Gli autori del malware hanno consegnato a un ricercatore di ESET la chiave di decodifica universale.
I ricercatori di ESET® hanno messo a disposizione uno strumento gratuito di decodifica in grado di sbloccare i file modificati da tutte le ultime varianti di Teslacrypt (v3 o v4) e i cui file criptati hanno estensioni .xxx, .ttt, .micro, .mp3.
Questo risultato è stato possibile grazie all’attività di un ricercatore di ESET, che ha contattato in forma anonima gli autori del famigerato malware fingendosi una vittima e chiedendo la chiave master per la decodifica. Sorprendentemente, gli autori del malware hanno consegnato spontaneamente la chiave di decodifica universale, consentendo così a ESET di scrivere e rilasciare un software di decodifica.
Gli esperti di ESET ricordano che il ransomware è attualmente una delle peggiori forme di minaccia alla sicurezza informatica e che la prevenzione è essenziale per proteggere gli utenti. E’ importante quindi mantenere aggiornato il sistema operativo e i software installati sul computer, utilizzare un’efficace soluzione di sicurezza con molteplici livelli di protezione ed effettuare il backup periodico di tutti i dati importanti e di valore in un percorso offline, come per esempio un disco esterno.
Gli esperti di ESET suggeriscono inoltre di porre molta attenzione quando si clicca su link o su file presenti nelle email o nel browser, in special modo se il messaggio arriva da un mittente sconosciuto.
Di seguito riportiamo le istruzioni per utilizzare lo strumento di decodifica ESET:
Scaricare lo strumento ESETTeslaCryptDecryptor.exe e salvare il file sul desktop.
1. Fare clic su Start → Tutti i programmi → Accessori , fare clic con il tasto destro su Prompt dei comandi e quindi scegliere Esegui come amministratore dal menu contestuale.
Utenti Windows 8 / 8.1 / 10: premere il tasto Windows + Q per la ricerca delle applicazioni, Inserire Prompt dei comandi nel campo Ricerca, tasto destro del mouse su Prompt dei comandi e quindi selezionare Esegui come amministratore dal menu contestuale.
2. Digitare il comando cd %userprofile%\Desktop (non sostituire “userprofile” con il vostro nome utente ma immettere il comando esattamente come indicato), quindi premere Invio.
3. Digitare il comando ESETTeslaCryptDecryptor.exe e premere Invio.
4. Leggere e accettare il contratto di licenza per l’utente finale.
5. Digitare ESETTeslaCryptDecryptor.exe C: e premere Invio per eseguire la scansione del disco C: in modalità silenziosa. Per eseguire la scansione in una diversa unità sostituire C: con la lettera appropriata.
6. Verrà quindi eseguito lo strumento di pulizia TeslaCrypt e sarà visualizzato il messaggio “Looking for infected files …”. Se è rilevata un’infezione, seguire le istruzioni riportate a video dallo strumento di pulizia per rimuovere TeslaCrypt dal vostro sistema.
Salve e per i files che hanno come estenzione .encrypted
Purtroppo non è in grado di ripristinare i file corrotti da quella versione di ransomware, su cui però stiamo lavorando e per cui verrà rilasciata una versione apposita del tool quanto prima.
Grazie
I comandi come sono riportati sul mio PC non funzionano. Il punto 2 riporta degli spazi che impediscono il funzionamento e riportano errore. La sintassi corretta è:
cd %userprofile%\Desktop
Grazie infinite per avere rilasciato questo preziosissimo tool.
La preghiamo di contattare la nostra assistenza inviando una email ad assistenza@eset.it, la ringraziamo per l’attenzione che ci ha riservato.
Salve ho scaricato il vostro tool ho dei file infetti che si sono trasformati in .mp3, ma il tool mi dice 0 file infetti
Probabilmente la variante di ransomware che ha modificato i suoi file non è coperta da questo strumento. La prego di continuare a seguirci e a provare i tool che pubblicheremo nel prossimo futuro.
