問題
ESET製品は、XDataマルウェアをWin32/Filecoder.NLNとして、AES-NIをWin32/Filecoder.AESNIとして検出し、ブロックします。
- ESET 製品がWin32/Filecoder.AESNI感染を検出しました。
- ESETAESNIDecryptor.exe ツールを使用してファイルを復号化します。
- 個人ファイルが暗号化されました
- ファイル名が次のいずれかの拡張子に変更されています: .aes256、.lock、.aes_ni_0day、.aes_ni、.decrypr_helper@freemail_hu、.~xdata~。
- コンピュータのデスクトップの背景、または.txt、.html、.pngファイルに、以下のいずれかのメモが表示されます:
- "あなたのファイルは暗号化されています!"
- "ファイルを復号化したい場合は、RSA秘密鍵を取得する必要があります。"
- "あなたのデータはすべて暗号化されています。" aes-ni@prontomail.com に書き込んでください。
図1-1
詳細]をクリックすると、このランサムウェアに関連する詳細情報と追加の画像が表示されます。
詳細
Win32/Filecoder.AESNIは、ローカルドライブ上のファイルを暗号化するトロイの木馬です。ファイルを復号化するためには、情報を送信し、Bitcoin 支払いサービスを使って支払いを行う必要があるとユーザーに伝えます。
- 世界的な WannaCryptor 恐怖の中、XData ランサムウェアが流行中
- ESET、XData を含む AESNI ランサムウェア亜種の復号化ツールをリリース
- virusradar.com における Win32/Filecoder.AESNI 脅威の説明
AES-NI キーファイル名の例
- USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
- PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
- PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
- PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~
画像ギャラリー
ソリューション
- ESET AES-NI復号化ツールをダウンロードし、ファイルをデスクトップに保存します。
ESETAESNIDecryptor.exe - スタート]→[すべてのプログラム ]→[アクセサリ]をクリックし、[コマンドプロンプト]を右クリックし、コンテキストメニューから[管理者として実行]を選択します。
- Windows 8 / 8.1 / 10 ユーザー:Windows キー +Q を押して アプリケーションを検索し、検索 フィールドに「Command prompt 」と入力してCommand prompt を右クリックし、コンテキストメニューから「管理者として実行」を選択します。
- Windows 8 / 8.1 / 10 ユーザー:Windows キー +Q を押して アプリケーションを検索し、検索 フィールドに「Command prompt 」と入力してCommand prompt を右クリックし、コンテキストメニューから「管理者として実行」を選択します。
- コマンド
cd %userprofile%Desktop("userprofile "をユーザー名に置き換えないでください。 - コマンド「
ESETAESNIDecryptor.exe」を入力し、Enter キーを押します。 - エンドユーザー使用許諾契約書を読み、同意します。
- 「
ESETAESNIDecryptor.exeC:」と入力し、Enterキーを押して C ドライブをスキャンします。別のドライブをスキャンするには、C:を該当するドライブ文字に置き換えます。
- ESET AES-NI decryptor ツールが実行され、「鍵ファイルを探しています。その後、「感染したファイルを探しています。感染が発見された場合は、ESET AES-NI decryptor ツールの指示に従ってシステムをクリーンアップしてください。
図1-2
#プレースホルダ id='1282' language='1'##
