[KB6467] Eliminar una infección de AES-NI o XData utilizando ESET AES-NI decryptor

Problema

Los productos ESET detectan y bloquean el código malicioso XData como Win32/Filecoder.NLN y AES-NI como Win32/Filecoder.AESNI.

Su producto ESET detectó una infección con Win32/Filecoder.AESNI
Desofuscar sus archivos usando la herramienta ESETAESNIDecryptor.exe
Sus archivos personales han sido encriptados
Sus archivos han sido renombrados con una de las siguientes extensiones: .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
Recibe una de las siguientes notas en en el fondo de Escritorio de su equipo, o en un archivo .txt, .html o .png:

- "YOUR FILES ARE ENCRYPTED!"
- "If you want to decrypt your files, you have to get RSA private key."
- "all your data was crypted to get it back write to aes-ni@prontomail.com"

Figura 1-1

Haga clic en +Detalles para obtener mayor información e imágenes adicionales relacionadas con este ransomware

Detalles

Win32/Filecoder.AESNI es un troyano que encripta archivos en unidades locales. El usuario es notificado acerca de que debe enviar información y realizar un pago mediante el servicio de pago Bitcoin si desea desofuscar sus archivos.

Ejemplos de nombres de archivos AES-NI

USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

Galería de imágenes

Solución

Descargue la herramienta ESET AES-NI decryptor y almacene el archivo en su Escritorio.

ESETAESNIDecryptor.exe
Haga clic en Inicio → Todos los programas → Accesorios, haga clic derecho en el Símbolo del sistema y luego seleccione Ejecutar como administrador dentro del menú contextual.
- Usuarios de Windows 8 / 8.1 / 10: presione la tecla de Windows + Q para buscar aplicaciones, escriba Símbolo del sistema dentro del campo de búsqueda, haga clic derecho en el Símbolo del sistema y luego seleccione Ejecutar como administrador dentro del menú contextual.
Ingrese el comando cd %userprofile%\Desktop (no reemplace "userprofile" con su nombre de usuario– ingrese el comando exactamente como se muestra) y luego presione Enter.
Ingrese el comando ESETAESNIDecryptor.exe y presione Enter.
Lea y acepte el acuerdo de licencia del usuario final.
Escriba ESETAESNIDecryptor.exe C: y presione Enter para explorar la unidad C. Para explorar una unidad diferente reemplace C: con la letra de la unidad.

Parámetros del desofuscador AES-NI

En la mayoría de los casos, ejecutar la herramienta ESET AES-NI decryptor como se muestra en el paso 6 es la mejor manera. De todas formas, si se encuentra familiarizado con parámetros de línea de comando:

/n - solo lista archivos a ser desinfectados (no desinfecta)
/h o /?— muestra el uso

La herramienta ESET AES-NI decryptor se ejecutará y aparecerá el mensaje “Looking for key files...”. Si es descubierta una infección, siga las pautas que brinda la herramienta ESET AES-NI para desinfectar su sistema.

Desofuscar archivos en otro equipo

Si desofuscará archivos en otro equipo usted debe copiar la clave AES-NI del equipo infectado. Este archivo es necesario para desofuscar los archivos encriptados y usualmente se encuentra en la carpeta C:ProgramData. ESET AES-NI decryptor busca los archivos en las siguientes carpetas:

la ubicación de ESETAESNIDecrtyptor.exe
C:ProgramData
%appdata%
%temp%

Figura 1-2

Última revisión: 4 mar. 2022