问题
- 您的 ESET 产品检测到Win32/Filecoder.Crysis 感染
- 使用 ESETCrysisDecryptor.exe 工具解密文件的特定变体
- 您的个人文件已被加密
- 您的文件已重命名为以下扩展名之一:.xtbl、.crysis、.crypt、.lock、.crypted、.dharma、.wallet、.onion
- 您的计算机桌面背景或 .txt、.html 或 .png 文件中收到以下信息之一:
- "注意!您的计算机受到病毒编码器的攻击... bitcoin143@india.com"
- "您的数据已加密...请勿尝试解密--数据将丢失......checksupport@163.com"
- "要恢复信息,请发送电子邮件至技术支持部门
- "您的所有数据都已加密,要恢复数据请写入 helphomeless@india.com"
图 1-1
单击 +Details 查看更多信息和与此勒索软件相关的其他图片
详细信息
Win32/Filecoder.Crysis是一种对本地驱动器上的文件进行加密的木马程序。用户被告知必须发送信息并使用比特币支付服务付款才能解密文件。
入侵迹象
.{%EmailAddress%}.CrySiS
.{%EmailAddress%--%EmailAddress%}.xtbl
.[%EmailAddress%%].dharma
.ID%hexnum%.%EmailAddress%.xtbl
.id-%hexnum%.{%EmailAddress%}.crypt
.id-%hexnum%.{%EmailAddress%}.lock
.id-%hexnum%.{%EmailAddress%}.crypted
.[%EmailAddress%%].钱包
.[%电子邮件地址%].洋葱
图片库
解决方案
- 下载 ESET Crysis 解密工具 2.0.4.0 并将文件保存到桌面。
ESETCrysisDecryptor.exe - 单击 "开始"→ "所有程序 " → "附件",右键单击 "命令提示符",然后从右键菜单中选择 "以管理员身份运行"。
- Windows 8 / 8.1 / 10 用户:按 Windows 键 +Q 搜索应用程序,在搜索 栏中输入Command prompt ,右键单击Command prompt,然后从右键菜单中选择以管理员身份运行。
- Windows 8 / 8.1 / 10 用户:按 Windows 键 +Q 搜索应用程序,在搜索 栏中输入Command prompt ,右键单击Command prompt,然后从右键菜单中选择以管理员身份运行。
- 键入命令
cd %userprofile%\Desktop(不要用用户名替换 "userprofile",请按图示键入命令),然后按Enter。 - 键入
ESETCrysisDecryptor.exe命令,然后按Enter 键。 - 阅读并同意最终用户许可协议。
- 键入
ESETCrysisDecryptor.exe C:并按Enter 键扫描 C 驱动器。要扫描其他驱动器,请将C:替换为适用的驱动器代号。
- ESET Crysis 解密工具将运行,并显示 "寻找受感染文件... "消息。如果发现感染,请按照 ESET Crysis 解密工具的提示清理系统。
图 1-2
