Virus TeslaCrypt

Známý též jako: TeslaCrypt virus
Rozšíení: Nízké
Stupe poškození: Závažné

Návod na odstranění ransomwarového viru TeslaCrypt

Co je to TeslaCrypt?

TeslaCrypt je škodlivý program, který šifruje soubory uživatele pomocí kódování AES. Jakmile jsou tyto soubory zakódovány, je požadována platba za poskytnutí privátního klíče (pro jejich odemknutí). TeslaCrypt se odlišuje od typických ransomwarových šifrovacích virů (které cílí na videa, dokumenty, aplikace, databíze, obrázkové soubory, apod.) tím, že zašifrovává též video-herní soubory. Mezi více než 40 hrami, které virus TeslaCrypt napadá jsou tak například MineCraft, World of Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker, a Steam.

Dalším výrazným rozdílem mezi tímto ransomwarovým virem a jiným ransomwarem je fakt, že přijímá výkupné prostřednictvím PayPal My Cash karet a BitCoinu. PayPal My Cash karty je možné zakoupit v oblíbených amerických řetězcích o příslušných hodnotách, které lze následně pomocí zadání PIN kódu převést na PayPal účet. Platba pomocí BitCoins přitom stojí $US500, což je přibližně polovina výkupného požadovaného u PayPal karet. Důvodem je zejména skutečnost, že riziko konfiskace výkupného PayPalem je v takovémto případně o poznání vyšší. 

TeslaCrypt

Kromě toho TeslaCrypt současně změní pozadí Vaší plochy a vytvoří na ní soubor zvaný HELP_TO_DECRYPT_YOUR_FILES.txt . Následně dojde k zobrazení zprávy, která se dožaduje zaplacení výkupného během stanovené 3-denní lhůty. Uzamčená obrazovka obsahuje tlačítka, díky kterým uživatelé mohou ověřit stav jejich platby, zadat dešifrovací kod či mít přístup k TOR platební internetové stránce, na které lze provést testovací dekódování.

TeslaCrypt dožadující se zaplacení výkupného za provedení dekódování souborů:

Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.

Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.

The only copy of the private key, which allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.

Once this has been done, nobody will ever be able to restore files...

Při provádění našeho šetření nebyly známy přesné způsoby šíření viru TeslaCrypt viru. Dle dostupných informací je nicméně zřejmé, že po úspěšném proniknutí do systému software provede sken všech počítačových disků a následně si sám vybere soubory, které pomocí AES kódování zašifruje. Šifrovaným souborům je následně přidána přípona .ecc.

Formáty souborů, za jejichž uvolnění TeslaCrypt požaduje výkupné:

.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb

TeslaCrypt platební informace

Informace o platbách, kterou TeslaCrypt zobrazuje:

How to pay us in bitcoins:
Useful site: howtobuybitcoins.info (find exchanges in your country)
1. Visit one of the sites below to buy bitcoins (or find one yourself using the site given above)
(2. Login or create an account if necessary.)
3. Buy the amount of bitcoins you need to pay and send them to the address given in this window.
(4. You can go to blockchain.info and search for your address to see whether the bitcoins are received.)
5. If the bitcoins are on the address, click ‘check payment and receive keys’.
6. Your keys are now received, press ‘decrypt using keys’.
7. Your files will be restored and the program will delete itself.


Vezměte prosím na vědomí, že při psaní tohoto článku nebyly známy žádné způsoby, které by dokázaly, vyjma zaplacení výkupného, TeslaCryptem zašifrované soubory odemknout (Vyzkoušet je nicméně možné službu Shadow copy). Podle následující příručky pro odstranění tudíž dosáhnete odstranění ransomwarové infekce z počítače, nicméně infikované soubory zůstanou i nadále uzamknuty. V případě, že způsoby pro odemknutí souborů vyjdou v budoucnu najevo, budeme informace na těchto stránkách samozřejmě o tyto aktualizovat.

Odstranění ransomwarového viru TeslaCrypt:

Rychlé menu:

Krok 1

Uživatelé Windows XP a Windows 7:Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows, potom zvolte Nouzový režim s prací v síti ze seznamu a stiskněte ENTER. 

Nouzový režim s prací v síti

Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":

Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.

Windows 8 Nouzový režim s prací v síti

Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":

Krok 2

Přihlašte se na účet, který byl TeslaCryptem napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které objeví.

▼ Stáhnout odstraňovač TeslaCrypt virus

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.

Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.

Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":

1. Při spouštění počítače stiskněte několikrát klávesu F8, dokud se nezobrazí menu Windows pokročilého nastavení, následně vyberte Nouzový režim s příkazovým řádkem a stiskněte klávesu ENTER.

Spuštění počítače v Nouzovém režimu s příkazovým řádkem

2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.

Obnova systému prostřednictvím příkazu cd restore

3. Následně zadejte: rstrui.exe a stiskněte ENTER.

Obnova systému prostřednictvím příkazu rstrui.exe

4. V otevřeném okně klikněte na "Další".

Obnovení systému - nastavení

5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl TeslaCrypt ransomwarovým virem zasažen).

Zvolte bod obnovy

6. V otevřem okně zvolte "Ano".

Spusťte Obnovu systému

7. Po obnově Vašeho počítače k dřívějšímu datu proveďte sken Vašeho počítače pomocí doporučovaného antispywarového software abyste odstranili veškeré zbývající soubory viru TeslaCrypt.

Některá napadení ransomwarem jsou schopny zašifrovat všechny soubory, které byly uloženy na napadeném PC. Pokud se jedná o takovou situaci, můžete využít některé z nástrojů na seznamu na odšifrování svých souborů.

Pro obnovu souboru na tento klikněte pravým tlačítkem, přejde do Vlastností a následně do záložky Předchozí verze. Pokud je dostupný, vyberte nabídnutý Bod obnovy a klikněte na tlačítko "Obnovit"

Obnovení souborů šifrovaných CryptoDefense

Nemůžete-li spustit Váš počítač v Nouzovém režimu s prací v síti (nebo s příkazovým řádkem)spusťte Váš počítač prostřednictvím záchranného disku. Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.

Pro znovuzískání kontroly nad soubory zašifrovanými virem TeslaCrypt můžete zkusit program zvaný Shadow Explorer. Pro více informací o předmětném programu klikněte zde.

shadow explorer snímek obrazovky

 Pro ochranu Vašeho počítače před šifrovacími viry využívejte důvěryhodné antivirové a anti-spywarové programy. Jako další způsob ochrany můžete využít též program CryptoPrevent. (CryptoPrevent uměle zavádí zásady ochrany určitým druhům souborů v registrech a brání tak jejich infekci viry jako například TeslaCrypt.)

cryptoprevent snímek obrazovky

Další dostupné nástroje pro odstranění viru TeslaCrypt:

Zdroj: https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus