Издание
- Вашият продукт на ESET открива инфекция с Win32/Filecoder.Crysis
- Декриптирайте определени варианти на вашите файлове с помощта на инструмента ESETCrysisDecryptor.exe
- Личните ви файлове са станали криптирани
- Файловете ви са били преименувани с едно от следните разширения: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion
- Получавате едно от следните съобщения на фона на работния плот на компютъра си или във файл с разширение .txt, .html или .png:
- "Внимание! Компютърът ви е бил атакуван от вирус-енкодер... bitcoin143@india.com"
- "Вашите данни са били криптирани... Не се опитвайте да ги декриптирате - данните ще бъдат загубени... checksupport@163.com"
- "За да възстановите информацията, изпратете имейл до техническата поддръжка"
- "всички ваши данни са били криптирани, за да ги възстановите, пишете на helphomeless@india.com"
Фигура 1-1
Щракнете върху +Детайли за повече информация и допълнителни изображения, свързани с този рансъмуер
Подробности
Win32/Filecoder.Crysis е троянски кон, който криптира файлове на локални дискове. На потребителя се съобщава, че трябва да изпрати информация и да извърши плащане чрез услугата за плащане с Bitcoin, за да декриптира файловете си.
- Описание на заплахата от Win32/Filecoder.Crysis в virusradar.com
- welivesecurity.com :: Отвъд TeslaCrypt: Семейство Crysis предявява претенции към части от своята територия
Индикатори за компрометиране
.{%EmailAddress%}.CrySiS
.{%EmailAddress%--%EmailAddress%}.xtbl
.[%EmailAddress%].dharma
.ID%hexnum%.%EmailAddress%.xtbl
.id-%hexnum%.{%EmailAddress%}.crypt
.id-%hexnum%.{%EmailAddress%}.lock
.id-%hexnum%.{%EmailAddress%}.crypted
.[%EmailAddress%].wallet
.[%EmailAddress%].onion
Галерия с изображения
Решение
- Изтеглете инструмента за декриптиране на ESET Crysis версия 2.0.4.0 и запазете файла на работния си плот.
ESETCrysisDecryptor.exe - Щракнете върху Старт → Всички програми → Аксесоари, щракнете с десния бутон на мишката върху Команден ред и след това изберете Изпълни като администратор от контекстното меню
- Потребители на Windows 8 / 8.1 / 10: натиснете клавиша Windows + Q за търсене на приложения, въведете Command prompt в полето за търсене , щракнете с десния бутон върху Command prompt и след това изберете Run as administrator (Изпълни като администратор ) от контекстното меню.
- Потребители на Windows 8 / 8.1 / 10: натиснете клавиша Windows + Q за търсене на приложения, въведете Command prompt в полето за търсене , щракнете с десния бутон върху Command prompt и след това изберете Run as administrator (Изпълни като администратор ) от контекстното меню.
- Въведете командата
cd %userprofile%\Desktop(не заменяйте "userprofile" с вашето потребителско име - въведете командата точно както е показано) и след това натиснете Enter. - Въведете командата
ESETCrysisDecryptor.exeи натиснете Enter. - Прочетете и се съгласете с лицензионното споразумение с крайния потребител.
- Въведете командата
ESETCrysisDecryptor.exe C:и натиснете Enter, за да сканирате устройството C. За да сканирате друго устройство, заменетеC:със съответната буква на устройството.
- Инструментът ESET Crysis Decryptor ще се стартира и ще се покаже съобщението "Търси заразени файлове...". Ако бъде открита инфекция, следвайте указанията на инструмента ESET Crysis decryptor, за да почистите системата си.
Фигура 1-2
