Zagrożenie szkodliwego oprogramowania wynikające z TeslaCrypt ostatnio zaczęło rozsiewać nowe rozszerzenie plikom, które szyfruje na komputerze ofiary. Każdy dokument, archiwum, zdjęcie czy wideo zapisane na zainfekowanym twardym dysku komputera dostaje obecnie rozszerzenie z „,vvv”, które zastępuje wcześniej przeważający sufiks „.ccc”. Ta metamorfoza rozszerzenia jest najbardziej do przyjęcia z kilku zamienień dokonanych przez modus operandi trojana w wyniku niedawnej aktualizacji oprogramowania. Inne zmodyfikowane atrybuty zawierają nazwy dokumentów zawierające szczegóły szkodliwe, które zmieniły się z howto_recover_file_{random}.html/txt – na how_recover+{random}.html/txt; jak również ścieżki, poprzez które są zainfekowane, użytkownik jest prowadzony do osobistej strony do zapłaty swoistego okupu.
Rozszerzenie pliku zmieniane przez TeslaCrypt
Te pliki .vvv można otworzyć poprzez jakiekolwiek podstawowe programy czy aplikacje, przyczyna jest oczywista: są zaszyfrowane poprzez AES (Advanced Encryption Standard), który jest symetrycznym szyfrem blokowania. Wirus jednakże może wykonać pracę dekodującą pod warunkiem, że ofiara zapłaci okup w Bitcoinach. Kwota różni się, ale zwykle to poziom 1.5-2 BTC. Wszystkie zabezpieczone bramki linkujące do usługi deszyfrującej jak również związane z tym instrukcje, są oferowane w powyżej wspomnianych plikach how_recover, które są dodane do Pulpitu i folderów tak długo jak zawierają informacje o użytkowniku, które są w rażący sposób przechwytywane w drodze kompromisu.
Szkodliwe oprogramowanie wchodzi w interakcję z ofiarami poprzez przyjemny interfejs
TeslaCrypt nie jest masowym oprogramowanie szyfrującym dane. Z jakiejś przyczyny jego warianty mogą kryć się, jako inne szeroko rozpowszechnione szkodliwe trojany nazywane CryptoWall. Motywacja oszustów do zaimplementowania tej zmieniającej nazwy nie jest do końca znana na tym etapie. Prawdopodobnie jest to jakiś rodzaj danych billingowych dzielących proces, dając modelowi afiliacyjnemu stojącemu za rotacją tych infekcji. W każdym razie rozszerzenie .vvv dodane do zaszyfrowanych plików powinno nie pozostawić wątpliwości, że jest to TeslaCrypt, który powoduje ten problem. W istocie różnica operacyjna i na poziomie kodu pomiędzy oryginalnymi kopiami tych dwóch wirusów jest drastyczna: standard szyfrowania (AES vs. RSA-2048), aspekty komunikacji Zarządzaj i Kontroluj, schematy dystrybucji itd.
W niefortunnym przypadku, kiedy pliki na HDD, zmapowane dyski i peryferia z danymi zostały zaszyfrowane i otrzymały rozszerzenie .vvv nagle, nie ma zbyt wielu opcji dla ofiary: zapłacić okup lub spróbować szczęścia obejść skutki spowodowane przez to szkodliwe oprogramowanie do szyfrowania.
To ekskluzywnie wydajna metoda zadbania o ogólnie szkodliwe oprogramowanie i w szczególności zagrożenia związane z płatnościami. Użycie godnego zaufania oprogramowania zabezpieczającego zapewnia skrupulatną detekcję wszystkich komponentów wirusów i kompletne usunięcie tychże za jednym klikiem. Doradzamy, że odinstalowanie tej infekcji oraz odzyskanie Twoich plików to dwie różne rzeczy, ale potrzeba usunięcia tego chwasta jest niezaprzeczalna i zostało to zgłoszone by promować inne Trojany w czasie działania.
Powiedziano, że TeslaCrypt (CryptoWall) stosuje mocne szyfrowanie by sprawić by pliki były niedostępne, dlatego nie ma żadnej magicznej różdżki, która odzyska wszelkie zaszyfrowane dane w mgnieniu oka, oprócz oczywiście wrzucenia opłaty nie do pomyślenia. Istnieją oczywiście techniki, które mogą podać Ci pomocną dłoń w odzyskaniu ważnych rzeczy – dowiedz się, jakie one są.
Automatyczne oprogramowanie do odzyskiwania plików
To interesujące wiedzieć, że wirusy z rozszerzeniem .vvv wymazują oryginalne pliki w niezaszyfrowanej formie. To kopie, które przechodzą proces szyfrowania mającego wyrządzić szkody. Dlatego narzędzia jak Data Recovery Pro mogą odzyskać usunięte obiekty nawet, jeśli zostały usunięte w bezpieczny sposób. Ta praca jest zdecydowanie warta poświęcenia chwili, bo okazała się całkiem efektywna.
Kopie Rozmiaru Cienia
To podejście bazuje na natywnej kopii zapasowej plików w komputerze z systemem Windows, co jest przeprowadzane na każdym punkcie odzyskiwania. Jest jedna ważny warunek dla tej metody: działa, jeśli funkcjonalność Odzyskiwania Systemu została uruchomiona przed zanieczyszczeniem systemu. Również, jeśli zmiany zostały dokonane w pliku po ostatnim punkcie przywracania, nie będą przypominać odzyskanej wersji pliku.
Właściwości dla losowych plików posiada zakładka Poprzednie Wersje. To tu zapisane są poprzednie wersję i są one wyświetlane, stąd mogą być odzyskane. Dlatego kliknij prawym przyciskiem myszy na plik, idź do Właściwości, wybierz wymienioną powyżej zakładkę i wybierz Kopiuj lub opcję Otwórz, w zależności od lokalizacji, w której chcesz je odzyskać
Powyższy proces może być zautomatyzowany narzędziem nazwanym ShadowExplorer. Właściwie dokonuje tej samej rzeczy (odzyskanie Kopii Rozmiaru Cienia), ale w bardziej przystępny sposób. Dlatego pobierz i zainstaluj aplikację, odpal ją oraz przeglądaj pliki i foldery, których poprzednie wersje chciałbyś odzyskać. By wykonać to zadanie, kliknij prawym przyciskiem na jakikolwiek wpis i wybierz opcję Export
Kopie zapasowe
Ze wszystkich opcji, które nie są związane z opłatą, ta jest najbardziej optymalna. W przypadku jeśli tworzysz kopie zapasowe wszystkich swoich informacji na zewnętrzny serwer, zanim szkodliwe oprogramowanie uderzy w Twój PC, odzyskanie zaszyfrowanych plików przez wirusa z rozszerzeniem .vvv jest tak proste jak zalogowanie się do odpowiedniego interfejsu, wybranie odpowiednich plików i zainicjowanie oraz odzyskanie ich w odpowiedni sposób. Zanim to zrobisz, upewnij się, że całkowicie usunąłeś szkodliwe oprogramowanie z twojego komputera.
W przypadku, gdy wybrałeś technikę oczyszczenia manualnego, niektóre fragmenty szkodliwego oprogramowania mogły zostać, jako obiekty ukryte w systemie operacyjnym lub wpisach rejestru. By upewnić się, że nie ma żadnych szkodliwych komponentów zagrożenia, przeskanuj swój komputer rzetelnym oprogramowaniem zabezpieczającym przed zagrożeniami.
Pobierz oprogramowanie do skanowania i usuwania wirusa pliku .vvv
