Problem
Produkty ESET wykrywają i blokują złośliwe oprogramowanie XData jako Win32/Filecoder.NLN i AES-NI jako Win32/Filecoder.AESNI.
- Produkt ESET wykrył infekcję Win32/Filecoder.AESNI
- Odszyfruj pliki za pomocą narzędzia ESETAESNIDecryptor.exe
- Twoje osobiste pliki zostały zaszyfrowane
- Nazwa plików została zmieniona na jedno z następujących rozszerzeń: .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
- Otrzymujesz jedną z następujących notatek na tle pulpitu komputera lub w pliku .txt, .html lub .png:
- "TWOJE PLIKI SĄ ZASZYFROWANE!"
- "Jeśli chcesz odszyfrować swoje pliki, musisz uzyskać klucz prywatny RSA"
- "wszystkie twoje dane zostały zaszyfrowane, aby je odzyskać, napisz na aes-ni@prontomail.com"
Rysunek 1-1
Kliknij +Szczegóły, aby uzyskać więcej informacji i dodatkowe obrazy związane z tym oprogramowaniem ransomware
Szczegóły
Win32/Filecoder.AESNI to trojan szyfrujący pliki na dyskach lokalnych. Użytkownik jest informowany, że musi wysłać informacje i dokonać płatności za pomocą usługi płatności Bitcoin w celu odszyfrowania swoich plików.
- XData ransomware w obliczu globalnego zagrożenia WannaCryptor
- ESET wydaje deszyfrator dla wariantów ransomware AESNI, w tym XData
- Opis zagrożenia Win32/Filecoder.AESNI na virusradar.com
Przykłady nazw plików kluczy AES-NI
- USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
- PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
- PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
- PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~
Galeria obrazów
Rozwiązanie
- Pobierz narzędzie deszyfrujące ESET AES-NI i zapisz plik na pulpicie.
ESETAESNIDecryptor.exe - Kliknij Start → Wszystkie programy → Akcesoria, kliknij prawym przyciskiem myszy Wiersz polecenia, a następnie wybierz Uruchom jako administrator z menu kontekstowego
- Użytkownicy Windows 8 / 8.1 / 10: naciśnij klawisz Windows + Q, aby wyszukać aplikacje, wpisz Wiersz polecenia w polu wyszukiwania , kliknij prawym przyciskiem myszy Wiersz polecenia, a następnie wybierz Uruchom jako administrator z menu kontekstowego.
- Użytkownicy Windows 8 / 8.1 / 10: naciśnij klawisz Windows + Q, aby wyszukać aplikacje, wpisz Wiersz polecenia w polu wyszukiwania , kliknij prawym przyciskiem myszy Wiersz polecenia, a następnie wybierz Uruchom jako administrator z menu kontekstowego.
- Wpisz polecenie
cd %userprofile%\Desktop(nie zastępuj "userprofile" swoją nazwą użytkownika - wpisz polecenie dokładnie tak, jak pokazano), a następnie naciśnij Enter. - Wpisz polecenie
ESETAESNIDecryptor.exei naciśnij Enter. - Przeczytaj i zaakceptuj umowę licencyjną użytkownika końcowego.
- Wpisz
ESETAESNIDecryptor.exeC:i naciśnij Enter, aby przeskanować dysk C. Aby przeskanować inny dysk, zastąpC:odpowiednią literą dysku.
- Narzędzie deszyfrujące ESET AES-NI zostanie uruchomione i zostanie wyświetlony komunikat "Looking for key files...". Następnie zostanie wyświetlony komunikat " Looking for infected files...". Jeśli wykryta zostanie infekcja, postępuj zgodnie z instrukcjami narzędzia deszyfrującego ESET AES-NI, aby wyczyścić system.
Rysunek 1-2
