Problema
- Seu produto ESET detectou uma infecção por Win32/Filecoder.Crysis
- Descriptografe variantes específicas de seus arquivos usando a ferramenta ESETCrysisDecryptor.exe
- Seus arquivos pessoais foram criptografados
- Seus arquivos foram renomeados com uma das seguintes extensões: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion
- Você recebe uma das seguintes mensagens no plano de fundo da área de trabalho do seu computador ou em um arquivo .txt, .html ou .png:
- "Atenção! Seu computador foi atacado por um codificador de vírus... bitcoin143@india.com"
- "Seus dados foram criptografados... Não tente descriptografá-los - os dados serão perdidos... checksupport@163.com"
- "Para restaurar as informações, envie um e-mail para o suporte técnico"
- "Todos os seus dados foram criptografados, para recuperá-los, escreva para helphomeless@india.com"
Figura 1-1
Clique em +Details para obter mais informações e imagens adicionais associadas a esse ransomware
Detalhes
O Win32/Filecoder.Crysis é um cavalo de Troia que criptografa arquivos em unidades locais. O usuário é informado de que deve enviar informações e fazer um pagamento usando o serviço de pagamento Bitcoin para descriptografar seus arquivos.
- Descrição da ameaça Win32/Filecoder.Crysis em virusradar.com
- welivesecurity.com :: Além do TeslaCrypt: A família Crysis reivindica partes de seu território
Indicadores de comprometimento
.{%EmailAddress%}.CrySiS
.{%EmailAddress%--%EmailAddress%}.xtbl
.[%EmailAddress%].dharma
.ID%hexnum%.%EmailAddress%.xtbl
.id-%hexnum%.{%EmailAddress%}.crypt
.id-%hexnum%.{%EmailAddress%}.lock
.id-%hexnum%.{%EmailAddress%}.crypted
.[%EmailAddress%].wallet
.[%EmailAddress%].onion
Galeria de imagens
Solução
- Faça o download da ferramenta de descriptografia ESET Crysis versão 2.0.4.0 e salve o arquivo em sua área de trabalho.
ESETCrysisDecryptor.exe - Clique em Iniciar → Todos os programas → Acessórios, clique com o botão direito do mouse em Prompt de comando e selecione Executar como administrador no menu de contexto
- Usuários do Windows 8 / 8.1 / 10: pressione a tecla Windows + Q para procurar aplicativos, digite Command prompt no campo Search , clique com o botão direito do mouse em Command prompt e selecione Run as administrator no menu de contexto.
- Usuários do Windows 8 / 8.1 / 10: pressione a tecla Windows + Q para procurar aplicativos, digite Command prompt no campo Search , clique com o botão direito do mouse em Command prompt e selecione Run as administrator no menu de contexto.
- Digite o comando
cd %userprofile%\Desktop(não substitua "userprofile" pelo seu nome de usuário - digite o comando exatamente como mostrado) e pressione Enter. - Digite o comando
ESETCrysisDecryptor.exee pressione Enter. - Leia e concorde com o contrato de licença do usuário final.
- Digite
ESETCrysisDecryptor.exe C:e pressione Enter para rastrear a unidade C. Para rastrear uma unidade diferente, substituaC:pela letra da unidade aplicável.
- A ferramenta de descriptografia do ESET Crysis será executada e a mensagem "Procurando por arquivos infectados..." será exibida. Se uma infecção for descoberta, siga as instruções da ferramenta de descriptografia do ESET Crysis para limpar seu sistema.
Figura 1-2
