Problem
ESET-Produkte erkennen und blockieren XData-Malware als Win32/Filecoder.NLN und AES-NI als Win32/Filecoder.AESNI.
- Ihr ESET-Produkt hat eine Win32/Filecoder.AESNI-Infektion erkannt
- Entschlüsseln Sie Ihre Dateien mit dem Tool ESETAESNIDecryptor.exe
- Ihre persönlichen Dateien sind verschlüsselt worden
- Ihre Dateien wurden mit einer der folgenden Erweiterungen umbenannt: .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
- Sie erhalten einen der folgenden Hinweise auf dem Desktop-Hintergrund Ihres Computers oder in einer .txt-, .html- oder .png-Datei:
- "YOUR FILES ARE ENCRYPTED!"
- "Wenn Sie Ihre Dateien entschlüsseln wollen, müssen Sie sich einen privaten RSA-Schlüssel besorgen."
- "Alle Ihre Daten wurden verschlüsselt, um sie zurückzubekommen, schreiben Sie an aes-ni@prontomail.com"
Abbildung 1-1
Klicken Sie auf +Details für weitere Informationen und zusätzliche Bilder zu dieser Ransomware
Einzelheiten
Win32/Filecoder.AESNI ist ein Trojaner, der Dateien auf lokalen Laufwerken verschlüsselt. Dem Benutzer wird gesagt, er müsse Informationen senden und eine Zahlung über den Bitcoin-Zahlungsdienst leisten, um seine Dateien zu entschlüsseln.
- XData-Ransomware macht inmitten der weltweiten WannaCryptor-Angst die Runde
- ESET veröffentlicht Entschlüsselungsprogramm für AESNI-Ransomware-Varianten, einschließlich XData
- Beschreibung der Bedrohung Win32/Filecoder.AESNI auf virusradar.com
Beispiele für AES-NI-Schlüsseldateinamen
- USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
- PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
- PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
- PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~
Bild-Galerie
Lösung
- Laden Sie das ESET AES-NI-Entschlüsselungstool herunter und speichern Sie die Datei auf Ihrem Desktop.
ESETAESNIDecryptor.exe - Klicken Sie auf Start → Alle Programme → Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie dann im Kontextmenü Als Administrator ausführen
- Benutzer von Windows 8 / 8.1 / 10: Drücken Sie die Windows-Taste + Q, um nach Anwendungen zu suchen, geben Sie Eingabeaufforderung in das Suchfeld ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie dann als Administrator ausführen aus dem Kontextmenü.
- Benutzer von Windows 8 / 8.1 / 10: Drücken Sie die Windows-Taste + Q, um nach Anwendungen zu suchen, geben Sie Eingabeaufforderung in das Suchfeld ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie dann als Administrator ausführen aus dem Kontextmenü.
- Geben Sie den Befehl
cd %userprofile%\Desktopein (ersetzen Sie "userprofile" nicht durch Ihren Benutzernamen - geben Sie den Befehl genau wie abgebildet ein) und drücken Sie dann die Eingabetaste. - Geben Sie den Befehl
ESETAESNIDecryptor.exeein und drücken Sie die Eingabetaste. - Lesen Sie die Endbenutzer-Lizenzvereinbarung und stimmen Sie ihr zu.
- Geben Sie
ESETAESNIDecryptor.exeC:ein, und drücken Sie die Eingabetaste, um das Laufwerk C zu scannen. Um ein anderes Laufwerk zu scannen, ersetzen SieC:durch den entsprechenden Laufwerksbuchstaben.
- Das ESET AES-NI Entschlüsselungstool wird ausgeführt und die Meldung "Looking for key files..." wird angezeigt. Danach wird die Meldung "Looking for infected files..." angezeigt. Wenn eine Infektion entdeckt wird, folgen Sie den Anweisungen des ESET AES-NI-Entschlüsselungstools, um Ihr System zu reinigen.
Abbildung 1-2
