FacebookTwitterLinkedIn

Wirus TeslaCrypt

Znany również jako: TeslaCrypt (ransomware)
Typ: Ransomware
Poziom zniszczenia: Silny

Tomas Meskauskas Napisany przez , (zaktualizowany)

Instrukcje usuwania ransomware TeslaCrypt

Czym jest TeslaCrypt?

TeslaCrypt to złośliwy program, który szyfruje pliki użytkowników przy użyciu szyfrowania AES. Kiedy pliki są zaszyfrowane, wymagane są płatności za pomocą klucza prywatnego (używanego do deszyfrowania plików). Różnica pomiędzy typowym szyfrującym pliki ransomware (które obiera za cel filmy, dokumenty, bazy danych aplikacji, zdjęcia itp.) jest to, że TeslaCrypt szyfruje także pliki powiązane z grami wideo. Istnieje ponad 40 różnych gier wideo, które są celem TeslaCrypt, na przykład: MineCraft, World of Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker i Steam.

Jeszcze jedną ogromną różnicą związaną z tym ransomware jest to, że akceptuje również karty PayPal My Cash wraz z zapłatą okupu Bitcoin. Karty PayPal My Cash można kupić w popularnych sieciach handlowych w USA, a doładowania pieniędzmi mogą być później przeniesione na konto PayPal za pomocą kodu PIN tej karty. Niemniej jednak, płatność Bitcoin będzie kosztowała 500$, co jest dwa razy tańsze, niż przy użyciu kart PayPal. Powodem tego jest zapewne wysokie ryzyko nielegalnych zysków konfiskowanych przez PayPal.

TeslaCrypt

Co więcej, TeslaCrypt zmienia tło twojego pulpitu i tworzy na nim plik o nazwie HELP_TO_DECRYPT_YOUR_FILES.txt. Ekran blokady wyjaśnia, że należy dokonać płatności w ciągu 3 dni od jej pojawienia się.

Podsumowanie zagrożenia:
Nazwa TeslaCrypt (ransomware)
Typ zagrożenia Ransomware, wirus szyfrowania, blokada plików
Objawy Nie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików.
Metody dystrybucji Zainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy.
Zniszczenie Wszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware.
Usuwanie

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Ekran blokady zawiera przyciski pozwalające użytkownikowi sprawdzić stan płatności, wprowadzić własny klucz deszyfrowania oraz link do strony płatności TOR, gdzie można wykonać bezpłatny test deszyfrowania pliku.

TeslaCrypt wymagający zapłacenia okupu, aby odszyfrować pliki:

Twoje pliki zostały bezpiecznie zaszyfrowane na tym komputerze: zdjęcia, filmy, dokumenty, itp. Kliknij przycisk "Pokaż zaszyfrowane pliki", aby zobaczyć pełną listę zaszyfrowanych plików. Możesz to osobiście sprawdzić.
Szyfrowanie wytworzono stosując unikalny klucz publiczny RSA 2048, wygenerowany dla tego komputera. Aby odszyfrować pliki należy uzyskać klucz prywatny.
Jedyna kopia klucza prywatnego, który pozwala na odszyfrowanie plików, znajduje się na tajnym serwerze w Internecie. Serwer usunie klucz po czasie określonym w tym oknie.
Gdy to zostało zrobione, nikt nigdy nie będzie w stanie przywrócić plików...

W czasie badań metoda dystrybucji wirusa TeslaCrypt była nieznana, jednak po pomyślnej infiltracji komputera, skanuje on wszystkie dyski i szyfruje określone typy plików przy użyciu szyfrowania AES. Zaszyfrowane pliki będą miały rozszerzenie .ecc dodane na końcu nazwy pliku.

Typy plików zaszyfrowanych przez ransomware TeslaCrypt:

.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb

TeslaCrypt payent information

Informacje prezentowane na stronie płatności okupu w TeslaCrypt:

Jak zapłacić nam w Bitcoinach:
Przydatna strona: howtobuybitcoins.info (znajdź wymiany w swoim kraju)
1. Odwiedź jedną z poniższych stron, aby kupić bitcoiny (albo znajdź inną samodzielnie korzystając ze strony podanej powyżej)
2. Zaloguj się lub załóż konto, jeśli to konieczne).
3. Kup ilość bitcoinów, jaką musisz zapłacić i wyślij je na adres podany w tym oknie.
4. Możesz przejść do blockchain.info i wyszukać adres, aby zobaczyć, czy bitcoiny są odebrane.)
5. Jeżeli bitcoiny są na miejscu, kliknij "sprawdź płatność i odbierz klucze".
6. Twoje klucze są teraz otrzymane, naciśnij "odszyfruj za pomocą klawiszy".
7. Twoje pliki zostaną przywrócone, a program sam się usunie.

Należy pamiętać, że w czasie pisania, nie były znane narzędzia umożliwiające odszyfrowanie plików zaszyfrowanych przez TeslaCrypt bez płacenia okupu (spróbuj przywrócić pliki z kopii woluminu). Stosując się do tej instrukcji usuwania, będziesz mógł usunąć to ransomware ze swojego komputera, jednak pliki pozostaną dotknięte zaszyfrowaniem. Zaktualizujemy ten artykuł, jak tylko pojawi się więcej dostępnych informacji dotyczących deszyfrowania zagrożonych plików.

Usuwanie ransomware TeslaCrypt:

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Step 1

Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze tyle razy, aż pojawi się menu Zaawansowanych opcji systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - Idź do Ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij przycisk Zaawansowane opcje uruchamiania, w otwartym oknie „Ustawienia ogólne PC" wybierz Uruchamianie zaawansowane. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "menu Zaawansowanych opcji uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij przycisk "Ustawienia startowe". Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane TeslaCrypt. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


Jeśli nie możesz uruchomić komputera w Trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracanie systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. Podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się menu Zaawansowanych opcji systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij klawisz ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware TeslaCrypt).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecane oprogramowanie usuwania malware aby wyeliminować wszelkie pozostałe pliki TeslaCrypt.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty TeslaCrypt są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy pomocy dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez TeslaCrypt możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

 Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programu o nazwie CryptoPrevent. (CryptoPrevent sztucznie implementuje obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak TeslaCrypt.)

cryptoprevent screenshot

Inne narzędzia znane z usuwania TeslaCrypt:

Źródło: https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Jak zapobiec infekcji
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
TeslaCrypt (ransomware) kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania TeslaCrypt (ransomware) na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na Windows już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner

Platforma: Windows

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.