[KB6274] Ako odstránim infekciu Crysis pomocou dešifrovacieho nástroja ESET Crysis decrypter?

Problém

  • Váš bezpečnostný produkt ESET detegoval hrozbu Win32/Filecoder.Crysis
     
  • Návod, ako dešifrovať vaše súbory pomocou nástroja ESETCrysisDecryptor.exe
     
  • Vaše súkromné súbory boli premenované alebo obsahujú príponu: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion
     
  • Vaše súkromné súbory boli zašifrované.
    Vo vašom počítači, prípadne v súboroch s príponami .txt, .html a .png, sa môžu zobrazovať nasledujúce informácie:

    - "Attention! Your computer was attacked by virus-encoder.. bitcoin143@india.com"
    - "Your data was encrypted... Do not try to decrypt it - data wil be lost... checksupport@163.com"

    - "To restore information email technical support"
    - "all your data was crypted to get it back write to helphomeless@india.com"

Obr. 1-1
Kliknite na +Podrobnosti pre zobrazenie ďalších podobných obrázkov

Podrobnosti

Win32/Filecoder.Crysis je trojan, ktorý zašifruje súbory na lokálnych diskoch. Používateľ je vyzvaný, aby za dešifrovanie súborov útočníkovi zaslal určité informácie/určitú sumu peňazí cez platobný systém Bitcoin.

Ukazovatele infikovania, tzv. "Indicators of compromise"

.{%EmailAddress%}.CrySiS
.{%EmailAddress%--%EmailAddress%}.xtbl
.[%EmailAddress%].dharma
.ID%hexnum%.%EmailAddress%.xtbl
.id-%hexnum%.{%EmailAddress%}.crypt
.id-%hexnum%.{%EmailAddress%}.lock
.id-%hexnum%.{%EmailAddress%}.crypted
.[%EmailAddress%].wallet
.[%EmailAddress%].onion

Galéria obrázkov

Riešenie

  1. Stiahnite si nástroj ESETCrysisDecryptor.exe a uložte ho na svoju pracovnú plochu.
     
  2. Kliknite na ŠtartVšetky programy Príslušenstvo, kliknite pravým tlačidlom myši na Príkazový riadok a z kontextového menu vyberte možnosť Spustiť ako správca.
    • Používatelia systému Windows 8 / 8.1 / 10: stlačte kláves Windows + Q pre otvorenie vyhľadávania aplikácií, do vyhľadávacieho poľa napíšte Príkazový riadok, kliknite pravým tlačidlom myši na položku Príkazový riadok a z kontextového menu zvoľte možnosť Spustiť ako správca.
       
  3. Napíšte príkaz cd %userprofile%\Desktop (nenahrádzajte výraz userprofile“ vaším používateľským menom – zadajte príkaz presne tak, ako je uvedené) a stlačte Enter.
     
  4. Napíšte do príkazového riadka ESETCrysisDecryptor.exe a stlačte Enter.
     
  5. Prečítajte si Licenčnú zmluvu koncového používateľa a potvrďte váš súhlas.
     
  6. Napíšte ESETCrysisCryptDecryptor.exe C: a stlačte Enter, ak si želáte dešifrovať súbory na disku C. Pre dešifrovanie iného disku nahraďte C: príslušným písmenom disku.

Prepínače príkazového riadka pre nástroj ESET Crysis Decryptor:

Vo väčšine prípadov je najlepším riešením spustenie dešifrovacieho nástroja podľa postupu uvedeného v kroku 6. Pokiaľ viete pracovať s prepínačmi príkazového riadka, môžete využiť nasledujúce prepínače pre nástroj Crysis Decryptor:

  • /s  spustenie nástroja v tichom režime (silent mode)
  • /d  spustenie nástroja v režime ladenia (debug mode)
  • /h alebo /?  zobrazenie používania
  1. Nástroj Crysis Decryptor sa spustí a zobrazí sa hlásenie „Looking for infected files...“, čo znamená, že nástroj vyhľadáva infikované súbory. V prípade nájdenia infikovaných súborov postupujte podľa pokynov z nástroja Crysis Decryptor.

Obr. 1-2