Utpressningshotet TeslaCrypt har nyligen börjat installera en ny slags filändelse på filerna som krypteras på ett offers dator. Varje dokument, arkiv, bild, och film som lagras på den infekterade datorns hårddisk får nu ett nytt slut, “.vvv”, vilket ersätter det tidigare tillägget “.ccc”. Denna filändelse är den mest märkbara av de få förändringar i trojanens tillvägagångssätt som ett resultat av uppdateringen av koden. Andra modifierade attribut inkluderar namnen på dokumenten som innehåller information om utpressningshotet, som har ändrats från howto_recover_file_{random}.html/txt – till how_recover+{random}.html/txt; och inkörsporten Tor genom vilken den drabbade användaren omdirigeras till sin personliga betalningssida.
Dessa .vvv-filer kan inte öppnas med hjälp av några av standardprogrammen eller applikationer från tredje part, av uppenbara skäl: de krypteras med hjälp av AES (ett avancerat krypteringssätt) som fungerar som ett symmetriskt chiffer. Viruset kan dock dechiffreras om den drabbade användaren betalar en lösensumma i Bitcoins. Summan varierar, men det gäller oftast 1,5 – 2 BTC. Alla säkra inkörsportar länkar till avkrypteringsfunktionen och relaterade instruktioner finns i de tidigare nämnda filerna how_recover som läggs till på skrivbordet och i mapparna, så länge de innehåller den information som kapades när viruset tog över datorn.
TeslaCrypt är på sätt och vis en ganska ovanlig form av skadlig programvara. Av någon anledning kan de olika versionerna vara maskerade som andra trojaner, som kallas för CryptoWall. Kaparens motivation för att ha bytt namn är inte helt klar ännu, men det är förmodligen en del av en process för att dela upp faktureringen, med tanke på vilka slags bolag som ligger bakom rotationen av dessa infektioner. I vilket fall som helst är .vvv-ändelsen på krypterade filer ett säkert tecken på att det är TeslaCrypt som ligger bakom problemen. Faktum är att den operationella och kodbaserade skillnaden mellan kopior av dessa två virus är drastiska: krypteringsstandarden (AES vs. RSA-2048), aspekter gällande kommunikationen för kommando och kontroll, distributionen, etcetera.
Om användaren har otur och filerna på hårddisken, mapparna, och lagringsfunktionerna har krypterats och helt plötsligt fått .vvv-ändelsen har användaren inte så mycket att välja på: de kan antingen betala lösensumman eller försöka hitta ett sätt att komma runt problemen som orsakats av denna skadliga programvara.
Det här är en exklusiv och effektiv metod för att ta hand om skadlig programvara rent generellt, och hot från utpressningsprogram i synnerhet. Att använda ett ryktbart och pålitligt säkerhetsprogram säkerställer att alla viruskomponenter upptäcks och tas bort på ett enda klick. Kom dock ihåg att avinstallation av viruset och återställning av dina filer är två olika saker, men det är absolut nödvändigt att ta bort viruset eftersom det är känt för att främja andra trojaner medan det arbetar med din dator.
Vi har nämnt att TeslaCrypt (CryptoWall) använder en svår kryptering för att göra filer oåtkomliga, så det finns ingen magisk trollformel som återställer all krypterad data på nolltid, förutom att betala den otänkbara lösensumman. Det finns dock tekniker som kan hjälpa dig återställa de viktiga sakerna, och du kan lära dig vad detta är.
Programvara för automatisk filåterställning
Det är ganska intressant att veta att viruset med .vvv-filer raderar originalfilerna i dess okrypterade form. Det är kopiorna som utsätts för programvarans kryptering. Verktyg som Data Recovery Pro kan därför återställa de raderade objekten även om de togs bort på ett säkert sätt. Denna process är definitivt värd besväret eftersom det bevisats vara relativt effektivt.
Skuggkopior
Detta tillvägagångssätt förlitar sig på att Windows backar upp filerna på datorn, vilket sker vid varje återställning. Det finns dock ett viktigt villkor för denna metod: det fungerar bara om funktionen för systemåterställning aktiverades innan datorn smittades av viruset. Om en fil ändrats efter den senaste återställningen kommer ändringen inte att visas i den nya versionen av filen, efter återställningen.
Egenskapsrutan för många filer har en flik som heter Tidigare versioner. Det är där som de tidigare versionerna visas, och kan hämtas. Högerklicka på en fil, välj Egenskaper, klicka på den ovan nämnda fliken, och välj Kopiera eller Återställ, beroende på var du vill spara versionen.
Processen ovan kan automatiseras med ett verktyg som heter ShadowExplorer. Det gör egentligen samma sak (hämtar skuggkopior), men på ett smidigare sätt. Ladda ned och installera applikationen, kör den, och bläddra bland de filer och mappar som du vill återställa tidigare versioner av. Klicka på något av objekten och välj Export.
Säkerhetskopiering
Av alla alternativ som inte är relaterade till en lösensumma är detta det mest optimala. Om du har säkerhetskopierat din information till en extern server innan viruset infekterade din dator kan återställningen av de filer som drabbats av viruset .vvv vara så enkelt som att logga in på respektive gränssnitt, välja rätt filer, och initiera återställningen ordentligt. Innan du gör detta behöver du dock säkerställa att den skadliga programvaran tas bort helt och hållet från din dator.
Om du väljer att hålla dig till det manuella sättet att genomsöka och rensa datorn kan vissa delar av programvaran ha blivit kvar, och finnas som dolda objekt i operativsystemet eller i olika objekt. För att säkerställa att det inte finns några skadliga komponenter kvar av hotet bör du skanna din dator med ett pålitligt säkerhetssystem.