giovedì 19 maggio 2016

Ransomware TeslaCrypt: Decriptare tutte le versioni

Gli sviluppatori di TeslaCrypt hanno provveduto alla chiusura dei server e, dietro richiesta dei ricercatori ESET, hanno messo a disposizione la master key per recuperare i dati cifrati da tutte le versioni del ransomware (incluse la 3.0 e 4.x).

Gli sviluppatori del ransomware hanno rilasciato la master key di TeslaCrypt su rete Tor all'indirizzo wbozgklno6x2vfrk.onion

La master key è la seguente
440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

A chi ha conservato i dati cifrati dal ransomware non resta che scaricare la versione aggiornata di TeslaDecoder  (sviluppato da BloodDolly di BleepingComputer) e procedere come segue.


  • Scaricata l'ultima versione di TeslaDecoder, scompattarla e avviare il file TeslaDecoder.exe
  • FIG 1 - TeslaDecoder
  • Cliccare sul pulsante Set Key. Nella casella Key (hex): incolliamo la master key e in Extension selezioniamo l'estensione dei nostri file cifrati (per i file cifrati con TeslaCrypt 4.x a cui non è stata modificata l'estensione selezionare <as original>), quindi cliccare Set Key


  • Si ritorna alla schermata vista in FIG 1. Non resta che cliccare su Decrypt Folder e selezionare la cartella (o l'intero disco) contenente i nostri file cifrati

61 commenti:

  1. Buon giorno
    l'estensione dei miei files criptati e' .UNBCZMM
    E' possibile fare qualche cosa per decriptarli? Ho fatto un tentativo con le tue ultime istruzioni senza esito.
    Saluti
    Mauro Fratucello
    obelix.bolzano@gmail.com

    RispondiElimina
    Risposte
    1. L'estensione indicata non è di TeslaCrypt ma con molta probabilità si tratta di CryptoL0cker e per questo tipo di ransomware non c'è al momento alcuna possibilità di decriptare i dati.

      Elimina
  2. Grazie, grazie, grazie, è proprio vero, mi associo ad Alessandro: persone come te rendono il mondo migliore...
    non ho capito se gli sviluppatori di TeslaCrypt hanno preso la decisione di chiudere i server e rilasciare la chiave volontariamente o sono stati in qualche modo costretti..
    tu sai qualcosa...
    un abbraccio
    Roberto

    RispondiElimina
    Risposte
    1. Innanzitutto grazie.
      Non sono stati costretti. In pratica hanno provveduto alla chiusura dei loro server man mano che i "distributori" puntavano più sul ransomware CryptXXX. Contattati da un ricercatore Eset hanno acconsentito al rilascio della master key (tanto non avrebbero tratto più alcun beneficio).

      Elimina
  3. per i file formato .xyz criptati con tesla 2.2.0 non c'e' niente da fare al momento?? uff

    RispondiElimina
    Risposte
    1. I file con estensione .xyz di TeslaCrypt possono essere recuperati sia con il vecchio metodo con l'utilizzo di yafu sia con la master key indicata in questo articolo.

      Elimina
    2. salve i file hanno tutti questa estensione *.JPG.khanlxa.xyz
      e purtroppo il decrypter non funziona..

      Elimina
    3. La doppia estensione khanlxa.xyz mi fa pensare o al file rinominato da qualcuno o da un'azione di più ransomware contemporaneamente. Tutti i tuoi file hanno questa doppia estensione? .xyz mi fa pensare a TeslaCrypt mentre l'altra estensione mi fa pensare a qualche variante di CryptoL0cker (per questo tipo di file al momento non c'è alcuna possibilità di decripttarli). Se vuoi puoi inviarmi uno dei tuoi file e, appena ho un pò di tempo, vedo se è possibile decripttarlo

      Elimina
  4. grazie mille di tutto cuore, ha reso la mia giornata stupenda!!!!!sono riuscita a recuperare tutte le foto e i video dei miei bambini!!!!grazie ancora