Grazie
Ho un cliente che ha beccato una variante del virus in questione, tutti i file di cui invio il nome di uno con la relativa estensione sono così: “9999-Fronterrè -compensazione imu.xls.id-FA816CFA.Vegclass@aol.com.xtbl”
Può funzionare il tool? Conoscere la variante?
Le consigliamo di contattare direttamente la nostra assistenza per verificare eventuali altri strumenti di ripristino. Scriva pure su assistenza@eset.it, il nostro personale sarà lieto di aiutarla.
Sul mio mio pc ho file criptati con estensione .crypz questa versione di Eset non funziona. (Non li decripta)
Vi prego fate qualcosa prima possibile
La preghiamo di contattare il nostro servizio di supporto tecnico su: http://www.eset.it/supporto/assistenza-tecnica
Il nostro personale sarà lieto di aiutarla e di verificare la possibilità di decodificare i file. Grazie
dopo aver lanciato l’eseguibile mi appare fatal error occurred, consult support
sul desktop mi appare il fite txt che visualizzo di seguito
cosa fare?
[2016.07.01 00:59:53.617] – ..::::::::::::::::::………………..
[2016.07.01 00:59:53.627] – .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. TeslaCrypt decryptor
[2016.07.01 00:59:53.638] – .::EE::::EE:SS:::::::.EE….EE….TT…… Version: 1.1.0.1
[2016.07.01 00:59:53.646] – .::EEEEEEEE::SSSSSS::.EEEEEEEE….TT…… Built: May 20 2016
[2016.07.01 00:59:53.652] – .::EE:::::::::::::SS:.EE……….TT……
[2016.07.01 00:59:53.658] – .::EEEEEE:::SSSSSS::..EEEEEE…..TT….. Copyright (c) ESET, spol. s r.o.
[2016.07.01 00:59:53.663] – ..::::::::::::::::::……………….. 1992-2016. All rights reserved.
[2016.07.01 00:59:53.666] – ………………………………
[2016.07.01 00:59:53.668] –
[2016.07.01 00:59:53.670] – ——————————————————————————–
[2016.07.01 00:59:53.672] –
[2016.07.01 00:59:53.676] – INFO: OS: 10.0.10240 SP0
[2016.07.01 00:59:53.679] – INFO: Product Type: Workstation
[2016.07.01 00:59:53.682] – INFO: WoW64: True
[2016.07.01 00:59:53.684] – INFO: Machine guid: 6877D82F-AA37-467C-944D-D6B4096C6E06
[2016.07.01 00:59:53.686] –
[2016.07.01 00:59:53.696] – INFO: Backup: 2
[2016.07.01 00:59:53.697] – INFO: Supported TeslaCrypt version : 3.0.0 – 4.2
[2016.07.01 00:59:53.699] – INFO: Looking for infected files…
[2016.07.01 00:59:53.702] – ——————————————————————————–
[2016.07.01 00:59:53.704] –
[2016.07.01 00:59:54.414] – ——————————————————————————–
[2016.07.01 00:59:54.414] – INFO: Cleaning [c:\OEM\brand.txt.micro.backup_by_eset.backup_1_by_eset.backup_2_by_eset.backup_3_by_eset.backup_5_by_eset.backup_by_eset.backup_1_by_eset]
[2016.07.01 00:59:54.421] – INFO: DirWalkerIterator::cleanup(‘c:’, ‘OEM’, 00CD68C0)
[2016.07.01 00:59:54.421] – INFO: DirWalkerIterator::cleanup(‘c:\OEM’, ‘brand.txt.micro.backup_by_eset.backup_1_by_eset.backup_2_by_eset.backup_3_by_eset.backup_5_by_eset.backup_by_eset.backup_1_by_eset’, 00CE70D8)
[2016.07.01 00:59:54.422] – ERROR: Fatal error occured, consult support.
