Gli sviluppatori del ransomware hanno rilasciato la master key di TeslaCrypt su rete Tor all'indirizzo wbozgklno6x2vfrk.onion.
La master key è la seguente
440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE
A chi ha conservato i dati cifrati dal ransomware non resta che scaricare la versione aggiornata di TeslaDecoder (sviluppato da BloodDolly di BleepingComputer) e procedere come segue.
- Scaricata l'ultima versione di TeslaDecoder, scompattarla e avviare il file TeslaDecoder.exe
 |
| FIG 1 - TeslaDecoder |
- Cliccare sul pulsante Set Key. Nella casella Key (hex): incolliamo la master key e in Extension selezioniamo l'estensione dei nostri file cifrati (per i file cifrati con TeslaCrypt 4.x a cui non è stata modificata l'estensione selezionare <as original>), quindi cliccare Set Key
- Si ritorna alla schermata vista in FIG 1. Non resta che cliccare su Decrypt Folder e selezionare la cartella (o l'intero disco) contenente i nostri file cifrati
Buon giorno
RispondiEliminal'estensione dei miei files criptati e' .UNBCZMM
E' possibile fare qualche cosa per decriptarli? Ho fatto un tentativo con le tue ultime istruzioni senza esito.
Saluti
Mauro Fratucello
obelix.bolzano@gmail.com
L'estensione indicata non è di TeslaCrypt ma con molta probabilità si tratta di CryptoL0cker e per questo tipo di ransomware non c'è al momento alcuna possibilità di decriptare i dati.
EliminaSono lusingato. Grazie
RispondiEliminaFantastico! Grazie!!
RispondiEliminaGrazie, grazie, grazie, è proprio vero, mi associo ad Alessandro: persone come te rendono il mondo migliore...
RispondiEliminanon ho capito se gli sviluppatori di TeslaCrypt hanno preso la decisione di chiudere i server e rilasciare la chiave volontariamente o sono stati in qualche modo costretti..
tu sai qualcosa...
un abbraccio
Roberto
Innanzitutto grazie.
EliminaNon sono stati costretti. In pratica hanno provveduto alla chiusura dei loro server man mano che i "distributori" puntavano più sul ransomware CryptXXX. Contattati da un ricercatore Eset hanno acconsentito al rilascio della master key (tanto non avrebbero tratto più alcun beneficio).
per i file formato .xyz criptati con tesla 2.2.0 non c'e' niente da fare al momento?? uff
RispondiEliminaI file con estensione .xyz di TeslaCrypt possono essere recuperati sia con il vecchio metodo con l'utilizzo di yafu sia con la master key indicata in questo articolo.
Eliminasalve i file hanno tutti questa estensione *.JPG.khanlxa.xyz
Eliminae purtroppo il decrypter non funziona..
La doppia estensione khanlxa.xyz mi fa pensare o al file rinominato da qualcuno o da un'azione di più ransomware contemporaneamente. Tutti i tuoi file hanno questa doppia estensione? .xyz mi fa pensare a TeslaCrypt mentre l'altra estensione mi fa pensare a qualche variante di CryptoL0cker (per questo tipo di file al momento non c'è alcuna possibilità di decripttarli). Se vuoi puoi inviarmi uno dei tuoi file e, appena ho un pò di tempo, vedo se è possibile decripttarlo
Eliminagrazie mille di tutto cuore, ha reso la mia giornata stupenda!!!!!sono riuscita a recuperare tutte le foto e i video dei miei bambini!!!!grazie ancora
RispondiEliminaLieto di essere stato d'aiuto e grazie per il commento :)
EliminaCiao Giovanni,
RispondiEliminaUn grazie di tutto cuore per avermi fatto recuperare centinaia di foto care e documenti vari.
Complimenti ancora per la semplicità con cui spieghi e la professionalità che si nota.
Penso meriti più di un caffè e stò provvedendo a questo; anzi, invito chi ancora non ci ha pensato
ad offrirtene qualcuno....
Grazie ancora Paolo
Ciao Paolo. Grazie per il commento. Fa sempre piacere sapere di essere stato d'aiuto. Grazie infinite anche per la donazione e la tua generosità
Eliminaqualche news per il CTB Locker?
RispondiEliminaNessuna novità. Per i file cifrati con le ultime varianti di CTB Locker non c'è possibilità di decriptarli.
EliminaSalve. I file ctb locker estensione nxlvnfc di cosa si tratta?
RispondiEliminaSi tratta di file di dati cifrati da CTB Locker, un altro tipo di ransomware, che al momento non c'è possibilità di decriptare
Eliminaciao, ho dei file .vvv ma pur usando la master key come da te indicato, non vengono decriptatati.
