[KB6467] Schoon een AES-NI of XData infectie op doormiddel van de ESET AES-NI decryptor

• Uw ESET product detecteerd een Win32/Filecoder.AESNI infectie
   
• Decrypt uw bestenden met de ESETAESNIDecryptor.exe tool
   
• Uw persoonlijke bestanden zijn encrypted
   
• Uw bestanden zijn van naam veranderd in een van de volgende extensies: .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
   
• U ontvangt een van de volgende meldingen op uw computer’s bureaublad achtergrond, in een .txt, .html of .png bestand:
  
  - "YOUR FILES ARE ENCRYPTED!"
  - "If you want to decrypt your files, you have to get RSA private key."
  - "all your data was crypted to get it back write to aes-ni@prontomail.com"

Figuur 1-1

Klik +Details voor meer informatie en schermafbeeldingen van deze ransomware

Win32/Filecoder.AESNI is een trojan die bestanden op de locale schijf versleuteld. De gebruiker wordt verteld om informatie op te sturen en een betaling te doen met Bitcoins om de bestanden te decrypten.

• XData ransomware maakt rondes zoals de globale WannaCryptor scare
• ESET brengt decryptor uit voor AESNI ransomware varianten, ook XData
• Win32/Filecoder.AESNI bedreigings beschrijving op virusradar.com

Voorbeelden van AES-NI key bestandsnamen

• USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
• PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
• PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
• PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

afbeeldingen

1. Download de ESET AES-NI decryptor tool en sla het bestand naar uw bureaublad op.
   
   ESETAESNIDecryptor.exe
    
2. Klik Start → Alle programma’s → Accessories, rechter muisklik Command prompt en selecteer dan Uitvoeren als administrator in het menu.
   • Windows 8 / 8.1 / 10 gebruikers: druk op de Windows toets + Q om te zoeken naar applicaties , type Command prompt in het Zoek veld, rechter muisklik Command prompt en selecteer hierna Uitvoeren als administrator in het menu.
      
3. Type het commando cd %userprofile%\Desktop (Veranderd niet "userprofile" met uw eigen gebruikersnaam; type het commando precies na zoals staat beschreven) en druk op Enter.
    
4. Type het commando ESETAESNIDecryptor.exe en druk op Enter.
    
5. Lees en accepteer het “end-user license agreement”
    
6. Type ESETAESNIDecryptor.exe C: en druk op enter Enter om de C schijf te scannen. Om een andere schijf te scannen verander C:in een andere schijfletter.

7. De ESET AES-NI decryptor tool zal van start gaan en de “Looking for key files...” melding zal getoond worden. Hierna zal de "Looking for infected files..." melding getoond worden. Als er een infectie gevonden wordt, volg de stappen die de ESET AES-NI decryptor tool aangeeft om uw machine op te schonen. 

Figuur 1-2