TeslaCrypt-virus
TeslaCrypt-kiristysohjelman poistaminen
Mikä TeslaCrypt on?
TeslaCrypt on haittaohjelma, joka salaa käyttäjän tiedostot AES-salauksella. Tiedostojen salaamisen jälkeen käyttäjää vaaditaan suorittamaan maksu yksityisen avaimen saamiseksi (salauksen purkua varten). TeslaCrypt eroaa muista salaus-ransomwareista (joiden kohteina ovat videot, dokumentit, tietokannat, kuvat jne.) siinä, että se salaa myös videopeleihin liittyviä tiedostoja. TeslaCryptin kohteena on yli 40 eri videopeliä, mukaan lukien MineCraft, World of Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker ja Steam.
Toinen merkittävä ero on se, että kyseinen ransomware-ohjelma hyväksyy maksut Paypalin My Cash -korteilla ja BitCoineilla. PayPalin My Cash -korteille on ladattu valmiiksi tietty summa rahaa, jonka voi myöhemmin siirtää PayPal-tilille kortissa olevan PIN-koodin avulla. BitCoineilla maksettaessa summa on 500 USD, mikä on puolet PayPal-korteilla maksettavasta summasta. Syy tähän on todennäköisesti se, että PayPalia käytettäessä riski laittomien tulojen takavarikointiin on suurempi.
Lisäksi TeslaCrypt vaihtaa työpöydän taustakuvan ja luo työpöydälle tiedoston HELP_TO_DECRYPT_YOUR_FILES.txt. Tämän jälkeen avautuu lukitusnäyttö, jossa kerrotaan, että maksu pitää suorittaa kolmen päivän kuluessa. Lukitusnäytössä on painikkeita, joiden avulla käyttäjät voivat tarkistaa maksun tilan ja syöttää salauksenpurkuavaimet, sekä linkki TOR-maksusivustolle, jossa voi suorittaa ilmaisen salaustestin.
TeslaCrypt vaatii lunnasrahoja tiedostojen salauksen purkamiseksi:
Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
Tutkimuksen aikaan TeslaCrypt-viruksen leviämismenetelmä ei ollut tiedossa, mutta onnistuneen tietokonejärjestelmään tunkeutumisen jälkeen ohjelmisto skannaa kaikki asemat ja salaa tietyt tiedostotyypit AES-salauksella. Salattujen tiedostojen tiedostopäätteeksi tulee .ecc.
TeslaCrypt-kiristysohjelman salaamat tiedostotyypit:
.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb
TeslaCryptin näyttämät maksutiedot:
How to pay us in bitcoins:
Useful site: howtobuybitcoins.info (find exchanges in your country)
1. Visit one of the sites below to buy bitcoins (or find one yourself using the site given above)
(2. Login or create an account if necessary.)
3. Buy the amount of bitcoins you need to pay and send them to the address given in this window.
(4. You can go to blockchain.info and search for your address to see whether the bitcoins are received.)
5. If the bitcoins are on the address, click ‘check payment and receive keys’.
6. Your keys are now received, press ‘decrypt using keys’.
7. Your files will be restored and the program will delete itself.
Kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan TeslaCryptin tekemän salauksen ilman lunnasrahan maksamista (yritä palauttaa tiedostosi tilannevedoksista). Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.
TeslaCrypt-kiristysohjelman poistaminen:
Pikavalikko:
- Mikä TeslaCrypt on?
- VAIHE 1. TeslaCrypt-kiristysohjelman poistaminen Vikasietotila ja verkkoyhteydet -tilassa.
- VAIHE 2. TeslaCrypt-kiristysohjelman poistaminen järjestelmän palauttamisen avulla.
1. vaihe
Windows XP ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.
Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:
Windows 8 -käyttäjät: Mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina "5" käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.
Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:
2. vaihe
Kirjaudu sisään tilille, johon TeslaCrypt on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.
▼ Lataa TeslaCrypt ransomware poistotyökalu
Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.
Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.
Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:
1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.
2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.
3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.
4. Napsauta avautuvassa ikkunassa "Seuraava".
5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin TeslaCrypt-virus ei ollut vielä asentunut tietokoneelle).
6. Valitse avautuvassa ikkunassa "Kyllä".
7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet TeslaCrypt-tiedostot.
Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin TeslaCryptin versiot poistavat palautukseen käytettävät tiedostojen tilannevedoskopiot, joten menetelmä ei toimi kaikilla tietokoneilla.
Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.
Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.
Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi TeslaCryptin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.
Suojaa tietokoneesi tällaisilta salausmenetelmiä käyttäviltä ransomwareilta käyttämällä luotettavia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana voit hyödyntää CryptoPrevent-nimistä ohjelmistoa. (CryptoPrevent lisää rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja TeslaCryptin ja muiden haittaohjelmien toiminnan estämiseksi.)
Muita työkaluja, jotka kykenevät poistamaan TeslaCryptin:
Lähde: https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus
▼ Näytä kommentit