Co to jest TeslaCrypt
TeslaCrypt jest bardzo niebezpiecznym wirusem szyfrującym i ransomware. Wykorzystuje szyfrowanie AES do szyfrowania wrażliwych plików użytkownika (dokumenty, zdjęcia, muzyka, wideo). Następnie prosi o okup za odszyfrowanie tych plików. Jedną z cech ransomware TeslaCrypt jest to, że wpływa ono również na pliki gier najpopularniejszych gier (MineCraft, StarCraft, World of Tanks, World of Warcraft). TeslaCrypt modyfikuje rozszerzenie zaszyfrowanych plików na jedno z poniższych:
.ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc
Zmodyfikuje również tło pulpitu do obrazu z pisemnymi instrukcjami zapłaty okupu i odszyfrowania plików. TeslaCrypt utworzy również plik tekstowy z tymi samymi instrukcjami (HELP_TO_DECRYPT_YOUR_FILES.txt). Kwota okupu wynosi około 500 dolarów. Nie próbuj płacić okupu, ponieważ narażasz swoje dane bankowe na ryzyko! Zamiast tego skorzystaj z poniższego przewodnika krok po kroku, aby usunąć TeslaCrypt i odszyfrować pliki .ecc (.zzz i inne) oraz przywrócić swoje dane.
Jak TeslaCrypt zainfekował twój komputer
TeslaCrypt wykorzystuje e-maile ze spamem, a także inne oprogramowanie ransomware. E-maile będące spamem mogą wyglądać następująco:
Spamowe wiadomości e-mail mają dołączone pliki .doc lub .xls, które mają wbudowane złośliwe makra, które pobiorą i uruchomią podstawowy plik wirusa. Ten plik rozpocznie szyfrowanie plików użytkownika. Jedyną szansą, aby temu zapobiec, jest zainstalowanie aktualnego programu antywirusowego lub użycie oprogramowania do ochrony kryptograficznej. Podamy linki i opis takiego oprogramowania na dole artykułu. Typy plików, na które atakuje TeslaCrypt:
.7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
Pobierz narzędzie do usuwania TeslaCrypt
Aby całkowicie usunąć TeslaCrypt, zalecamy użycie SpyHunter 5 firmy EnigmaSoft Limited. Wykrywa i usuwa wszystkie pliki, foldery i klucze rejestru TeslaCrypt.
Alternatywny zmywacz
Jako dobrą darmową alternatywę do usunięcia TeslaCrypt użyj Malwarebytes Anti-Malware. Wykryje podstawowe pliki i procesy ransomware TeslaCrypt i wyeliminuje je, aby umożliwić Ci rozpoczęcie odszyfrowywania plików.
Jak ręcznie usunąć TeslaCrypt
Nie zaleca się ręcznego usuwania TeslaCrypt, zamiast tego użyj narzędzi do usuwania, aby uzyskać bezpieczniejsze rozwiązanie.
Pliki TeslaCrypt:
%AppData%\{randomname}.exe
%AppData%\key.dat
%AppData%\log.html
%LocalAppData%\{randomname}.exe
%LocalAppData%\storage.bin
%LocalAppData%\log.html
%Desktop%\Save_Files.lnk
%Desktop%\CryptoLocker.lnk
%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.bmp
%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.txt
%Desktop%\HELP_TO_SAVE_FILES.txt
%Desktop%\HELP_TO_SAVE_FILES.bmp
%Documents%\RECOVERY_FILE.TXT
%Desktop%\HELP_RESTORE_FILES.bmp
%Desktop%\HELP_RESTORE_FILES.txt
HELP_RESTORE_FILES_{randomname}.TXT
Klucze rejestracyjne TeslaCrypt:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVSvc "%AppData%\{randomname}.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 "%AppData%\{randomname}.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVrSvc "%LocalAppData%\{randomname}.exe"
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_RESTORE_FILES.bmp"
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.bmp"
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_TO_SAVE_FILES.bmp"
Jak odszyfrować i przywrócić pliki .ecc
Używaj automatycznych deszyfratorów
1 opcji: Użyj bezpłatnego narzędzia deszyfrującego dla ecc, .ex, ezz pliki o nazwie TeslaDecoder. Jest raczej łatwy w użyciu. Wypakuj archiwum zip i załaduj pliki danych (storage.bin, key.dat). Narzędzie może znaleźć je automatycznie lub użytkownik może wskazać ścieżkę do nich w rejestrze systemu Windows. Pobierz to tutaj:
2 opcji: Użyj innego bezpłatnego narzędzia deszyfrującego od Cisco Talos Group o nazwie Talos TeslaCrypt Decryption Tool. Może również pomóc w odszyfrowaniu plików z rozszerzeniami .ecc, .vvv, .zzz, .ttt, .micro lub .xxx. Aby użyć tego narzędzia, skopiuj plik „key.dat” z katalogu Application Data do katalogu narzędzia i określ zaszyfrowany plik lub katalog zawierający zaszyfrowane pliki. przeczytaj więcej o korzystaniu z tego narzędzia tutaj. Pobierz to tutaj:
3 opcji: Użyj bezpłatnego deszyfratora firmy Trend Micro o nazwie Deszyfrator TrendMicro Teslacrypt. Może odszyfrować pliki zaszyfrowane przez wszystkie wersje ransomware TeslaCrypt.
- TeslaCrypt V1 – {oryginalna nazwa pliku}.ECC
- TeslaCrypt V2 – {oryginalna nazwa pliku}.VVV, CCC, ZZZ, AAA, ABC, XYZ
- TeslaCrypt V3 – {oryginalna nazwa pliku}.XXX lub TTT lub MP3 lub MICRO
- TeslaCrypt V4
Pobierz to tutaj:
Nie ma sensu płacić okupu, ponieważ nie ma gwarancji, że otrzymasz klucz, ale narazisz swoje dane bankowe na ryzyko.
Jeśli jesteś zainfekowany oprogramowaniem ransomware TeslaCrypt i usunąłeś je ze swojego komputera, możesz spróbować ręcznie odszyfrować swoje pliki. Dostawcy oprogramowania antywirusowego i osoby prywatne tworzą bezpłatne deszyfratory dla niektórych kryptolockerów. Aby spróbować je usunąć, możesz wykonać następujące czynności:
Korzystanie z opcji poprzednich wersji systemu Windows:
- Kliknij prawym przyciskiem myszy zainfekowany plik i wybierz Właściwości.
- Wybierz Poprzednie wersje patka.
- Wybierz konkretną wersję pliku i kliknij Skopiuj.
- Aby przywrócić wybrany plik i zastąpić istniejący, kliknij na Przywracać przycisk.
- W przypadku braku pozycji na liście wybierz metodę alternatywną.
Korzystanie z Shadow Explorer:
- Do pobrania Shadow Explorer program.
- Uruchom go, a zobaczysz ekran z listą wszystkich dysków i datami utworzenia kopii w tle.
- Wybierz dysk i datę, z której chcesz przywrócić.
- Kliknij prawym przyciskiem myszy nazwę folderu i wybierz Export.
- Jeśli na liście nie ma innych dat, wybierz metodę alternatywną.
Jeśli korzystasz z Dropbox:
- Zaloguj się do serwisu DropBox i przejdź do folderu zawierającego zaszyfrowane pliki.
- Kliknij prawym przyciskiem myszy zaszyfrowany plik i wybierz Poprzednie wersje.
- Wybierz wersję pliku, którą chcesz przywrócić i kliknij na Przywracać przycisk.
Jak chronić komputer przed wirusami takimi jak TeslaCrypt w przyszłości
Użyj Malwarebytes Anti-Ransomware Beta
Znany dostawca oprogramowania chroniącego przed złośliwym oprogramowaniem Malwarebytes wraz z EasySync Solutions stworzył narzędzie, które pomoże Ci z aktywną ochroną przed oprogramowaniem ransomware jako dodatkową tarczą do Twojej obecnej ochrony.
Użyj HitmanPro.Alert z CryptoGuard
Holenderski producent legendarnego skanera działającego w chmurze HitmanPro – Surfright wypuścił aktywne rozwiązanie antywirusowe HitmanPro.Alert z funkcją CryptoGuard, która skutecznie chroni przed najnowszymi wersjami kryptowirusów.
