*GUIDA*: Decodificare i file cifrati dal Ransomware Tesla Crypt
By Salvo Cirmi
Si è parlato davvero molte volte, ultimamente, della gravissima infezione che ha causato e continua a causare il Ransomware TeslaCrypt. Si è partiti dalla versione 1.0 e adesso si è arrivati alla 3.0, che mette davvero i bastoni tra le ruote a moltissime persone, persino ad un mio amico. Ma procediamo passo-passo: che problemi ci da questa infezione?
Il Trojan che cripta i file
TeslaCrypt è un Trojan, un ransomware che una volta preso di mira il nostro PC, ne trasforma completamente l’estensione dei file in vari possibili formati, tra cui il più comune è il .micro (anche se spesso si sente parlare delle estensioni .xxx, .ttt e .ecc). Una voltra trasformata l’estensione dei file, gli stessi vengono criptati grazie alla chiave RSA a 4096bit, rinchiudendoli in una vera e propria gabbia da cui non ne uscireste, normalmente, così facilmente.
Una volta criptati, in alcuni casi capita che venga cambiato lo sfondo del desktop e venga consigliato di aprire un sito internet in cui pagare un riscatto per riavere di nuovo i propri file, riscatto che NON DOVETE PAGARE, qualunque cosa succeda.
Quindi posso eliminare tutti i miei file?
Dopo molte ricerche, ho scoperto che è possibile, ammesso che abbiate ancora un certo file sul PC, recuperare la chiave di decriptazione dei file criptati, così da poterli “liberare” dalla loro inaccessibile segretezza. Vi mostrerò come fare, e se riuscite nell’impresa voglio almeno un grazie
Recuperare file TeslaCrypt: ecco come fare
Il creatore del tool di decriptazione è il Talos Group di Cisco, vediamo come usarlo:
- Scaricate il tool di decriptaggio da qui;
- una volta scaricato, cercate (su tutto il PC, magari con la barra di ricerca) il file key.dat (se riuscite a trovarlo siete praticamente salvi!);
- se l’avete trovato, potete procedere in due modi: o copiate il file dentro la cartella del tool di decriptaggio e poi eseguite il tool, oppure aprite cmd.exe (lo trovate su Windows–>System32–>cmd.exe), trascinate all’interno del cmd.exe l’eseguibile del tool e subito dopo la scritta che apparirà inserite /key ed il percorso in cui si trova;
- una volta fatto ciò, date il comando /scanEntirePC e verranno automaticamente decriptati tutti i file sul PC, riportandoli alla normalità e rendendoli completamente accessibili.
Cosa fare in caso di problemi?
Potreste incappare in alcuni comuni problemi di semplice risoluzione. Volgio porvi un esempio: mettiamo caso che, una volta specificato il percorso della chiave di decriptazione (il file key.dat) il tool vi risponda dicendovi qualcosa del tipo “la chiave non è valida” oppure “la chiave non è verificata”, dovete semplicemente usare il comando /forcekey per obbligare il tool ad importare, in ogni modo, il file key.dat.
Mettiamo anche caso siate delle persone che vogliono porre davanti a sé un doppio scudo, quel tipo di persone che vogliono avere triple, quadruple sicurezze su ciò che possiedono. Potete dare il comando /KeepOriginal per mantenere una doppia copia dei vostri file criptati anche dopo la decriptazione degli stessi (e non avete proprio torto: se si dovesse staccare la corrente durante il processo, potreste giustamente rischiare di corrompere i vostri file criptati. Peggio su Peggio).
Non sono stato infettato dal Trojan ma voglio sapere come proteggermi
I consigli che vi posso dare per evitare che ad altri di voi capitino simili problemi, sono quelli che darebbe un po’ chiunque, ma sono comunque i più corretti:
- Non entrate su qualsiasi sito vi trovate davanti, abbiate almeno un minimo di cautela nel capire se un sito può essere semplicemente una trovate per infettare il vostro PC;
- Installate gli aggiornamenti più recenti che trovate per il vostro PC Windows (Si, TeslaCrypt non colpisce Linux);
- Usate un buon Antivirus, non uno creato da vostro cugino in uno scantinato (anche Avast, che è gratis, va benissimo);
- Fate attenzione ai vostri file: eseguite dei backup, magari ogni mese o due, in maniera da non avere alcun tipo di problema.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.