Wirus TeslaCrypt
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Instrukcje usuwania ransomware TeslaCrypt
Czym jest TeslaCrypt?
TeslaCrypt to złośliwy program, który szyfruje pliki użytkowników przy użyciu szyfrowania AES. Kiedy pliki są zaszyfrowane, wymagane są płatności za pomocą klucza prywatnego (używanego do deszyfrowania plików). Różnica pomiędzy typowym szyfrującym pliki ransomware (które obiera za cel filmy, dokumenty, bazy danych aplikacji, zdjęcia itp.) jest to, że TeslaCrypt szyfruje także pliki powiązane z grami wideo. Istnieje ponad 40 różnych gier wideo, które są celem TeslaCrypt, na przykład: MineCraft, World of Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker i Steam.
Jeszcze jedną ogromną różnicą związaną z tym ransomware jest to, że akceptuje również karty PayPal My Cash wraz z zapłatą okupu Bitcoin. Karty PayPal My Cash można kupić w popularnych sieciach handlowych w USA, a doładowania pieniędzmi mogą być później przeniesione na konto PayPal za pomocą kodu PIN tej karty. Niemniej jednak, płatność Bitcoin będzie kosztowała 500$, co jest dwa razy tańsze, niż przy użyciu kart PayPal. Powodem tego jest zapewne wysokie ryzyko nielegalnych zysków konfiskowanych przez PayPal.
Co więcej, TeslaCrypt zmienia tło twojego pulpitu i tworzy na nim plik o nazwie HELP_TO_DECRYPT_YOUR_FILES.txt. Ekran blokady wyjaśnia, że należy dokonać płatności w ciągu 3 dni od jej pojawienia się.
Nazwa | TeslaCrypt (ransomware) |
Typ zagrożenia | Ransomware, wirus szyfrowania, blokada plików |
Objawy | Nie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików. |
Metody dystrybucji | Zainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy. |
Zniszczenie | Wszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Ekran blokady zawiera przyciski pozwalające użytkownikowi sprawdzić stan płatności, wprowadzić własny klucz deszyfrowania oraz link do strony płatności TOR, gdzie można wykonać bezpłatny test deszyfrowania pliku.
TeslaCrypt wymagający zapłacenia okupu, aby odszyfrować pliki:
Twoje pliki zostały bezpiecznie zaszyfrowane na tym komputerze: zdjęcia, filmy, dokumenty, itp. Kliknij przycisk "Pokaż zaszyfrowane pliki", aby zobaczyć pełną listę zaszyfrowanych plików. Możesz to osobiście sprawdzić.
Szyfrowanie wytworzono stosując unikalny klucz publiczny RSA 2048, wygenerowany dla tego komputera. Aby odszyfrować pliki należy uzyskać klucz prywatny.
Jedyna kopia klucza prywatnego, który pozwala na odszyfrowanie plików, znajduje się na tajnym serwerze w Internecie. Serwer usunie klucz po czasie określonym w tym oknie.
Gdy to zostało zrobione, nikt nigdy nie będzie w stanie przywrócić plików...
W czasie badań metoda dystrybucji wirusa TeslaCrypt była nieznana, jednak po pomyślnej infiltracji komputera, skanuje on wszystkie dyski i szyfruje określone typy plików przy użyciu szyfrowania AES. Zaszyfrowane pliki będą miały rozszerzenie .ecc dodane na końcu nazwy pliku.
Typy plików zaszyfrowanych przez ransomware TeslaCrypt:
.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb
Informacje prezentowane na stronie płatności okupu w TeslaCrypt:
Jak zapłacić nam w Bitcoinach:
Przydatna strona: howtobuybitcoins.info (znajdź wymiany w swoim kraju)
1. Odwiedź jedną z poniższych stron, aby kupić bitcoiny (albo znajdź inną samodzielnie korzystając ze strony podanej powyżej)
2. Zaloguj się lub załóż konto, jeśli to konieczne).
3. Kup ilość bitcoinów, jaką musisz zapłacić i wyślij je na adres podany w tym oknie.
4. Możesz przejść do blockchain.info i wyszukać adres, aby zobaczyć, czy bitcoiny są odebrane.)
5. Jeżeli bitcoiny są na miejscu, kliknij "sprawdź płatność i odbierz klucze".
6. Twoje klucze są teraz otrzymane, naciśnij "odszyfruj za pomocą klawiszy".
7. Twoje pliki zostaną przywrócone, a program sam się usunie.
Należy pamiętać, że w czasie pisania, nie były znane narzędzia umożliwiające odszyfrowanie plików zaszyfrowanych przez TeslaCrypt bez płacenia okupu (spróbuj przywrócić pliki z kopii woluminu). Stosując się do tej instrukcji usuwania, będziesz mógł usunąć to ransomware ze swojego komputera, jednak pliki pozostaną dotknięte zaszyfrowaniem. Zaktualizujemy ten artykuł, jak tylko pojawi się więcej dostępnych informacji dotyczących deszyfrowania zagrożonych plików.
Usuwanie ransomware TeslaCrypt:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest TeslaCrypt?
- KROK 1. Usuwanie ransomware TeslaCrypt przy użyciu trybu awaryjnego z obsługą sieci.
- KROK 2. Usuwanie ransomware TeslaCrypt przy użyciu Przywracania Systemu.
Step 1
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze tyle razy, aż pojawi się menu Zaawansowanych opcji systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - Idź do Ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij przycisk Zaawansowane opcje uruchamiania, w otwartym oknie „Ustawienia ogólne PC" wybierz Uruchamianie zaawansowane. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "menu Zaawansowanych opcji uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij przycisk "Ustawienia startowe". Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Krok 2
Zaloguj się na konto zainfekowane TeslaCrypt. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.
Jeśli nie możesz uruchomić komputera w Trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracanie systemu.
Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":
1. Podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się menu Zaawansowanych opcji systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij klawisz ENTER.
2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.
3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.
4. W otwartym oknie kliknij przycisk "Dalej".
5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware TeslaCrypt).
6. W otwartym oknie kliknij przycisk "Tak".
7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecane oprogramowanie usuwania malware aby wyeliminować wszelkie pozostałe pliki TeslaCrypt.
Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty TeslaCrypt są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.
Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".
Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy pomocy dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.
Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez TeslaCrypt możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.
Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programu o nazwie CryptoPrevent. (CryptoPrevent sztucznie implementuje obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak TeslaCrypt.)
Inne narzędzia znane z usuwania TeslaCrypt:
Źródło: https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus
▼ Pokaż dyskusję