[2016.07.01 00:59:54.422] – End (crash)
La preghiamo di contattare il nostro servizio di supporto tecnico su: http://www.eset.it/supporto/assistenza-tecnica
Il nostro personale sarà lieto di aiutarla e di verificare la possibilità di decodificare i file. Grazie
Buongiorno, potete spiegarmi, una volta recuperati i file, come cancellare in blocco dal prompt dei comandi i file di backup “backup_by_eset”? Grazie
La preghiamo di contattare il nostro servizio di supporto tecnico su: http://www.eset.it/supporto/assistenza-tecnica
Il nostro personale sarà lieto di aiutarla e di verificare la possibilità di decodificare i file. Grazie
Effettui una ricerca in tutto il disco rigido di tutti i file che riportino le parole micro backup se nel tuo caso i file sono stati criptati con estensione micro, oppure con delle parole presenti nell’estensione dei file di backup. Windows troverà tutti i file che tu potrai poi cancellare in blocco. Questo vale anche per le centinaia di finestre HELP RECOVER che il malware va a piazzare in tutto il sistema.
Tool strepitoso, ripristinato tutti i file con estensione “.micro”. Grazie infinite di averlo reso disponibile gratuitamente!
Sempre in merito al pericolo ransomware domani 04 Agosto è possibile partecipare a un webinar grautito. Qualora fosse interessato le invieremo l’invito con le modalità di accesso.
Grazie
buonasera, tutte le mie immagini sono diventate con estensione zzzzz. Potete aiutarmi? GRAZIE
Contatti pure la nostra assistenza su http://www.eset.it/supporto/assistenza-tecnica, il nostro personale sarà lieto di aiutarla. Buona giornata
I files sul mio pc hanno estensione “.khrcurk” e il software non li rileva e di conseguenza non li ripristina. Sapete darmi qualche indicazione su come fare per ripristinarli?
Grazie
La preghiamo di contattare il nostro servizio di supporto tecnico su: http://www.eset.it/supporto/assistenza-tecnica
Il nostro personale sarà lieto di aiutarla e di verificare la possibilità di decodificare i file. Grazie.
il vostro tool sul mio pc con windows xp non funziona mi dice che “EULA not accepted!” come posso risolvere il problema grazie
grazie infinite. File .micro conservati da tempo nella speranza di una soluzione. Trovata grazie a voi. Un abbraccio
Buongiorno a tutti, ho riscontrato un virus che mi ha modificato le estensioni dei file in questo modo, .LOL!.id-D8376F7F.[destroed_total@aol.com].wallet. Ho utilizzato skyhunter per rimuovere il virus e pare che sia stato eliminato. Ora ho lanciato EsetCrysisDecryptor per scansionare il C.
volevo sapere se avete suggerimenti più aggiornati per poter decriptare l’estensione citata poc’anzi.
Vi ringrazio anticipatamente.
Salve, purtroppo ad oggi questa codifica non è stata ancora risolta, gli sviluppatori ESET stanno lavorando su altri strumenti di decriptazione per recuperare i file colpiti da questa minaccia ransomware. Appena disponibile la pubblicheremo sui nostri canali di informazione.
Grazie
BUONGIORNO, CI SONO NOVITA’ RIGUARDO AL DECRYPTER?
Buongiorno, per ora non è ancora stata identificata la chiave crittografica di questo ransomware, appena possibile aggiorneremo lo strumento di decodifica.
Grazie.
Novità sui file criptati con estensione .wallet ?
Grazie
Per ora non ci sono novità sulla data di rilascio, i nostri sviluppatori stanno cercando di recuperare la chiave crittografica, necessaria alla creazione del tool di decodifica. La pubblicazione di questo strumento sarà diffusa su tutti i nostri canali di comunicazione.
Grazie
provato funziona e fatto e mi dà 0 file infetti ok allora ancora non cè la soluzione aspetterò grazie
ah dimenticavo il mio ha estesnione .loser !!!
Purtroppo per la variante in oggetto non c’è ancora un tool appropriato, stiamo lavorando ad altri strumenti di cui daremo comunicazione sui nostri canali. Continui a seguirci per i prossimi sviluppi 😉
non ha funzionato con i file .loser