Cos'è TeslaCrypt
TeslaCrypt è molto pericoloso crittografare virus e ransomware. Utilizza la crittografia AES per crittografare i file utente sensibili (documenti, foto, musica, video). Dopo questo chiede un riscatto per decrittografare quei file. Una delle caratteristiche del ransomware TeslaCrypt è che influenza anche i file di gioco dei giochi più popolari (MineCraft, StarCraft, World of Tanks, World of Warcraft). TeslaCrypt modifica l'estensione dei file crittografati in uno di questi:
.ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc
Modificherà anche lo sfondo del desktop sull'immagine con istruzioni scritte per pagare il riscatto e decrittografare i file. TeslaCrypt creerà anche file di testo con le stesse istruzioni (HELP_TO_DECRYPT_YOUR_FILES.txt). L'importo del riscatto è di circa $ 500. Non cercare di pagare il riscatto perché metti a rischio i tuoi dati bancari! Utilizzare invece la guida passo passo di seguito per rimuovere TeslaCrypt e decrittografare i file .ecc (.zzz e altri) e ripristinare i dati.
Come TeslaCrypt ha infettato il tuo PC
TeslaCrypt utilizza e-mail di spam e altri ransomware. Le e-mail di spam possono avere questo aspetto:
Le e-mail di spam hanno file .doc o .xls allegati, quei file hanno macro dannose incorporate che scaricheranno ed eseguiranno il file del virus principale. Questo file inizierà la crittografia dei file utente. L'unica possibilità per prevenirlo è installare un antivirus aggiornato o utilizzare un software per la protezione crittografica. Ti forniremo i collegamenti e la descrizione di tale software nella parte inferiore dell'articolo. Tipi di file presi di mira da TeslaCrypt:
.7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
Scarica TeslaCrypt Removal Tool
Per rimuovere completamente TeslaCrypt ti consigliamo di utilizzare SpyHunter 5 da EnigmaSoft Limited. Rileva e rimuove tutti i file, cartelle e chiavi di registro di TeslaCrypt.
Dispositivo di rimozione alternativo
Come una buona alternativa gratuita per rimuovere TeslaCrypt usa Malwarebytes Anti-Malware. Rileverà i file principali e i processi del ransomware TeslaCrypt e li eliminerà per consentire di avviare la decrittografia dei file.
Come rimuovere TeslaCrypt manualmente
Non è consigliabile rimuovere TeslaCrypt manualmente, per una soluzione più sicura utilizzare invece gli strumenti di rimozione.
File TeslaCrypt:
%AppData%\{randomname}.exe
%AppData%\key.dat
%AppData%\log.html
%LocalAppData%\{randomname}.exe
%LocalAppData%\storage.bin
%LocalAppData%\log.html
%Desktop%\Save_Files.lnk
%Desktop%\CryptoLocker.lnk
%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.bmp
%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.txt
%Desktop%\HELP_TO_SAVE_FILES.txt
%Desktop%\HELP_TO_SAVE_FILES.bmp
%Documents%\RECOVERY_FILE.TXT
%Desktop%\HELP_RESTORE_FILES.bmp
%Desktop%\HELP_RESTORE_FILES.txt
HELP_RESTORE_FILES_{randomname}.TXT
Chiavi reg di TeslaCrypt:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVSvc "%AppData%\{randomname}.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 "%AppData%\{randomname}.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVrSvc "%LocalAppData%\{randomname}.exe"
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_RESTORE_FILES.bmp"
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.bmp"
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_TO_SAVE_FILES.bmp"
Come decrittografare e ripristinare i file .ecc
Usa decryptor automatici
Opzione 1: Usa lo strumento di decrittazione gratuito per .ecc, .exxe .ezz file chiamati TeslaDecoder. È piuttosto facile da usare. Estrai l'archivio zip e carica i file di dati (storage.bin, key.dat). Lo strumento può trovarli automaticamente o l'utente può mostrare il loro percorso nel registro di Windows. Scaricalo qui:
Opzione 2: Utilizza un altro strumento di decrittografia gratuito di Cisco Talos Group chiamato Talos TeslaCrypt Decryption Tool. Può anche aiutarti a decrittografare i file con estensioni .ecc, .vvv, .zzz, .ttt, .micro o .xxx. Per utilizzare questo strumento, copiare il file "key.dat" dalla directory dei dati dell'applicazione alla directory dello strumento e specificare il file crittografato o la directory contenente i file crittografati. leggi di più sull'utilizzo di questo strumento qui. Scaricalo qui:
Opzione 3: Usa decryptor gratuito di Trend Micro chiamato TrendMicro TeslacryptDecryptor. Può decrittografare i file crittografati da tutte le versioni di TeslaCrypt ransomware.
- TeslaCrypt V1 - {nome file originale} .ECC
- TeslaCrypt V2 - {nome file originale} .VVV, CCC, ZZZ, AAA, ABC, XYZ
- TeslaCrypt V3 - {nome file originale} .XXX o TTT o MP3 o MICRO
- TeslaCrypt V4
Scarica qui:
Non vi è alcuno scopo per pagare il riscatto, perché non vi è alcuna garanzia che riceverete la chiave, ma mettete a rischio le vostre credenziali bancarie.
Se sei stato infettato da TeslaCrypt ransomware e lo hai rimosso dal tuo computer, puoi provare a decrittografare i tuoi file manualmente. I fornitori di antivirus e gli individui creano decryptor gratuiti per alcuni cryptolocker. Per tentare di rimuoverli puoi fare quanto segue:
Utilizzo dell'opzione Versioni precedenti di Windows:
- Fare clic con il tasto destro sul file infetto e scegliere Properties.
- Seleziona Versioni precedenti scheda.
- Scegli una versione particolare del file e fai clic Copia.
- Per ripristinare il file selezionato e sostituire quello esistente, fare clic su Ripristinare pulsante.
- Nel caso in cui non ci siano elementi nell'elenco, scegliere un metodo alternativo.
Utilizzando di Shadow Explorer:
- Scaricare Shadow Explorer .
- Eseguilo e vedrai l'elenco delle schermate di tutte le unità e le date in cui è stata creata la copia shadow.
- Seleziona l'unità e la data da cui desideri eseguire il ripristino.
- Fare clic con il tasto destro sul nome di una cartella e selezionare Esportare.
- Nel caso in cui non ci siano altre date nell'elenco, scegli un metodo alternativo.
Se utilizzi Dropbox:
- Accedi al sito Web di DropBox e vai alla cartella che contiene i file crittografati.
- Fare clic con il tasto destro sul file crittografato e selezionare Versioni precedenti.
- Seleziona la versione del file che desideri ripristinare e fai clic su Ripristinare pulsante.
Come proteggere il computer da virus come TeslaCrypt in futuro
Usa Malwarebytes Anti-Ransomware Beta
Il famoso fornitore di anti-malware Malwarebytes insieme a EasySync Solutions ha creato uno strumento che ti aiuterà con una protezione anti-ransomware attiva come scudo aggiuntivo per la tua protezione attuale.
Usa HitmanPro.Alert con CryptoGuard
Produttore olandese del leggendario scanner basato su cloud HitmanPro - Surfright ha rilasciato la soluzione antivirus attiva HitmanPro.Alert con funzionalità CryptoGuard che protegge efficacemente dalle ultime versioni dei criptovirus.