[KB6467] Schoon een AES-NI of XData infectie op doormiddel van de ESET AES-NI decryptor

Probleem

ESET producten detecteren en blokkeren XData malware als Win32/Filecoder.NLN en AES-NI als Win32/Filecoder.AESNI

  • Uw ESET product detecteerd een Win32/Filecoder.AESNI infectie
     
  • Decrypt uw bestenden met de ESETAESNIDecryptor.exe tool
     
  • Uw persoonlijke bestanden zijn encrypted
     
  • Uw bestanden zijn van naam veranderd in een van de volgende extensies: .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
     
  • U ontvangt een van de volgende meldingen op uw computer’s bureaublad achtergrond, in een .txt, .html of .png bestand:

    - "YOUR FILES ARE ENCRYPTED!"
    - "If you want to decrypt your files, you have to get RSA private key."

    - "all your data was crypted to get it back write to aes-ni@prontomail.com"

Figuur 1-1

Klik +Details voor meer informatie en schermafbeeldingen van deze ransomware

Details

Win32/Filecoder.AESNI is een trojan die bestanden op de locale schijf versleuteld. De gebruiker wordt verteld om informatie op te sturen en een betaling te doen met Bitcoins om de bestanden te decrypten.

Voorbeelden van AES-NI key bestandsnamen

  • USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
  • PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

afbeeldingen

Oplossing

  1. Download de ESET AES-NI decryptor tool en sla het bestand naar uw bureaublad op.

    ESETAESNIDecryptor.exe
     
  2. Klik Start → Alle programma’s → Accessories, rechter muisklik Command prompt en selecteer dan Uitvoeren als administrator in het menu.
    • Windows 8 / 8.1 / 10 gebruikers: druk op de Windows toets + om te zoeken naar applicaties , type Command prompt in het Zoek veld, rechter muisklik Command prompt en selecteer hierna Uitvoeren als administrator in het menu.
       
  3. Type het commando cd %userprofile%\Desktop (Veranderd niet "userprofile" met uw eigen gebruikersnaam; type het commando precies na zoals staat beschreven) en druk op Enter.
     
  4. Type het commando ESETAESNIDecryptor.exe en druk op Enter.
     
  5. Lees en accepteer het “end-user license agreement”
     
  6. Type ESETAESNIDecryptor.exe C: en druk op enter Enter om de C schijf te scannen. Om een andere schijf te scannen verander C:in een andere schijfletter.

AES-NI decryptor switches

In de meeste gevallen is het starten van de ESET AES-NI decryptor tool, zoals staat beschreven bij stap 6, de beste keuze. Echter als u bekend bent met command line switches, zijn de volgende switches ook bescikbaar voor de decrypter tool:

  • /n - zet de bestanden in een lijst voor het opschonen (zal niet opschonen)
  • /h or /?— toon het gebruik
  1. De ESET AES-NI decryptor tool zal van start gaan en de “Looking for key files...” melding zal getoond worden. Hierna zal de "Looking for infected files..." melding getoond worden. Als er een infectie gevonden wordt, volg de stappen die de ESET AES-NI decryptor tool aangeeft om uw machine op te schonen. 

Decrypten van bestanden op een andere machine

Als u bestanden gaat decrypten op een andere machine, moet u een copy maken van de AES-NI sleutel bestand van de geïnfecteerde machine. Deze sleutel is nodig om de engencrypteerde bestanden te decrypten en staat normaal gesproken in C:ProgramData folder. ESET AES-NI decryptor zal anar sleutel bestanden zoeken in de volgende mappen:

  • ESETAESNIDecrtyptor.exe location
  • C:ProgramData
  • %appdata%
  • %temp%

Figuur 1-2

 

Behoefte aan persoonlijke ondersteuning in Nederland?

Onze specialisten staan voor u klaar om te ondersteunen. Bel 0184-647730 voor direct telefonisch contact of stuur verzoek direct naar support@eset.nl.



Behoefte aan persoonlijke ondersteuning in België?

Onze support medewerkers staan voor u klaar. Vul het online formulier in om met de ESET klantendienst in België in contact te treden en wij nemen binnen de 24 uren contact met u op (tijdens de bureeluren)!