RispondiEliminaversione tesladecoder 1.0.1.
hai altre informazioni da darmi?
grazie
Strano. Hai provato in modo manuale come indicato nell'articolo https://giovannilubrano.blogspot.it/2016/01/ransomware-teslacrypt.html ? Se non va nemmeno così potrebbe trattarsi di un altro ransomware oppure i file sono stati interessati da più ransomware (o corrotti sul disco). Se vuoi puoi inviarmi un file cifrato (possibilmente un pdf, un file di office o un immagine) e provo a dargli un'occhiata quando ho un pò di tempo
EliminaCiao mia moglie ha beccato un virus dalla pec una nuova variante del ransomware CRYPTOLOCKER denominato TESLACRYPT 3.0.
RispondiEliminaio sinceramente ne capisco zero xro lei è disperata. Mi potresti aiutare? Ti ringrazio
Ciao, Crypto-l0cker e TelsaCrypt sono 2 ransomware diversi. Per il primo non c'è possibilità di recuperare i dati, per il secondo si può procedere come indicato nell'articolo. La prima cosa da fare è individuare correttamente il tipo di ransomware. L'operazione può essere effettuata verificando l'estensione del file cifrato, dal messaggio di riscatto visualizzato oppure caricando un file cifrato su https://id-ransomware.malwarehunterteam.com/. Per rimuovere la gran parte dei ransomware basta scaricare ed eseguire una scansione con il tool MalwareBytes.
EliminaSalve, intanto grazie infinite per averci indicato la soluzione che mi ha permesso di recuperare i dati criptati.
RispondiEliminaMi è rimasto un unico problema: all'avvio continua a comparire il messaggio con la richiesta di riscatto.
A quanto pare è un'immagine png che per quanto io provi a cancellare si replica in tutte le cartelle.
Sapresti indicarmi una soluzione? Grazie ancora!
Ciao. Innanzitutto scarica MalwareBytes (anche la versione gratuita va bene) e fai una scansione dell'intero sistema per assicurarti che il ransomware sia stato completamente rimosso. Se il messaggio viene visualizzato anche dopo la scansione allora è probabile che sia richiamato o tramite chiave di registro oppure tramite esecuzione automatica. Nel registro solitamente viene richiamato tramite un valore all'interno della chiave HKCU\Software\Microsoft\Windows\CurrentVersion\Run\. Se non ti senti pronto a mettere mano al registro puoi lanciare il comando msconfig: premi la combinazione WIN+R e nella casella esegui digita msconfig seguito da invio, nella scheda avvio verranno mostrati tutti i processi richiamati all'avvio dove dovresti trovare la chiamata alla schermata di blocco (solitamente un file con un nome strano). In Windows 8 e successivi li puoi visualizzare da Gestione Attività->Avvio. Bisogna anche verificare che non venga richiamato da Esecuzione automatica: WIN+R e digita %appdata%\Microsoft\Windows\Start Menu\Programs\Startup per accedere alla cartella dell'esecuzione automatica
EliminaProblema risolto perfettamente (grazie alle tue preziose indicazioni).
RispondiEliminaGrazie davvero.
Ciao. Grazie per il commento. Mi fa sempre piacere sapere che qualcuno risolva un problema leggendo il mio blog :)
Eliminaciao, il mio pc è stato infettato con l'algoritmo rsa4096 e non riesco a capire se posso seguire questa procedura..i file criptati hanno estensioni tutte differenti es: .D98E2-.1A8D3-.EAFF9-.FC846 è possibile?grazie
RispondiEliminaNon puoi usare la procedura indicata nell'articolo trattandosi di un ransomware diverso. Per identificare il ransomware prova a fare l'upload di un file cifrato su https://id-ransomware.malwarehunterteam.com e vedi se ti restituisce qualche risultato
EliminaGrazie pare che si tratti di CryptXXX 4.0 c'è qualcosa qui sul blog a riguardo?
EliminaPuoi fare un tentativo con il tool di Kaspersky Rannodecryptor http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe anche se molto probabilmente ti verrà richiesta la versione cifrata e quella originale del file in modo da poter risalire alla chiave privata
EliminaCiao Giovanni, pur avendo dei banali files .ABC, mi dice "0 files decrypted".
RispondiEliminaPotrei mandarti una di queste foto bloccate? Grazie in anticipo!
Si, certo. Puoi condividere il file https://www.sendspace.com/ e scrivermi il link per scaricarlo sul blog.
Elimina> Si, certo. Puoi condividere il file https://www.sendspace.com/ e scrivermi il link per scaricarlo sul blog.
Elimina==============================
Eccolo: https://www.sendspace.com/file/zdembw
e ancora grazie per l'attenzione!
