[KB6467] Eliminar una infección de AES-NI o XData utilizando ESET AES-NI decryptor

Problema

Los productos ESET detectan y bloquean el código malicioso XData como Win32/Filecoder.NLN y AES-NI como Win32/Filecoder.AESNI

  • Su producto ESET detectó una infección con Win32/Filecoder.AESNI
     
  • Desofuscar sus archivos usando la herramienta ESETAESNIDecryptor.exe
     
  • Sus archivos personales han sido encriptados
     
  • Sus archivos han sido renombrados con una de las siguientes extensiones: .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
     
  • Recibe una de las siguientes notas en en el fondo de Escritorio de su equipo, o en un archivo .txt, .html o .png:

    - "YOUR FILES ARE ENCRYPTED!"
    - "If you want to decrypt your files, you have to get RSA private key."

    - "all your data was crypted to get it back write to aes-ni@prontomail.com"

Figura 1-1

Haga clic en +Detalles para obtener mayor información e imágenes adicionales relacionadas con este ransomware

Detalles

Win32/Filecoder.AESNI es un troyano que encripta archivos en unidades locales. El usuario es notificado acerca de que debe enviar información y realizar un pago mediante el servicio de pago Bitcoin si desea desofuscar sus archivos.

Ejemplos de nombres de archivos AES-NI

  • USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

Galería de imágenes

Solución

  1. Descargue la herramienta ESET AES-NI decryptor y almacene el archivo en su Escritorio.

    ESETAESNIDecryptor.exe
     
  2. Haga clic en InicioTodos los programas Accesorios, haga clic derecho en el Símbolo del sistema y luego seleccione Ejecutar como administrador dentro del menú contextual.
    • Usuarios de Windows 8 / 8.1 / 10: presione la tecla de Windows + Q para buscar aplicaciones, escriba Símbolo del sistema dentro del campo de búsqueda, haga clic derecho en el Símbolo del sistema y luego seleccione Ejecutar como administrador dentro del menú contextual.
       
  3. Ingrese el comando cd %userprofile%\Desktop (no reemplace "userprofile" con su nombre de usuario– ingrese el comando exactamente como se muestra) y luego presione Enter.
     
  4. Ingrese el comando ESETAESNIDecryptor.exe y presione Enter.
     
  5. Lea y acepte el acuerdo de licencia del usuario final.
     
  6. Escriba ESETAESNIDecryptor.exe C: y presione Enter para explorar la unidad C. Para explorar una unidad diferente reemplace C: con la letra de la unidad.

Parámetros del desofuscador AES-NI

En la mayoría de los casos, ejecutar la herramienta ESET AES-NI decryptor como se muestra en el paso 6 es la mejor manera. De todas formas, si se encuentra familiarizado con parámetros de línea de comando:

  • /n - solo lista archivos a ser desinfectados (no desinfecta)
  • /h o /?— muestra el uso
  1. La herramienta ESET AES-NI decryptor se ejecutará y aparecerá el mensaje “Looking for key files...”. Si es descubierta una infección, siga las pautas que brinda la herramienta ESET AES-NI para desinfectar su sistema.

Desofuscar archivos en otro equipo

Si desofuscará archivos en otro equipo usted debe copiar la clave AES-NI del equipo infectado. Este archivo es necesario para desofuscar los archivos encriptados y usualmente se encuentra en la carpeta C:ProgramData. ESET AES-NI decryptor busca los archivos en las siguientes carpetas:

  • la ubicación de ESETAESNIDecrtyptor.exe
  • C:ProgramData
  • %appdata%
  • %temp%

Figura 1-2