TeslaCrypt-virus

Muita nimiä: TeslaCrypt ransomware
Tyyppi: Ransomware
Leviäminen: Matala
Riskitaso: Vakava

TeslaCrypt-kiristysohjelman poistaminen

Mikä TeslaCrypt on?

TeslaCrypt on haittaohjelma, joka salaa käyttäjän tiedostot AES-salauksella. Tiedostojen salaamisen jälkeen käyttäjää vaaditaan suorittamaan maksu yksityisen avaimen saamiseksi (salauksen purkua varten). TeslaCrypt eroaa muista salaus-ransomwareista (joiden kohteina ovat videot, dokumentit, tietokannat, kuvat jne.) siinä, että se salaa myös videopeleihin liittyviä tiedostoja. TeslaCryptin kohteena on yli 40 eri videopeliä, mukaan lukien MineCraft, World of Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker ja Steam.

Toinen merkittävä ero on se, että kyseinen ransomware-ohjelma hyväksyy maksut Paypalin My Cash -korteilla ja BitCoineilla. PayPalin My Cash -korteille on ladattu valmiiksi tietty summa rahaa, jonka voi myöhemmin siirtää PayPal-tilille kortissa olevan PIN-koodin avulla. BitCoineilla maksettaessa summa on 500 USD, mikä on puolet PayPal-korteilla maksettavasta summasta. Syy tähän on todennäköisesti se, että PayPalia käytettäessä riski laittomien tulojen takavarikointiin on suurempi.

TeslaCrypt

Lisäksi TeslaCrypt vaihtaa työpöydän taustakuvan ja luo työpöydälle tiedoston HELP_TO_DECRYPT_YOUR_FILES.txt. Tämän jälkeen avautuu lukitusnäyttö, jossa kerrotaan, että maksu pitää suorittaa kolmen päivän kuluessa. Lukitusnäytössä on painikkeita, joiden avulla käyttäjät voivat tarkistaa maksun tilan ja syöttää salauksenpurkuavaimet, sekä linkki TOR-maksusivustolle, jossa voi suorittaa ilmaisen salaustestin.

TeslaCrypt vaatii lunnasrahoja tiedostojen salauksen purkamiseksi:

Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.

Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.

The only copy of the private key, which allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.

Once this has been done, nobody will ever be able to restore files...

Tutkimuksen aikaan TeslaCrypt-viruksen leviämismenetelmä ei ollut tiedossa, mutta onnistuneen tietokonejärjestelmään tunkeutumisen jälkeen ohjelmisto skannaa kaikki asemat ja salaa tietyt tiedostotyypit AES-salauksella. Salattujen tiedostojen tiedostopäätteeksi tulee .ecc.

TeslaCrypt-kiristysohjelman salaamat tiedostotyypit:

.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb

TeslaCrypt-maksutiedot

TeslaCryptin näyttämät maksutiedot:

How to pay us in bitcoins:
Useful site: howtobuybitcoins.info (find exchanges in your country)
1. Visit one of the sites below to buy bitcoins (or find one yourself using the site given above)
(2. Login or create an account if necessary.)
3. Buy the amount of bitcoins you need to pay and send them to the address given in this window.
(4. You can go to blockchain.info and search for your address to see whether the bitcoins are received.)
5. If the bitcoins are on the address, click ‘check payment and receive keys’.
6. Your keys are now received, press ‘decrypt using keys’.
7. Your files will be restored and the program will delete itself.


Kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan TeslaCryptin tekemän salauksen ilman lunnasrahan maksamista (yritä palauttaa tiedostosi tilannevedoksista). Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.

TeslaCrypt-kiristysohjelman poistaminen:

Pikavalikko:

1. vaihe

Windows XP ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.

Vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

Windows 8 -käyttäjät: Mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina "5" käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.

Windows 8 vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

2. vaihe

Kirjaudu sisään tilille, johon TeslaCrypt on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.

▼ Lataa TeslaCrypt ransomware poistotyökalu

Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.

Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:

1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.

Käynnistä tietokoneesi Vikasietotila ja komentorivi -tilaan

2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.

järjestelmän palautus komentorivin cd restore -komennolla

3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.

järjestelmän palautus komentorivin rstrui.exe-komennolla

4. Napsauta avautuvassa ikkunassa "Seuraava".

järjestelmän tiedostojen ja asetusten palautus

5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin TeslaCrypt-virus ei ollut vielä asentunut tietokoneelle).

valitse palautuspiste

6. Valitse avautuvassa ikkunassa "Kyllä".

suorita järjestelmän palautus

7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet TeslaCrypt-tiedostot.

Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin TeslaCryptin versiot poistavat palautukseen käytettävät tiedostojen tilannevedoskopiot, joten menetelmä ei toimi kaikilla tietokoneilla.

Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.

CryptoDefensen salaamien tiedostojen palauttaminen

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.

Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi TeslaCryptin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.

shadow explorer -kuvakaappaus

Suojaa tietokoneesi tällaisilta salausmenetelmiä käyttäviltä ransomwareilta käyttämällä luotettavia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana voit hyödyntää CryptoPrevent-nimistä ohjelmistoa. (CryptoPrevent lisää rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja TeslaCryptin ja muiden haittaohjelmien toiminnan estämiseksi.)

cryptoprevent-kuvakaappaus

Muita työkaluja, jotka kykenevät poistamaan TeslaCryptin:

Lähde: https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus