[KB6274] Nettoyer une infection Crysis en utilisant Crysis decryptor

Problème

  • Votre produit ESET a détecté une infection Win32/Filecoder.Crysis
     
  • Décryptez vos fichiers en utilisant l'outil ESETCrysisDecryptor.exe
     
  • Vos fichiers personnels sont cryptés
     
  • Vos fichiers ont changé d'extension (xtbl, .crysis, .crypt, .lock, .crypted, .dharma)
     
  • Vous recevez un des messages suivants en fond d'écran de votre bureau Windows ou avec les extensions .txt, .html, .png :

    - "Attention! Your computer was attacked by virus-encoder.. bitcoin143@india.com"
    - "Your data was encrypted... Do not try to decrypt it - data wil be lost... checksupport@163.com"

    - "To restore information email technical support"
    - "all your data was crypted to get it back write to helphomeless@india.com"

Figure 1-1
 

 

Détails

Win32/Filecoder.Crysis est un cheval de Troie qui crypte vos fichiers sur tous vos lecteurs locaux. L'utilisateur est informé qu'il doit effectuer un paiement en utilisant le service de paiement Bitcoin afin de décrypter ses fichiers.

Indicateurs de chiffrement :

.{%EmailAddress%}.CrySiS
.{%EmailAddress%--%EmailAddress%}.xtbl
.[%EmailAddress%].dharma
.ID%hexnum%.%EmailAddress%.xtbl
.id-%hexnum%.{%EmailAddress%}.crypt
.id-%hexnum%.{%EmailAddress%}.lock
.id-%hexnum%.{%EmailAddress%}.crypted

Galerie d'image

Solution

  1. Télécharger l'outil ESETCrysisdecryptor et sauvegarder le fichier sur votre bureau.

    ESETCrysisDecryptor.exe
     
  2. Cliquer Démarrer → tous les programmes → Accessoires, clique-droit et ouvrir Invite de commandes et Executer en qu'administrateur par le menu contextuel.
    • Pour les utilisateurs de Windows 8 / 8.1 / 10 : appuyer sur la touche Windows + Q pour rechercher une application, tapez Invite de commandes dans la barre de recherche, clique-droit et ouvrir Invite de commandes et Executer en qu'administrateur par le menu contextuel.
       
  3. Taper la commande cd %userprofile%\Desktop (ne pas remplacer la variable "userprofile" avec votre compte-taper la commande tel quel) et taper Entrer.
     
  4. Taper la commande ESETCrysisDecryptor.exe et presser la touche Entrer.
     
  5. Lire et accepter le "end-user license agreement"
     
  6. Taper ESETCrysisDecryptor.exe C: et presser la touche Entrer pour scanner le disque C. Pour scanner un lecteur différent, remplacez dans la commande "C:" par votre lecteur.

CrysisDecryptor

Dans beaucoup de cas, l'exécution l'outil ESETCrysisDecryptor comme indiqué à l'étape 6 est le meilleur choix.

Toutefois, si vous êtes familier avec les options de ligne de commande, les options suivants sont disponibles pour l'utilisation avec l'outil CrysisDecryptor :

  • /s— lancer l'outil en mode silencieux
  • /d — lancer l'outil en mode debug
  • /h or /?— voir l'aide
  1. L'outil ESET Crysis decryptor s'exécutera et le message "Looking for infected files..." apparaitra. Si une infection est découverte, suivre les indications affichées à l'écran pour que l'outil ESET Crysis Decryptor nettoie votre système.

Figure 1-2

 {SUPPORTSERVICES.FR_fr}