    RispondiElimina
  5. Ciao Giovanni,
    Un grazie di tutto cuore per avermi fatto recuperare centinaia di foto care e documenti vari.
    Complimenti ancora per la semplicità con cui spieghi e la professionalità che si nota.
    Penso meriti più di un caffè e stò provvedendo a questo; anzi, invito chi ancora non ci ha pensato
    ad offrirtene qualcuno....
    Grazie ancora Paolo

    RispondiElimina
    Risposte
    1. Ciao Paolo. Grazie per il commento. Fa sempre piacere sapere di essere stato d'aiuto. Grazie infinite anche per la donazione e la tua generosità

      Elimina
  6. Risposte
    1. Nessuna novità. Per i file cifrati con le ultime varianti di CTB Locker non c'è possibilità di decriptarli.

      Elimina
  7. Salve. I file ctb locker estensione nxlvnfc di cosa si tratta?

    RispondiElimina
    Risposte
    1. Si tratta di file di dati cifrati da CTB Locker, un altro tipo di ransomware, che al momento non c'è possibilità di decriptare

      Elimina
  8. ciao, ho dei file .vvv ma pur usando la master key come da te indicato, non vengono decriptatati.
    versione tesladecoder 1.0.1.
    hai altre informazioni da darmi?
    grazie

    RispondiElimina
    Risposte
    1. Strano. Hai provato in modo manuale come indicato nell'articolo https://giovannilubrano.blogspot.it/2016/01/ransomware-teslacrypt.html ? Se non va nemmeno così potrebbe trattarsi di un altro ransomware oppure i file sono stati interessati da più ransomware (o corrotti sul disco). Se vuoi puoi inviarmi un file cifrato (possibilmente un pdf, un file di office o un immagine) e provo a dargli un'occhiata quando ho un pò di tempo

      Elimina
  9. Ciao mia moglie ha beccato un virus dalla pec una nuova variante del ransomware CRYPTOLOCKER denominato TESLACRYPT 3.0.
    io sinceramente ne capisco zero xro lei è disperata. Mi potresti aiutare? Ti ringrazio

    RispondiElimina
    Risposte
    1. Ciao, Crypto-l0cker e TelsaCrypt sono 2 ransomware diversi. Per il primo non c'è possibilità di recuperare i dati, per il secondo si può procedere come indicato nell'articolo. La prima cosa da fare è individuare correttamente il tipo di ransomware. L'operazione può essere effettuata verificando l'estensione del file cifrato, dal messaggio di riscatto visualizzato oppure caricando un file cifrato su https://id-ransomware.malwarehunterteam.com/. Per rimuovere la gran parte dei ransomware basta scaricare ed eseguire una scansione con il tool MalwareBytes.

      Elimina
  10. Salve, intanto grazie infinite per averci indicato la soluzione che mi ha permesso di recuperare i dati criptati.
    Mi è rimasto un unico problema: all'avvio continua a comparire il messaggio con la richiesta di riscatto.
    A quanto pare è un'immagine png che per quanto io provi a cancellare si replica in tutte le cartelle.
    Sapresti indicarmi una soluzione? Grazie ancora!

    RispondiElimina
    Risposte
    1. Ciao. Innanzitutto scarica MalwareBytes (anche la versione gratuita va bene) e fai una scansione dell'intero sistema per assicurarti che il ransomware sia stato completamente rimosso. Se il messaggio viene visualizzato anche dopo la scansione allora è probabile che sia richiamato o tramite chiave di registro oppure tramite esecuzione automatica. Nel registro solitamente viene richiamato tramite un valore all'interno della chiave HKCU\Software\Microsoft\Windows\CurrentVersion\Run\. Se non ti senti pronto a mettere mano al registro puoi lanciare il comando msconfig: premi la combinazione WIN+R e nella casella esegui digita msconfig seguito da invio, nella scheda avvio verranno mostrati tutti i processi richiamati all'avvio dove dovresti trovare la chiamata alla schermata di blocco (solitamente un file con un nome strano). In Windows 8 e successivi li puoi visualizzare da Gestione Attività->Avvio. Bisogna anche verificare che non venga richiamato da Esecuzione automatica: WIN+R e digita %appdata%\Microsoft\Windows\Start Menu\Programs\Startup per accedere alla cartella dell'esecuzione automatica

      Elimina
  11. Problema risolto perfettamente (grazie alle tue preziose indicazioni).
    Grazie davvero.

