Problém
- Váš bezpečnostný produkt ESET detegoval hrozbu Win32/Filecoder.Crysis
- Návod, ako dešifrovať vaše súbory pomocou nástroja ESETCrysisDecryptor.exe
- Vaše súkromné súbory boli premenované alebo obsahujú príponu: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion
- Vaše súkromné súbory boli zašifrované.
Vo vašom počítači, prípadne v súboroch s príponami .txt, .html a .png, sa môžu zobrazovať nasledujúce informácie:
- "Attention! Your computer was attacked by virus-encoder.. bitcoin143@india.com"
- "Your data was encrypted... Do not try to decrypt it - data wil be lost... checksupport@163.com"
- "To restore information email technical support"
- "all your data was crypted to get it back write to helphomeless@india.com"
Obr. 1-1
Kliknite na +Podrobnosti pre zobrazenie ďalších podobných obrázkov
Podrobnosti
Win32/Filecoder.Crysis je trojan, ktorý zašifruje súbory na lokálnych diskoch. Používateľ je vyzvaný, aby za dešifrovanie súborov útočníkovi zaslal určité informácie/určitú sumu peňazí cez platobný systém Bitcoin.
- Win32/Filecoder.Crysis – popis hrozby na stránke virusradar.com
- Beyond TeslaCrypt: Crysis family lays claim to parts of its territory – analýza na stránke welivesecurity.com
Ukazovatele infikovania, tzv. "Indicators of compromise"
.{%EmailAddress%}.CrySiS
.{%EmailAddress%--%EmailAddress%}.xtbl
.[%EmailAddress%].dharma
.ID%hexnum%.%EmailAddress%.xtbl
.id-%hexnum%.{%EmailAddress%}.crypt
.id-%hexnum%.{%EmailAddress%}.lock
.id-%hexnum%.{%EmailAddress%}.crypted
.[%EmailAddress%].wallet
.[%EmailAddress%].onion
Galéria obrázkov
Riešenie
- Stiahnite si nástroj ESETCrysisDecryptor.exe a uložte ho na svoju pracovnú plochu.
- Kliknite na Štart → Všetky programy → Príslušenstvo, kliknite pravým tlačidlom myši na Príkazový riadok a z kontextového menu vyberte možnosť Spustiť ako správca.
- Používatelia systému Windows 8 / 8.1 / 10: stlačte kláves Windows + Q pre otvorenie vyhľadávania aplikácií, do vyhľadávacieho poľa napíšte Príkazový riadok, kliknite pravým tlačidlom myši na položku Príkazový riadok a z kontextového menu zvoľte možnosť Spustiť ako správca.
- Používatelia systému Windows 8 / 8.1 / 10: stlačte kláves Windows + Q pre otvorenie vyhľadávania aplikácií, do vyhľadávacieho poľa napíšte Príkazový riadok, kliknite pravým tlačidlom myši na položku Príkazový riadok a z kontextového menu zvoľte možnosť Spustiť ako správca.
- Napíšte príkaz
cd %userprofile%\Desktop
(nenahrádzajte výraz „userprofile“ vaším používateľským menom – zadajte príkaz presne tak, ako je uvedené) a stlačte Enter.
- Napíšte do príkazového riadka
ESETCrysisDecryptor.exe
a stlačte Enter.
- Prečítajte si Licenčnú zmluvu koncového používateľa a potvrďte váš súhlas.
- Napíšte
ESETCrysisCryptDecryptor.exe C:
a stlačte Enter, ak si želáte dešifrovať súbory na disku C. Pre dešifrovanie iného disku nahraďteC:
príslušným písmenom disku.
- Nástroj Crysis Decryptor sa spustí a zobrazí sa hlásenie „Looking for infected files...“, čo znamená, že nástroj vyhľadáva infikované súbory. V prípade nájdenia infikovaných súborov postupujte podľa pokynov z nástroja Crysis Decryptor.
Obr. 1-2