image

Makers TeslaCrypt-ransomware zetten decryptiesleutel online

donderdag 19 mei 2016, 09:50 door Redactie, 10 reacties

De makers van de TeslaCrypt-ransomware zijn naar eigen zeggen met hun "project" gestopt en hebben de universele decryptiesleutel online gezet, zodat slachtoffers kosteloos hun bestanden kunnen ontsleutelen. Recent werd nog gemeld dat TeslaCrypt de actiefste ransomware in het eerste kwartaal was.

De eerste variant van TeslaCrypt verscheen vorig jaar maart en viel vooral op omdat de ransomware zich op games en gameplatformen richtte. De ransomware zoekt naar specifieke spellen en directories van gamingsoftware, zoals Steam. Wat opvalt is dat er veel "klassiekers" tussen staan, zoals Diablo, Fallout 3, Half-Life 2 en WarCraft 3. Ook zijn verschillende online games het doelwit, waaronder World of Warcraft, Day Z, League of Legends en World of Tanks. Daarnaast worden ook allerlei afbeeldingen, muziekbestanden, documenten en videoformaten versleuteld.

Via een Tor-pagina laten de makers echter weten dat ze met het "project" zijn gestopt en maken zelfs hun excuses. Het Slowaakse anti-virusbedrijf ESET nam vervolgens via het supportkanaal van de ransomwaremakers contact op en vroeg om de universele encryptiesleutel, die vervolgens werd vrijgegeven. ESET en een gebruiker van het forum Bleeping Computer hebben de encryptiesleutel in een gratis tool verwerkt, zodat slachtoffers kosteloos hun bestanden kunnen ontsleutelen.

Image

Reacties (10)
19-05-2016, 10:26 door jwijnings
Is dit gebruikelijk? Dat ransomware makers het als een tijdelijk 'grapje' zien ofzo?
19-05-2016, 10:29 door Anoniem
Goed bezig... als er mensen in een ziekenhuis dood gaan... voel je je vast schuldig
19-05-2016, 10:34 door Anoniem
Door jwijnings: Is dit gebruikelijk? Dat ransomware makers het als een tijdelijk 'grapje' zien ofzo?

Strafvermindering bij vervolging. "Ze zouden hebben ingezien dat het fout was"

Genoeg geld. "Geen gezeur meer en wegwezen met t geld"

Geweten. "Toch wel zielig voor mensen, laten we ermee stoppen"

Moeder. "Hoe durf jij jongen! Stop er mee! Haal sigaretten voor me!"

Of een combinatie van alle 4...
19-05-2016, 10:37 door Anoniem
Door jwijnings: Is dit gebruikelijk? Dat ransomware makers het als een tijdelijk 'grapje' zien ofzo?
Nee en waarschijnlijk is het niet de creator zelf, dat zou een beetje raar zijn.
Of ze zijn hem op het spoor en hij probeert zijn toekomstige straf wat te beperken.

iig, fout is fout.
19-05-2016, 11:03 door Anoniem
Waarschijnlijk "overtuigt" door een overheids instantie met baangarantie.
19-05-2016, 11:28 door Anoniem
Nee, het is de zucht naar geld dat de wortel is van al het kwaad (1 Timoteus 6;9 ev)
Wie tot inkeer komt krijgt berouw over zijn wandaden. Dat is de eerste stap naar genezing.
19-05-2016, 14:06 door Anoniem
Door Anoniem: Nee, het is de zucht naar geld dat de wortel is van al het kwaad (1 Timoteus 6;9 ev)
Wie tot inkeer komt krijgt berouw over zijn wandaden. Dat is de eerste stap naar genezing.

Geld is slechts een symptoom van macht. (Vliegend Spaghettimonster 12;2 e.v.)

Godsdienst is opium voor het volk (Karl Marx-Zur Kritik der Hegelschen Rechtsphilosophie)

Ik sluit me aan bij post #2:
Goed bezig... als er mensen in een ziekenhuis dood gaan... voel je je vast schuldig
19-05-2016, 14:06 door Anoniem
Ah bijna! Mijn decryptiesleutel begon met 33
So close! :-(
19-05-2016, 15:56 door Anoniem
Ik heb trouwens de volgende dingen gedaan om alles ook weer netjes terug te krijgen.

Aangezien de tool alleen de bestanden decrypt en je daardoor alsnog alle extenties moet aanpassen

In commandrompt:
//Decryptietool gebruiken
ESETTeslaCryptDecryptor.exe "D:/foldernaam"

//Veranderen van extenties van bv .jpg.micro naar .jpg of .docx.micro naar .docx
forfiles /S /M *.micro /C "cmd /c rename @file @fname"

//Deleten van alle recover instructions door die malware
del /s *help_recover_instructions*

//Deleten van alle backup files van eset
del /s *.micro.backup_6_by_eset*

p.s.
Ik heb de cmd geopend in de hoofdmap waarin recursief alle encrypte bestanden zaten.
20-05-2016, 12:23 door 0101
Door jwijnings: Is dit gebruikelijk? Dat ransomware makers het als een tijdelijk 'grapje' zien ofzo?
Wat er in ieder geval valt op te merken is dat de meeste TeslaCrypt-gebruikers overgestapt zijn op CryptXXX. Misschien zijn ze overgenomen o.i.d.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.