    RispondiElimina
    Risposte
    1. Ciao. Grazie per il commento. Mi fa sempre piacere sapere che qualcuno risolva un problema leggendo il mio blog :)

      Elimina
  12. ciao, il mio pc è stato infettato con l'algoritmo rsa4096 e non riesco a capire se posso seguire questa procedura..i file criptati hanno estensioni tutte differenti es: .D98E2-.1A8D3-.EAFF9-.FC846 è possibile?grazie

    RispondiElimina
    Risposte
    1. Non puoi usare la procedura indicata nell'articolo trattandosi di un ransomware diverso. Per identificare il ransomware prova a fare l'upload di un file cifrato su https://id-ransomware.malwarehunterteam.com e vedi se ti restituisce qualche risultato

      Elimina
    2. Grazie pare che si tratti di CryptXXX 4.0 c'è qualcosa qui sul blog a riguardo?

      Elimina
    3. Puoi fare un tentativo con il tool di Kaspersky Rannodecryptor http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe anche se molto probabilmente ti verrà richiesta la versione cifrata e quella originale del file in modo da poter risalire alla chiave privata

      Elimina
  13. Ciao Giovanni, pur avendo dei banali files .ABC, mi dice "0 files decrypted".
    Potrei mandarti una di queste foto bloccate? Grazie in anticipo!

    RispondiElimina
    Risposte
    1. Si, certo. Puoi condividere il file https://www.sendspace.com/ e scrivermi il link per scaricarlo sul blog.

      Elimina
    2. > Si, certo. Puoi condividere il file https://www.sendspace.com/ e scrivermi il link per scaricarlo sul blog.

      ==============================

      Eccolo: https://www.sendspace.com/file/zdembw

      e ancora grazie per l'attenzione!

      Elimina
    3. La chiave privata (master key) per i tuoi file è: E06584DF98BC45ADDBDEE52D32985F3B1517817BDD04BA00767D8F9D7F99C94C

      Usa questa master key al posto di quella indicata nell'articolo. Per il resto i passaggi da seguire sono gli stessi.

      Elimina
  14. Grazie, ha funzionato, pero' correggimi se sbaglio: il passepartout generosamente rilasciato dagli autori del ransonware NON e' universale, visto che tu hai dovuto rigenerarlo per le mie foto, giusto?
    E se non sono indiscreto, quale tecnica hai usato per creare la mia master key?
    Sei un grande, e basta :)

    RispondiElimina
    Risposte
    1. Non ti sbagli. La master key indicata nell'articolo sembra non funzioni per tutti. Mi sono capitati già diversi casi in cui ho dovuto provvedere al calcolo della master key tramite yafu e uno scipt in Python che mi sono creato. Per decriptare i file è possibile usare anche il tool della Trend Micro http://solutionfile.trendmicro.com/SolutionFile/EN-1114221/TeslacryptDecryptor%201.0.1569%20MUI.zip. Il tool fa tutto in automatico, trova la master key e provvede a decriptare i file. Il tool può essere usato anche per trovare la master key: una volta eseguito, crea la cartella C:\Users\\AppData\Local\Temp\TMRDTSelfExtract. All'interno di tale cartella viene generato il file TestlaDec_log_stdError.txt contentente la master key e altre informazioni. Per decriptare i file preferisco usare TeslaDecoder in quanto lo trovo più veloce e permette un maggiore controllo.
      Grazie per il complimento e per avermi messo al corrente dell'esito dell'operazione. Come ho scritto in qualche altro post fa sempre piacere sapere di essere stato d'aiuto.

