Decodificare i file cifrati dal ransomware Tesla Crypt

Il ransomware Tesla Crypt, uno dei “figli” del noto Cryptolocker è stato sconfitto. Il malware, che prende in ostaggio i file personali degli utenti (gli originali vengono rimossi ed i file cifrati assumono l’estensione .ecc) e chiede un riscatto in denaro per fornire la chiave privata per la decodifica, è stato oggetto di un’intensa attività di studio da parte di diverse società che si occupano di sicurezza informatica.

Oggi, il Talos Group di Cisco spiega di aver trovato una soluzione definitiva per decifrare i file bloccati da TeslaCrypt.
Per decodificare i file cifrati da Tesla Crypt basta scaricare questo file.

Per utilizzare il decrypter gratuito di Tesla Crypt, però, è indispensabile tenere presente che sul sistema infetto dal ransomware dovrà necessariamente essere ancora presente un file chiamato key.dat.
In tale file il ransomware Tesla Crypt conserva diverse informazioni usate per la codifica dei file ed essenziali per l’attività di decodifica. A beneficio dei lettori più esperti, la struttura del file key.dat è quella riassunta in tabella:

Il file key.dat viene memorizzato all’interno della cartella %appdata% di Windows. Nel caso in cui il file fosse stato eliminato, il recupero dei propri file cifrati non sarà possibile, almeno utilizzando il tool di Cisco (vedere più avanti).

Come spiegato nella pagina di supporto elaborata dal Talos Group di Cisco, l’opzione /keyfile consente di specificare il percorso del file key.dat mentre, ad esempio, /scanEntirePc consente di decodificare tutti i file .ecc memorizzati sul PC.

Come recuperare i file cifrati da Tesla Crypt (.ecc) se non si possiede più il file key.dat

Al momento non è dato sapere come i tecnici della società russa possano riuscirci, ma Dr. Web è in grado di decifrare i file codificati dai ransomware come Tesla Crypt partendo semplicemente da due documenti in formato DOC e/o XLS.
Dr. Web è in grado di recuperare i file bloccati da Tesla Crypt (così come da altri malware) senza informazioni aggiuntive quali, in questo caso, il contenuto del file key.dat.

Per sapere tutto su questa possibilità di recupero, offerta da Dr. Web, suggeriamo di fare riferimento all’articolo Cryptolocker e altri ransomware: come decodificare i file.