La chiave privata (master key) per i tuoi file è: E06584DF98BC45ADDBDEE52D32985F3B1517817BDD04BA00767D8F9D7F99C94C
EliminaUsa questa master key al posto di quella indicata nell'articolo. Per il resto i passaggi da seguire sono gli stessi.
Grazie, ha funzionato, pero' correggimi se sbaglio: il passepartout generosamente rilasciato dagli autori del ransonware NON e' universale, visto che tu hai dovuto rigenerarlo per le mie foto, giusto?
RispondiEliminaE se non sono indiscreto, quale tecnica hai usato per creare la mia master key?
Sei un grande, e basta :)
Non ti sbagli. La master key indicata nell'articolo sembra non funzioni per tutti. Mi sono capitati già diversi casi in cui ho dovuto provvedere al calcolo della master key tramite yafu e uno scipt in Python che mi sono creato. Per decriptare i file è possibile usare anche il tool della Trend Micro http://solutionfile.trendmicro.com/SolutionFile/EN-1114221/TeslacryptDecryptor%201.0.1569%20MUI.zip. Il tool fa tutto in automatico, trova la master key e provvede a decriptare i file. Il tool può essere usato anche per trovare la master key: una volta eseguito, crea la cartella C:\Users\\AppData\Local\Temp\TMRDTSelfExtract. All'interno di tale cartella viene generato il file TestlaDec_log_stdError.txt contentente la master key e altre informazioni. Per decriptare i file preferisco usare TeslaDecoder in quanto lo trovo più veloce e permette un maggiore controllo.
EliminaGrazie per il complimento e per avermi messo al corrente dell'esito dell'operazione. Come ho scritto in qualche altro post fa sempre piacere sapere di essere stato d'aiuto.
Mi dia pure il link dei file condivisi (se vuole può condividerli su https://www.sendspace.com/ e scrivermi il link in risposta a questo post).
RispondiEliminaP.S. Non mi chiami Sig., se potremmo darci del "tu" sarei più a mio agio. :)
Ciao, la masterkey che devi utilizzare per decriptare i tuoi file è:
RispondiEliminaFDA5B7B0EAAA9F339A9B15263A72452B2B2C2051C112B93FD085FE4BB1822529
Usa questa master key al posto di quella indicata nell'articolo.
Sono contento di esserti stato d'aiuto e che hai recuperato i tuoi dati. :)
RispondiEliminaBuonasera Giovanni sono stato anche io purtroppo colpito da questo maledetto virus ma per la verità tutti i miei file non hanno un estensione in elenco riportata dal software Tesla decoder ma sono tutti di tipo 9761.
RispondiEliminaCosa significa ?
grazie
Ciao. Nel tuo caso non si tratta del ransomware TeslaCrypt. La prima operazione da fare è quella di identificare correttamente il ransomware. Un modo semplice per fare questa operazione consiste nel caricare un file cifrato sul sito https://id-ransomware.malwarehunterteam.com/
EliminaSe si tratta di un ransomware conosciuto ti verrà indicato il nome.
ciao giovanni,
RispondiEliminaio ho dei file con estensione .encrypted
sai dirmi qualcosa al riguardo.
grazie anticipatamente
Ciao. Diversi ransomware utilizzano l'estensione .encrypted: Crypt0L0cker, KeRanger (ambiente Apple), Apocalypse, Smrss32, Fabiansomware. Nel caso si tratti di una delle ultime versioni di Crypt0L0cker al momento ci sono poche possibilità di recuperare i dati.
Eliminagrazie mille
EliminaCiao,
Eliminaho controllato la data di modifica dei file, risale più o meno ad aprile.
il mio amico non si è accorto di nulla fino a quando gli serviva una foto..
secondo te potrebbe essere una variante "vecchia" di Crypt0L0cker?
grazie
Ciao, difficile dirlo dalla data di modifica. Se vuoi puoi condividere un file criptato su https://www.sendspace.com/ e scrivermi il link per scaricarlo sul blog. Proverò a dargli un'occhiata.
