*GUIDA*: Decodificare i file cifrati dal Ransomware Tesla Crypt

Si è parlato davvero molte volte, ultimamente, della gravissima infezione che ha causato e continua a causare il Ransomware TeslaCrypt. Si è partiti dalla versione 1.0 e adesso si è arrivati alla 3.0, che mette davvero i bastoni tra le ruote a moltissime persone, persino ad un mio amico. Ma procediamo passo-passo: che problemi ci da questa infezione?

Il Trojan che cripta i file

TeslaCrypt è un Trojan, un ransomware che una volta preso di mira il nostro PC, ne trasforma completamente l’estensione dei file in vari possibili formati, tra cui il più comune è il .micro (anche se spesso si sente parlare delle estensioni .xxx, .ttt e .ecc). Una voltra trasformata l’estensione dei file, gli stessi vengono criptati grazie alla chiave RSA a 4096bit, rinchiudendoli in una vera e propria gabbia da cui non ne uscireste, normalmente, così facilmente.

Una volta criptati, in alcuni casi capita che venga cambiato lo sfondo del desktop e venga consigliato di aprire un sito internet in cui pagare un riscatto per riavere di nuovo i propri file, riscatto che NON DOVETE PAGARE, qualunque cosa succeda.

teslacrypt cura
Un tipico esempio di pagina web con richiesta di pagamento per il decriptaggio dei file. Non pagate!

Quindi posso eliminare tutti i miei file?

Dopo molte ricerche, ho scoperto che è possibile, ammesso che abbiate ancora un certo file sul PC, recuperare la chiave di decriptazione dei file criptati, così da poterli “liberare” dalla loro inaccessibile segretezza. Vi mostrerò come fare, e se riuscite nell’impresa voglio almeno un grazie 😉

Recuperare file TeslaCrypt: ecco come fare

Il creatore del tool di decriptazione è il Talos Group di Cisco, vediamo come usarlo:

  • Scaricate il tool di decriptaggio da qui;
  • una volta scaricato, cercate (su tutto il PC, magari con la barra di ricerca) il file key.dat (se riuscite a trovarlo siete praticamente salvi!);
  • se l’avete trovato, potete procedere in due modi: o copiate il file dentro la cartella del tool di decriptaggio e poi eseguite il tool, oppure aprite cmd.exe (lo trovate su Windows–>System32–>cmd.exe), trascinate all’interno del cmd.exe l’eseguibile del tool e subito dopo la scritta che apparirà inserite /key ed il percorso in cui si trova;
decriptare file teslacrypt
Un esempio delle varie opzioni messe a disposizione dal programma ed accessibili tramite comando aggiuntivo alla fine dell’eseguibile.
  • una volta fatto ciò, date il comando /scanEntirePC e verranno automaticamente decriptati tutti i file sul PC, riportandoli alla normalità e rendendoli completamente accessibili.

Cosa fare in caso di problemi?

Potreste incappare in alcuni comuni problemi di semplice risoluzione. Volgio porvi un esempio: mettiamo caso che, una volta specificato il percorso della chiave di decriptazione (il file key.dat) il tool vi risponda dicendovi qualcosa del tipo “la chiave non è valida” oppure “la chiave non è verificata”, dovete semplicemente usare il comando /forcekey per obbligare il tool ad importare, in ogni modo, il file key.dat.

Mettiamo anche caso siate delle persone che vogliono porre davanti a sé un doppio scudo, quel tipo di persone che vogliono avere triple, quadruple sicurezze su ciò che possiedono. Potete dare il comando /KeepOriginal per mantenere una doppia copia dei vostri file criptati anche dopo la decriptazione degli stessi (e non avete proprio torto: se si dovesse staccare la corrente durante il processo, potreste giustamente rischiare di corrompere i vostri file criptati. Peggio su Peggio).

Non sono stato infettato dal Trojan ma voglio sapere come proteggermi

I consigli che vi posso dare per evitare che ad altri di voi capitino simili problemi, sono quelli che darebbe un po’ chiunque, ma sono comunque i più corretti:

  • Non entrate su qualsiasi sito vi trovate davanti, abbiate almeno un minimo di cautela nel capire se un sito può essere semplicemente una trovate per infettare il vostro PC;
  • Installate gli aggiornamenti più recenti che trovate per il vostro PC Windows (Si, TeslaCrypt non colpisce Linux);
  • Usate un buon Antivirus, non uno creato da vostro cugino in uno scantinato (anche Avast, che è gratis, va benissimo);
  • Fate attenzione ai vostri file: eseguite dei backup, magari ogni mese o due, in maniera da non avere alcun tipo di problema.

Riguardo a: Salvo Cirmi (Tux1)

Un pinguino intraprendente che dopo diversi anni di "servizio" online (e soprattutto delle guide) ha acquisito conoscenze non di poco conto sui settori Android, Linux e Windows. Le mie specialità sono il modding e le review. Nel tempo libero (che è raro trovare) suono il piano, mi diverto effettuando modding e provando distribuzioni Linux, BSD ed altre.

Guarda anche..

*GUIDA*: Xiaomi Poco M3 (citrus), SBLOCCO BOOTLOADER E RECOVERY TWRP!

Ormai ci avete fatto l’abitudine alle guide eh? Eccone una nuova, tutta per gli amanti …

3 commenti

  1. Non esiste nessun file key.dat

  2. Se ne è sicuro, significa solo una cosa: non può recuperare i file.

Lascia un commento