitcoin per decifrare i loro file.

Indicatori di compromesso

.{%EmailAddress%}.CrySiS
.{%EmailAddress%--%EmailAddress%}.xtbl
.[%EmailAddress%].dharma
.ID%hexnum%.%EmailAddress%.xtbl
.id-%hexnum%.{%EmailAddress%}.crypt
.id-%hexnum%.{%EmailAddress%}.lock
.id-%hexnum%.{%EmailAddress%}.crypted
.[%EmailAddress%].wallet
.[%EmailAddress%].onion

Image gallery

Soluzione

  1. Scaricare la versione  2.0.4.0 ESET Crysis decryptor e salva il file sul tuo desktop.

    ESETCrysisDecryptor.exe
     
  2. Click StartAll Programs Accessories, tasto destro Command prompt e poi selezione Run as administrator dal context menu.
    • Windows 8 / 8.1 / 10 users: cliccq Windows key + Q per cercare le applicazioni, scrivi Command prompt nel campo Search, tasto destro Command prompt e poi seleziona Run as administrator dal context menu.
       
  3. Scrivere il comando cd %userprofile%\Desktop (do not replace "userprofile" with your username–type the command exactly as shown) e schiaccia Enter.
     
  4. Scrivere il comando ESETCrysisDecryptor.exe e cliccare Enter.
     
  5. Leggere e accettare il contratto di licenza con l'utente finale 
     
  6. Scrivere ESETCrysisDecryptor.exe C: e clicca Enter per scansionare C drive. Per eseguire la scansione di un unità diversa, sostituire C: con la lettera dell'unità applicabile. 

CrysisDecryptor Switches

Nella maggior parte dei casi, eseguire il tool ESET Crysis come dimostrato in 6 step è la miglior scelta. Tuttavia, sei sei familiare con i comandi, il seguente codice è disponible per utilizzarlo con CrysisDecryptor tool:

  • /s— run the tool in silent mode
  • /d —run the tool in debug mode
  • /h or /?— show usage
  1. il tool ESET Crysis decryptor verrà eseguito e verrà visualizzato il messaggio "Cerca file infetti...". se un infezione viene scoperta, segui le istruzioni dello strumento ESET Crysis decryptor per pulire il sistema.

Figure 1-2

 

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Ulteriore Assistenza