Come eliminare TeslaCrypt dal computer

TeslaCrypt è una variante (se cosi la possiamo chiamare) del virus chiamato CryptoLocker. Trojan comparso nel “lontano” 2013 è una forma di Ransomware che infetta sistemi Windows e che consiste nel criptare i dati della vittima e richiedere un pagamento per la decriptazione. Symantec, nota casa produttrice di antivirus, ha stimato che circa il 3% di chi è stato colpito dal malware ha deciso di pagare per riprendersi i propri dati. Alcune vittime dicono di aver pagato ma di non aver visto i propri file decifrati

Oggi vi parliamo della variante TeslaCrypt nella versione 2.0. E’ stata definita versione 2.0 poichè ora il virus cambia l’estensione dei file criptati in .VVV. Una volta che i file sono criptati, TeslaCrypt salva un file .html con le istruzioni su come recuperare i dati persi. Il testo è copiato da un messaggio del virus CryptoWall. Il modus-operandi è quasi sempre lo stesso e come finalità viene chiesto il riscatto che si aggira sui 500€ circa

Come si prende questo virus?

Nella maggior parte dei casi da noi analizzati l’infezione avviene tramite la posta elettronica. Ricevete un file nella casella di posta contenente una “FALSA” fattura in formato .zip. Se malauguratamente aprite questo file ed eseguite il suo contenuto venite infettati. Il virus inizierà la criptazione di tutti i vostri file (conosciuti .doc .xls .pdf) presenti sul PC.

Al primo avvio, il virus si installa nella cartella Documents and Settings con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto.

Ecco tutte le estensioni dei file che cripta

Il virus riesce a criptare le seguenti estensioni dei file .sql, .mp4, .7da, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .chiusura, .essi, .somma, .iBank, .t13, .t12, .QDF, .gdb, .tasse, .pkpass, .BC6, .BC7, .BKP, .Qin, .BKF, .SIDN, .Kidd, .mddata, .itl, .ITDB, .icxs, .hvpl, .HPLG, .hkdb, .mdbackup, .syncdb, .gho, .caso, .svg, .carta, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .sis, .sid, .NCF, .menu, .impaginazione, .dmp, .goccia, .ESM, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .LSC, .tor, .PSK, .orlo, .W3X, .fsh, .ntl, .arch00, .lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .DB0, .dba, .rofl, .hkx, .bar, .cfu, .il, .persone, .litemod, .bene, .forgiare, .LTX, .BSA, .apk, .re4, .settimane, .lbf, .slm, .bik, .EPK, .rgss3a, .poi, .grande, portafoglio, .wotreplay, .xxx, .disc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .P7C, .p7b, .p12, .pfx, .pem, .crt, .cielo, .il, .X3F, .SRW, .pef, .PTX, .R3D, .RW2, .RWL, .crudo, .raf, .orf, .nrw, .mrwref, .mef, .erf, .KDC, .dcr, .CR2, .CRW, .baia, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr, .INDD, .ai, .eps, .pdf, .PDD, .psd, .dbf, .mdf, .WB2, .rtf, .WPD, .DXG, .xf, .dwg, .PST (ora standard del Pacifico, .ACCDB, .CIS, .pptm, .pptx, .ppt, .XLK, .XLSB, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .ODB, .Ep, .odm, .Rispondere, .paragrafo, .odt

Come rimuovere virus?

Il virus è facilmente rimuovibile. Symantec ha realizzato un tool gratuito chiamato Norton Eraser

Possibili soluzioni recupero file?

Il Talos Group di Cisco spiega di aver trovato una soluzione definitiva per decifrare i file bloccati da TeslaCrypt. Per decodificare i file cifrati da Tesla Crypt basta scaricare questo file.

Per utilizzare il decrypter gratuito di Tesla Crypt, però, è indispensabile tenere presente che sul sistema infetto dal ransomware dovrà necessariamente essere ancora presente un file chiamato key.dat. In tale file il ransomware Tesla Crypt conserva diverse informazioni usate per la codifica dei file ed essenziali per l’attività di decodifica

Il file key.dat viene memorizzato all’interno della cartella %appdata% di Windows. Nel caso in cui il file fosse stato eliminato, il recupero dei propri file cifrati non sarà possibile, almeno utilizzando il tool di Cisco

C’è anche una soluzione proposta da Kasperky, eccovi il link

Un’altra possibile soluzione è data dalla casa produttrice di antivirus Dr. Web. In questo caso, però, vanno inviati dei file per testare l’eventuale decriptazione e la procedura è a pagamento

**aggiornamento**

Uno ha prodotto un decryptor per le versioni precedenti di Teslacrypt. Eccovi il link magari provate anche con questo programma




Reply