[KB6274] Ako odstránim infekciu Crysis pomocou dešifrovacieho nástroja ESET Crysis decrypter?

• Váš bezpečnostný produkt ESET detegoval hrozbu Win32/Filecoder.Crysis
   
• Návod, ako dešifrovať vaše súbory pomocou nástroja ESETCrysisDecryptor.exe
   
• Vaše súkromné súbory boli premenované alebo obsahujú príponu: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion
   
• Vaše súkromné súbory boli zašifrované.
  Vo vašom počítači, prípadne v súboroch s príponami .txt, .html a .png, sa môžu zobrazovať nasledujúce informácie:
  
  - "Attention! Your computer was attacked by virus-encoder.. bitcoin143@india.com"
  - "Your data was encrypted... Do not try to decrypt it - data wil be lost... checksupport@163.com"
  - "To restore information email technical support"
  - "all your data was crypted to get it back write to helphomeless@india.com"

Obr. 1-1
Kliknite na +Podrobnosti pre zobrazenie ďalších podobných obrázkov

Win32/Filecoder.Crysis je trojan, ktorý zašifruje súbory na lokálnych diskoch. Používateľ je vyzvaný, aby za dešifrovanie súborov útočníkovi zaslal určité informácie/určitú sumu peňazí cez platobný systém Bitcoin.

• Win32/Filecoder.Crysis – popis hrozby na stránke virusradar.com
• Beyond TeslaCrypt: Crysis family lays claim to parts of its territory – analýza na stránke welivesecurity.com

Ukazovatele infikovania, tzv. "Indicators of compromise"

.{%EmailAddress%}.CrySiS
.{%EmailAddress%--%EmailAddress%}.xtbl
.[%EmailAddress%].dharma
.ID%hexnum%.%EmailAddress%.xtbl
.id-%hexnum%.{%EmailAddress%}.crypt
.id-%hexnum%.{%EmailAddress%}.lock
.id-%hexnum%.{%EmailAddress%}.crypted
.[%EmailAddress%].wallet
.[%EmailAddress%].onion

Galéria obrázkov

1. Stiahnite si nástroj ESETCrysisDecryptor.exe a uložte ho na svoju pracovnú plochu.
    
2. Kliknite na Štart → Všetky programy → Príslušenstvo, kliknite pravým tlačidlom myši na Príkazový riadok a z kontextového menu vyberte možnosť Spustiť ako správca.
   • Používatelia systému Windows 8 / 8.1 / 10: stlačte kláves Windows + Q pre otvorenie vyhľadávania aplikácií, do vyhľadávacieho poľa napíšte Príkazový riadok, kliknite pravým tlačidlom myši na položku Príkazový riadok a z kontextového menu zvoľte možnosť Spustiť ako správca.
      
3. Napíšte príkaz cd %userprofile%\Desktop (nenahrádzajte výraz „userprofile“ vaším používateľským menom – zadajte príkaz presne tak, ako je uvedené) a stlačte Enter.
    
4. Napíšte do príkazového riadka ESETCrysisDecryptor.exe a stlačte Enter.
    
5. Prečítajte si Licenčnú zmluvu koncového používateľa a potvrďte váš súhlas.
    
6. Napíšte ESETCrysisCryptDecryptor.exe C: a stlačte Enter, ak si želáte dešifrovať súbory na disku C. Pre dešifrovanie iného disku nahraďte C: príslušným písmenom disku.

7. Nástroj Crysis Decryptor sa spustí a zobrazí sa hlásenie „Looking for infected files...“, čo znamená, že nástroj vyhľadáva infikované súbory. V prípade nájdenia infikovaných súborov postupujte podľa pokynov z nástroja Crysis Decryptor.

Obr. 1-2