[KB6467] Nettoyer une infection AES-NI ou XData en utilisant le ESET AES-NI Decryptor

Problème

Les produits ESET détectent et bloquent les malware XData appelé Win32/Filecoder.NLN et aussi Win32/Filecoder.AESNI

  • Votre produit ESET détecte l'infection Win32/Filecoder.AESNI
     
  • Decrypter vos fichiers en utilisant l'outil ESETAESNIDecryptor.exe
     
  • Vos fichiers personnels ont été cryptés
     
  • L'extension de vos fichiers a été modifiée avec l'une des extensions suivantes : .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
     
  • Vous avez l'une des mentions suivantes en fond d'écran, ou bien un fichier sur votre bureau en .txt, .html ou .png :

    - "YOUR FILES ARE ENCRYPTED!"
    - "If you want to decrypt your files, you have to get RSA private key."

    - "all your data was crypted to get it back write to aes-ni@prontomail.com"

Figure 1-1

 

Détails

Win32/Filecoder.AESNI est un cheval de troie qui crypte vos fichiers dans vos lecteurs locaux. L'utilisateur est informé qu'il doit effectuer un paiement en utilisant le service de paiement Bitcoin afin de décrypter ses fichiers.

Examples de nom de clé AES-NI

  • USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

 

Solution

  1. Télécharger l'outil de décryptage ESET AES-NI et sauvegardez-le sur votre bureau. 

    ESETAESNIDecryptor.exe
     
  2. Cliquez sur Démarrer → Tous les programmes Accessoires, ensuite clic droit sur Invite de commandes et selectionnez Executez en tant qu'administrateur.
    • Windows 8 / 8.1 / 10 : appuyez sur touche Windows + Q pour rechercher une application, tapez Invite de commande dans la barre de recherche à droite ensuite clic-droit sur Invite de commandes et selectionnez Executez en tant qu'administrateur.
       
  3. Tapez la commande cd %userprofile%\Desktop (ne pas remplacer "userprofile" par votre nom d'utilisateur - tapez la commande exactement tel qu'elle est indiquée) et pressez Entrer.
     
  4. Tapez la commande ESETAESNIDecryptor.exe et pressez Entrer.
     
  5. Lire et accepter le "end-user license agreement"
     
  6. Tapez ESETAESNIDecryptor.exe c: et pressez Entrer pour scanner votre lecteur C. Pour scanner un autre lecteur remplacer C par la lettre de votre lecteur.

AES-NI decryptor

Dans certains cas, executer l'outil de décryptage ESET AES-NI comme indiqué à l'étape 6 est le meilleur choix. Cependant, si vous êtes expérimenté dans l'utilisation des lignes de commandes, vous pouvez utiliser les paramètres suivants :

  • /n - liste les fichiers infectés (ne décrypte pas)
  • /h or /?— aide
  1. L'outil de décryptage ESET AES-NI s'executera et le message suivant apparaitra “Looking for key files...” . Ensuite le message "Looking for infected files..."apparaitra. Si une infection est découverte, suivi les indications à l'écran.

Décrypter les fichiers sur un un ordinateur différent

Si vous voulez décrypter des fichiers d'un ordinateur différent de l'ordinateur ayant l'outil de copié. vous devez copier le fichier de clé AES-NI à partir d'un ordinateur infecté. Ce fichier est nécessaire pour le décryptage de fichiers et se trouve généralement dans le dossier c:programData. L'outil de décryptage ESET AES recherche les clés dans le dossier suivant :

  • ESETAESNIDecrtyptor.exe location
  • C:ProgramData
  • %appdata%
  • %temp%

Figure 1-2

 

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.