      Elimina
  15. Mi dia pure il link dei file condivisi (se vuole può condividerli su https://www.sendspace.com/ e scrivermi il link in risposta a questo post).
    P.S. Non mi chiami Sig., se potremmo darci del "tu" sarei più a mio agio. :)

    RispondiElimina
  16. Ciao, la masterkey che devi utilizzare per decriptare i tuoi file è:
    FDA5B7B0EAAA9F339A9B15263A72452B2B2C2051C112B93FD085FE4BB1822529
    Usa questa master key al posto di quella indicata nell'articolo.

    RispondiElimina
  17. Sono contento di esserti stato d'aiuto e che hai recuperato i tuoi dati. :)

    RispondiElimina
  18. Buonasera Giovanni sono stato anche io purtroppo colpito da questo maledetto virus ma per la verità tutti i miei file non hanno un estensione in elenco riportata dal software Tesla decoder ma sono tutti di tipo 9761.
    Cosa significa ?
    grazie

    RispondiElimina
    Risposte
    1. Ciao. Nel tuo caso non si tratta del ransomware TeslaCrypt. La prima operazione da fare è quella di identificare correttamente il ransomware. Un modo semplice per fare questa operazione consiste nel caricare un file cifrato sul sito https://id-ransomware.malwarehunterteam.com/
      Se si tratta di un ransomware conosciuto ti verrà indicato il nome.

      Elimina
  19. ciao giovanni,
    io ho dei file con estensione .encrypted
    sai dirmi qualcosa al riguardo.
    grazie anticipatamente

    RispondiElimina
    Risposte
    1. Ciao. Diversi ransomware utilizzano l'estensione .encrypted: Crypt0L0cker, KeRanger (ambiente Apple), Apocalypse, Smrss32, Fabiansomware. Nel caso si tratti di una delle ultime versioni di Crypt0L0cker al momento ci sono poche possibilità di recuperare i dati.

      Elimina
    2. Ciao,
      ho controllato la data di modifica dei file, risale più o meno ad aprile.
      il mio amico non si è accorto di nulla fino a quando gli serviva una foto..
      secondo te potrebbe essere una variante "vecchia" di Crypt0L0cker?
      grazie

      Elimina
    3. Ciao, difficile dirlo dalla data di modifica. Se vuoi puoi condividere un file criptato su https://www.sendspace.com/ e scrivermi il link per scaricarlo sul blog. Proverò a dargli un'occhiata.

      Elimina
  20. Scusa Giovanni, sono nuovo a questo genere di problema, ieri (14/12/2016) non so come, nonostante l'antivirus di windows 10 fosse attivo, il mio PC è stato infettato dal virus Crypt0L0cker che mi ha criptato tutti i file mediante estensioni di sei lettere ciascuno diverse per ogni singolo file ad eccezione degli .mp3 cche non sono stati toccati sia sull'hard disk principale che su quello esterno che avevo collegato per fare il backup, per cui in questo momento ho perso anni di lavori, foto e documenti, ho letto che per questo tipo di virus non è possibile attualmente la decriptazione. Potrei essere messo al corrente qualora si riuscisse a risolvere il problema, te ne sarei veramente grato, Franco

    RispondiElimina
    Risposte
    1. Ciao. Diversi ransomware utilizzano un estensione con 6 caratteri casuali: CTB-Locker, Maktub Locker, Alma Locker ecc. Per molti di loro non è ancora disponibile una soluzione. Per prima cosa bisognerebbe identificare correttamente il ransomware. Generalmente all'interno delle cartelle dei file cifrati ci sono alcuni file in chiaro creati dal ransomware con informazioni su come pagare il riscatto e riottenere i propri file. Analizzando tali file e i file cifrati è possibile risalire al ransomware. I file con le istruzioni hanno nomi tipo HOW_TO_DECRYPT_FILES, HOW_TO_RESTORE, HOW_TO_RESTORE ecc e hanno generalmente estensioni .html, .txt. Puoi provare ad identificare il ransomware facendo l'upload di alcuni file su https://id-ransomware.malwarehunterteam.com/