EliminaScusa Giovanni, sono nuovo a questo genere di problema, ieri (14/12/2016) non so come, nonostante l'antivirus di windows 10 fosse attivo, il mio PC è stato infettato dal virus Crypt0L0cker che mi ha criptato tutti i file mediante estensioni di sei lettere ciascuno diverse per ogni singolo file ad eccezione degli .mp3 cche non sono stati toccati sia sull'hard disk principale che su quello esterno che avevo collegato per fare il backup, per cui in questo momento ho perso anni di lavori, foto e documenti, ho letto che per questo tipo di virus non è possibile attualmente la decriptazione. Potrei essere messo al corrente qualora si riuscisse a risolvere il problema, te ne sarei veramente grato, Franco
RispondiEliminaCiao. Diversi ransomware utilizzano un estensione con 6 caratteri casuali: CTB-Locker, Maktub Locker, Alma Locker ecc. Per molti di loro non è ancora disponibile una soluzione. Per prima cosa bisognerebbe identificare correttamente il ransomware. Generalmente all'interno delle cartelle dei file cifrati ci sono alcuni file in chiaro creati dal ransomware con informazioni su come pagare il riscatto e riottenere i propri file. Analizzando tali file e i file cifrati è possibile risalire al ransomware. I file con le istruzioni hanno nomi tipo HOW_TO_DECRYPT_FILES, HOW_TO_RESTORE, HOW_TO_RESTORE ecc e hanno generalmente estensioni .html, .txt. Puoi provare ad identificare il ransomware facendo l'upload di alcuni file su https://id-ransomware.malwarehunterteam.com/
EliminaGiovanni sei davvero in gamba, ho ovviamente un problema con un ransomware, solo che il sito da te indicato mi restituisce una pagina bianca.
RispondiEliminaSecondo te cosa vuol dire? il ransom ha criptato in 6 caratteri diversi per ogni file
Ciao. Temo che si tratti di una delle recenti varianti di Crypt0L0cker. Al momento non è possibile decriptare i dati di tale variante. Se vuoi puoi condividere qualche file cifrato su una piattaforma a tua scelta oppure su https://www.sendspace.com/ e mi dai il link. Posso dare un'occhiata
Eliminasalve, ho file infettati su un hard disk esterno con estensione di 6 lettere a caso. volevo chiederle se c'era la possibilità di recupero per i file. sono per la maggiore foto insieme ad altri documenti. le do il link per una foto che può vedere di che file è infetto. https://www.sendspace.com/file/jnj0ld
RispondiEliminagrazie mille intanto
Ciao. Purtroppo si tratta di una variante di Cript0L0cker per la quale, al momento, non è possibile procedere alla decriptazione dei dati (almeno non con gli strumenti a nostra disposizione). Se si tratta di dati importanti e ha l'urgenza di recuperarli al più presto può provare a rivolgersi al servizio di supporto Dr.Web (https://support.drweb.com/new/free_unlocker/for_decode/?lng=en), una società di sicurezza informatica Russa. Le chiederanno di inviare alcuni file cifrati e, se riescono a decriptarli, le forniranno, a pagamento (150€+iva), il tool per procedere al recupero dei suoi file.
EliminaOi Giovanni, pode me ajudar nesse arquivo?
RispondiEliminahttps://www.sendspace.com/file/uepn30
Oi, a chave maestra para usar com seus arquivos (your master key is): 58AB76130961F95FCDBCCBDA74D355E2C7CDB2091EB15FC0B5EECEABBAD3F689
EliminaBuongiorno Giovanni. Ti chiedo se questo argomento è ancora attivo e se potresti aiutarmi a recuperare la master key di uno dei file crittografati con TeslaCrypt 0.x (estensione .ecc), visto che le chiavi presenti in questo blog nel mio caso non funzionano. Grazie. Federico.
RispondiEliminaCiao. Posso provarci ma avrei bisogno che mi invii alcuni file cifrati (possibilmente file di Office, PDF, di testo o immagini). Puoi condividere tali file su google drive (se hai un'account google), su sendspace.com, su wetransfer.com o su qualsiasi altro servizio analogo e scrivermi i link nei commenti.
EliminaBuongiorno Giovanni, perdona la "latitanza".
RispondiEliminaQuesto è il link: https://www.sendspace.com/filegroup/pyMAZdnDOOP2%2BTOtc89eEzju6MwMhExJ
Spero tu abbia ancora disponibilità per provare a recuperare la chiave per questi files.
Grazie.
Ciao. Purtroppo i file .ecc non sono sufficienti per recuperare la chiave privata. Sarebbe necessario almeno uno (meglio se entrambi) dei seguenti file:
Eliminakey.dat (generalmente presente sulla postazione infettata dal ransomware nel percorso %appdata%\key.dat)
RECOVERY_KEY.TXT / RECOVERY_FILE.TXT (generalmente presente in tutte le cartelle contenente i file cifrati)
Ciao. Ho disponibile solamente un file (RECOVERY_KEY.TXT) e lo trovi qui: https://www.sendspace.com/file/ffnj4t
RispondiEliminaGrazie.
Federico
Ok, va benissimo. La tua chiave privata è: B24C0B04169E1AE16A1E51C30893B9A97E279B8C37F3E7D0FFB22411CF110CF4
EliminaPer la miseria! Appena posso provo...
RispondiElimina