*GUIDA*: Decodificare i file cifrati dal Ransomware Tesla Crypt

Si è parlato davvero molte volte, ultimamente, della gravissima infezione che ha causato e continua a causare il Ransomware TeslaCrypt. Si è partiti dalla versione 1.0 e adesso si è arrivati alla 3.0, che mette davvero i bastoni tra le ruote a moltissime persone, persino ad un mio amico. Ma procediamo passo-passo: che problemi ci da questa infezione?

Il Trojan che cripta i file

TeslaCrypt è un Trojan, un ransomware che una volta preso di mira il nostro PC, ne trasforma completamente l’estensione dei file in vari possibili formati, tra cui il più comune è il .micro (anche se spesso si sente parlare delle estensioni .xxx, .ttt e .ecc). Una voltra trasformata l’estensione dei file, gli stessi vengono criptati grazie alla chiave RSA a 4096bit, rinchiudendoli in una vera e propria gabbia da cui non ne uscireste, normalmente, così facilmente.

Una volta criptati, in alcuni casi capita che venga cambiato lo sfondo del desktop e venga consigliato di aprire un sito internet in cui pagare un riscatto per riavere di nuovo i propri file, riscatto che NON DOVETE PAGARE, qualunque cosa succeda.

Quindi posso eliminare tutti i miei file?

Dopo molte ricerche, ho scoperto che è possibile, ammesso che abbiate ancora un certo file sul PC, recuperare la chiave di decriptazione dei file criptati, così da poterli “liberare” dalla loro inaccessibile segretezza. Vi mostrerò come fare, e se riuscite nell’impresa voglio almeno un grazie 😉

Recuperare file TeslaCrypt: ecco come fare

Il creatore del tool di decriptazione è il Talos Group di Cisco, vediamo come usarlo:

• Scaricate il tool di decriptaggio da qui;
• una volta scaricato, cercate (su tutto il PC, magari con la barra di ricerca) il file key.dat (se riuscite a trovarlo siete praticamente salvi!);
• se l’avete trovato, potete procedere in due modi: o copiate il file dentro la cartella del tool di decriptaggio e poi eseguite il tool, oppure aprite cmd.exe (lo trovate su Windows–>System32–>cmd.exe), trascinate all’interno del cmd.exe l’eseguibile del tool e subito dopo la scritta che apparirà inserite /key ed il percorso in cui si trova;

• una volta fatto ciò, date il comando /scanEntirePC e verranno automaticamente decriptati tutti i file sul PC, riportandoli alla normalità e rendendoli completamente accessibili.

Cosa fare in caso di problemi?

Potreste incappare in alcuni comuni problemi di semplice risoluzione. Volgio porvi un esempio: mettiamo caso che, una volta specificato il percorso della chiave di decriptazione (il file key.dat) il tool vi risponda dicendovi qualcosa del tipo “la chiave non è valida” oppure “la chiave non è verificata”, dovete semplicemente usare il comando /forcekey per obbligare il tool ad importare, in ogni modo, il file key.dat.

Mettiamo anche caso siate delle persone che vogliono porre davanti a sé un doppio scudo, quel tipo di persone che vogliono avere triple, quadruple sicurezze su ciò che possiedono. Potete dare il comando /KeepOriginal per mantenere una doppia copia dei vostri file criptati anche dopo la decriptazione degli stessi (e non avete proprio torto: se si dovesse staccare la corrente durante il processo, potreste giustamente rischiare di corrompere i vostri file criptati. Peggio su Peggio).

Non sono stato infettato dal Trojan ma voglio sapere come proteggermi

I consigli che vi posso dare per evitare che ad altri di voi capitino simili problemi, sono quelli che darebbe un po’ chiunque, ma sono comunque i più corretti:

• Non entrate su qualsiasi sito vi trovate davanti, abbiate almeno un minimo di cautela nel capire se un sito può essere semplicemente una trovate per infettare il vostro PC;
• Installate gli aggiornamenti più recenti che trovate per il vostro PC Windows (Si, TeslaCrypt non colpisce Linux);
• Usate un buon Antivirus, non uno creato da vostro cugino in uno scantinato (anche Avast, che è gratis, va benissimo);
• Fate attenzione ai vostri file: eseguite dei backup, magari ogni mese o due, in maniera da non avere alcun tipo di problema.