Выпуск
Продукты ESET обнаруживают и блокируют вредоносную программу XData как Win32/Filecoder.NLN и AES-NI как Win32/Filecoder.AESNI.
- Ваш продукт ESET обнаружил заражение Win32/Filecoder.AESNI
- Расшифруйте файлы с помощью инструмента ESETAESNIDecryptor.exe
- Ваши личные файлы оказались зашифрованы
- Ваши файлы были переименованы с одним из следующих расширений: .aes256, .lock, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~
- Вы получаете одну из следующих надписей на фоне рабочего стола вашего компьютера или в файле формата .txt, .html или .png:
- "ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!"
- "Если вы хотите расшифровать свои файлы, вы должны получить закрытый ключ RSA"
- "все ваши данные были зашифрованы, чтобы получить их обратно, напишите на aes-ni@prontomail.com"
Рисунок 1-1
Нажмите +Подробности, чтобы получить дополнительную информацию и дополнительные изображения, связанные с этой программой-вымогателем
Подробности
Win32/Filecoder.AESNI - это троян, который шифрует файлы на локальных дисках. Пользователю сообщается, что для расшифровки файлов он должен отправить информацию и произвести оплату с помощью платежного сервиса Bitcoin.
- Вымогательское ПО XData распространяется на фоне глобальной угрозы WannaCryptor
- ESET выпустила дешифратор для AESNI-вариантов вымогательского ПО, включая XData
- Описание угрозы Win32/Filecoder.AESNI на virusradar.com
Примеры имен файлов ключей AES-NI
- USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
- PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
- PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
- PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~
Галерея изображений
Решение
- Скачайте программу ESET AES-NI decryptor и сохраните файл на рабочем столе.
ESETAESNIDecryptor.exe - Нажмите Пуск → Все программы → Аксессуары, щелкните правой кнопкой мыши Командную строку, а затем выберите пункт Запуск от имени администратора в контекстном меню
- Пользователи Windows 8 / 8.1 / 10: нажмите клавиши Windows + Q для поиска приложений, введите Command prompt в поле поиска , щелкните Command prompt правой кнопкой мыши и выберите Run as administrator из контекстного меню.
- Пользователи Windows 8 / 8.1 / 10: нажмите клавиши Windows + Q для поиска приложений, введите Command prompt в поле поиска , щелкните Command prompt правой кнопкой мыши и выберите Run as administrator из контекстного меню.
- Введите команду
cd %userprofile%\Desktop(не заменяйте "userprofile" своим именем пользователя - введите команду точно так, как показано на рисунке), а затем нажмите Enter. - Введите команду
ESETAESNIDecryptor.exeи нажмите Enter. - Прочитайте и согласитесь с лицензионным соглашением с конечным пользователем.
- Введите команду
ESETAESNIDecryptor.exeC:и нажмите Enter, чтобы просканировать диск C. Для сканирования другого диска заменитеC:на соответствующую букву диска.
- Инструмент ESET AES-NI decryptor запустится, и на экране появится сообщение "Looking for key files...". После этого появится сообщение "Ищем зараженные файлы...". Если заражение обнаружено, следуйте подсказкам утилиты ESET AES-NI decryptor для очистки системы.
Рисунок 1-2
