[KB6467] Eliminar una infección de AES-NI o XData utilizando ESET AES-NI decryptor

• Su producto ESET detectó una infección con Win32/Filecoder.AESNI
   
• Desofuscar sus archivos usando la herramienta ESETAESNIDecryptor.exe
   
• Sus archivos personales han sido encriptados
   
• Sus archivos han sido renombrados con una de las siguientes extensiones: .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
   
• Recibe una de las siguientes notas en en el fondo de Escritorio de su equipo, o en un archivo .txt, .html o .png:
  
  - "YOUR FILES ARE ENCRYPTED!"
  - "If you want to decrypt your files, you have to get RSA private key."
  - "all your data was crypted to get it back write to aes-ni@prontomail.com"

Figura 1-1

Haga clic en +Detalles para obtener mayor información e imágenes adicionales relacionadas con este ransomware

Win32/Filecoder.AESNI es un troyano que encripta archivos en unidades locales. El usuario es notificado acerca de que debe enviar información y realizar un pago mediante el servicio de pago Bitcoin si desea desofuscar sus archivos.

• El ransomware XData entra en escena en medio del susto mundial por WannaCryptor
• ESET lanza herramienta de descifrado para variantes de AES-NI, incluyendo XData
• Descripción de la amenaza Win32/Filecoder.AESNI en virusradar.com

Ejemplos de nombres de archivos AES-NI

• USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
• PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
• PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
• PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

Galería de imágenes

1. Descargue la herramienta ESET AES-NI decryptor y almacene el archivo en su Escritorio.
   
   ESETAESNIDecryptor.exe
    
2. Haga clic en Inicio → Todos los programas → Accesorios, haga clic derecho en el Símbolo del sistema y luego seleccione Ejecutar como administrador dentro del menú contextual.
   • Usuarios de Windows 8 / 8.1 / 10: presione la tecla de Windows + Q para buscar aplicaciones, escriba Símbolo del sistema dentro del campo de búsqueda, haga clic derecho en el Símbolo del sistema y luego seleccione Ejecutar como administrador dentro del menú contextual.
      
3. Ingrese el comando cd %userprofile%\Desktop (no reemplace "userprofile" con su nombre de usuario– ingrese el comando exactamente como se muestra) y luego presione Enter.
    
4. Ingrese el comando ESETAESNIDecryptor.exe y presione Enter.
    
5. Lea y acepte el acuerdo de licencia del usuario final.
    
6. Escriba ESETAESNIDecryptor.exe C: y presione Enter para explorar la unidad C. Para explorar una unidad diferente reemplace C: con la letra de la unidad.

7. La herramienta ESET AES-NI decryptor se ejecutará y aparecerá el mensaje “Looking for key files...”. Si es descubierta una infección, siga las pautas que brinda la herramienta ESET AES-NI para desinfectar su sistema.

Figura 1-2