      Elimina
  21. Giovanni sei davvero in gamba, ho ovviamente un problema con un ransomware, solo che il sito da te indicato mi restituisce una pagina bianca.
    Secondo te cosa vuol dire? il ransom ha criptato in 6 caratteri diversi per ogni file

    RispondiElimina
    Risposte
    1. Ciao. Temo che si tratti di una delle recenti varianti di Crypt0L0cker. Al momento non è possibile decriptare i dati di tale variante. Se vuoi puoi condividere qualche file cifrato su una piattaforma a tua scelta oppure su https://www.sendspace.com/ e mi dai il link. Posso dare un'occhiata

      Elimina
  22. salve, ho file infettati su un hard disk esterno con estensione di 6 lettere a caso. volevo chiederle se c'era la possibilità di recupero per i file. sono per la maggiore foto insieme ad altri documenti. le do il link per una foto che può vedere di che file è infetto. https://www.sendspace.com/file/jnj0ld
    grazie mille intanto

    RispondiElimina
    Risposte
    1. Ciao. Purtroppo si tratta di una variante di Cript0L0cker per la quale, al momento, non è possibile procedere alla decriptazione dei dati (almeno non con gli strumenti a nostra disposizione). Se si tratta di dati importanti e ha l'urgenza di recuperarli al più presto può provare a rivolgersi al servizio di supporto Dr.Web (https://support.drweb.com/new/free_unlocker/for_decode/?lng=en), una società di sicurezza informatica Russa. Le chiederanno di inviare alcuni file cifrati e, se riescono a decriptarli, le forniranno, a pagamento (150€+iva), il tool per procedere al recupero dei suoi file.

      Elimina
  23. Oi Giovanni, pode me ajudar nesse arquivo?

    https://www.sendspace.com/file/uepn30

    RispondiElimina
    Risposte
    1. Oi, a chave maestra para usar com seus arquivos (your master key is): 58AB76130961F95FCDBCCBDA74D355E2C7CDB2091EB15FC0B5EECEABBAD3F689

      Elimina
  24. Buongiorno Giovanni. Ti chiedo se questo argomento è ancora attivo e se potresti aiutarmi a recuperare la master key di uno dei file crittografati con TeslaCrypt 0.x (estensione .ecc), visto che le chiavi presenti in questo blog nel mio caso non funzionano. Grazie. Federico.

    RispondiElimina
    Risposte
    1. Ciao. Posso provarci ma avrei bisogno che mi invii alcuni file cifrati (possibilmente file di Office, PDF, di testo o immagini). Puoi condividere tali file su google drive (se hai un'account google), su sendspace.com, su wetransfer.com o su qualsiasi altro servizio analogo e scrivermi i link nei commenti.

      Elimina
  25. Buongiorno Giovanni, perdona la "latitanza".
    Questo è il link: https://www.sendspace.com/filegroup/pyMAZdnDOOP2%2BTOtc89eEzju6MwMhExJ
    Spero tu abbia ancora disponibilità per provare a recuperare la chiave per questi files.
    Grazie.

    RispondiElimina
    Risposte
    1. Ciao. Purtroppo i file .ecc non sono sufficienti per recuperare la chiave privata. Sarebbe necessario almeno uno (meglio se entrambi) dei seguenti file:
      key.dat (generalmente presente sulla postazione infettata dal ransomware nel percorso %appdata%\key.dat)
      RECOVERY_KEY.TXT / RECOVERY_FILE.TXT (generalmente presente in tutte le cartelle contenente i file cifrati)

      Elimina
  26. Ciao. Ho disponibile solamente un file (RECOVERY_KEY.TXT) e lo trovi qui: https://www.sendspace.com/file/ffnj4t
    Grazie.
    Federico

    RispondiElimina
    Risposte
    1. Ok, va benissimo. La tua chiave privata è: B24C0B04169E1AE16A1E51C30893B9A97E279B8C37F3E7D0FFB22411CF110CF4

      Elimina
  27. Per la miseria! Appena posso provo...

    RispondiElimina

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.