Специалисты ESET выпустили инструмент для расшифровки файлов TeslaCrypt31.05.2016 15:18

Наши специалисты выпустили специальный служебный инструмент — расшифровщик (декриптор) зашифрованных вымогателем TeslaCrypt файлов. Приложение TeslaCryptDecryptor поможет расшифровать файлы тем пользователям, которые пострадали от деятельности вредоносной программы TeslaCrypt новых версий v3 и v4. Создание инструмента стало возможным после того, как киберпреступники, стоящие за его разработкой, закрыли проект, а одному из наших аналитиков удалось получить универсальный ключ для расшифровки файлов.

e44f83f540c74ac98f3fe3cd4ed8c786.jpeg

Один из наших антивирусных экспертов — Igor Kabina, который отслеживал деятельность этой вредоносной программы, а также связанные с ней изменения, является автором этого инструмента. Мы заметили снижение активности TeslaCrypt уже несколько недель назад, когда стало очевидно, что авторы собираются отказываться от поддержки своего «продукта». В то же время, другие киберпреступники, которые зарабатывали на распространении TeslaCrypt, стали переключаться на другой вымогатель CryptProjectXXX.

9131dc8fc1fd46fab1d69236f1b2b42f.jpeg
Рис. Окно с требованием выкупа TeslaCrypt.

ca302aaa6396442f92053d0a5d1e869f.png
Рис. Интерфейс окна ввода включа TeslaCrypt.

Антивирусные продукты ESET обнаруживают вредоносные файлы вымогателя как Win32/Filecoder.TeslaCrypt. Вымогатель может использовать для зашифрованных файлов таких расширения как .xxx, .ttt, .micro, .mp3.

66cbe300ecaf46f8a8ca31ec6a30ca41.png
Рис. Интерфейс инструмента ESETTeslaCryptDecryptor.

ESETTeslaCryptDecryptor лучше всего запускать с аргументом буквы диска, т. е., например, «ESETTeslaCryptDecryptor.exe C:». Программа автоматически выполнит поиск зашифрованных на томе файлов с их последующей расшифровкой.

Кроме этого, программа поддерживает следующие ключи командной строки:

  • /s — запуск в «тихом» режиме;
  • /f — запуск в «принудительном» режиме;
  • /d — запуск в режиме отладки;
  • /n — просто перечислить зашифрованные вымогателем файлы (без автоматической расшифровки);
  • /h или /? — справка по параметрам;


Необходимо подчеркнуть, что вымогатели остаются одними из самых опасных компьютерных угроз на сегодня, поэтому профилактика заражения данным видом вредоносного ПО имеет очень важное значение. Следует регулярно устанавливать обновления для ОС, а также используемого ПО. Кроме этого, следует использовать надежные решения безопасности и использовать резервное копирование данных. Резервное копирование является одним из основных механизмов защиты от деструктивной деятельности вымогателей.

Мы также советуем всем пользователям быть очень осторожным при переходе по ссылкам в сообщениях электронной почты или браузерах, а также при открытии файлов во вложениях. Это особенно актуально для сообщений, которые поступают из неизвестных источников или просто выглядят подозрительно.

© Habrahabr.ru