FacebookTwitterLinkedIn

TeslaCrypt Virus

Ook bekend als: TeslaCrypt ransomware
Schadeniveau: Ernstig

TeslaCrypt ransomware verwijderingsinstructies

Wat is TeslaCrypt?

TeslaCrypt is een kwaadaardig programma dat de bestanden van gebruikers versleutelt met AES encryptie. Eens de bestanden versleuteld zijn wordt een betaling voor een private sleutel gevraagd (die nodig is om de bestanden te ontsleutelen). Het verschil met een typisch ransomwware programma dat bestanden versleutelt (dat zich richt op videos, documenten, applicatie-databases, afbeeldingen enz.) is dat TeslaCrypt ook bestanden versleutelt uit videogames. Meer dan veertig verschillende games worden geviseerd door TeslCrypt zoals bijvoorbeeld: MineCraft, World of Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker en Steam.

Een ander groot verschil in deze ransomware is het feit dat deze ook PayPal My Cash kaarten aanvaardt naast de BitCoin betalingen. PayPal My Cash kaarten kunnen gekocht worden in populaire Amerikaanse winkelketens en kunnen opgeladen worden met geld dat kan getransfereerd worden naar een PayPal account door gebruik te maken van de PIN-code van de kaart. Betalingen met BitCoin kosten echter 'slechts' 500 dollar wat half zo duur is als betalingen met PayPal kaarten. De reden daarvoor is waarschijnlijk het hoge risico dat PayPal deze illegale inkomsten zou in beslag kunnen nemen.

TeslaCrypt

Waty meer is, TeslaCrypt zal je desktopachtergrond veranderen en zal een bestand creëren genaamd HELP_TO_DECRYPT_YOUR_FILES.txt en dit op je bureaublad plaatsen. Een opstartscherm zal je uitleggen dat je een betaling moet doen binnen de drie dagen. Het scherm bevat ook knoppen die de gebruiker toelaten om de betalingsstatus te checken, een sleutel in te geven en een link naar een TOR-betalingssite waar een gratis bestandsontsleutelingstest kan uitgevoerd worden.

TeslaCrypt vraagt een losgeld te betalen om de bestanden te ontsleutelen:

Je bestanden werden veilig opgeslagen op deze PC: foto's video's, documenten enze. Klik op de "Show encrypted files"-knop om een complete lijst van versleutelde bestanden te zien en je kan dit persoonlijk controleren.

De versleuteling werd uitgevoerd door gebruik te maken van een publieke sleutel RSA-2048 gegenereerd voor deze computer. Om de bestanden te ontsleutelen zal je een private sleutel moeten bekomen. De enige kopie van deze private sleutel, die je gaat toelaten de bestanden te onsleutelen, staat op een geheime server op internet. De server zal deze sleutel verwijderen nadat de tijd die is opgegeven in dit scherm verstreken is. Eens dit gebeurt is er geen enkele manier meer om de bestanden te herstellen...

Op het moment van onderzoek was de methode van verspreiding van het TeslaCrypt virus onbekend. Echter na succesvolle infiltratie van de computer scant deze alle drives en versleutelt het bepaalde bestandstypes via AES-versleuteling. Versleutelde bestanden zullen een .ecc extensie toegevoegd krijgen op het einde van de bestandsnaam.

Mogelijke bestanden versleuteld door de TeslaCrypt ransomware:

.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb

TeslaCrypt betalingsinformatie

Losgeld betalingsinformatie getoond in TeslaCrypt:

Hoe te betalen in bitcoins:
Nuttige site: howtobuybitcoins.info (vind exchanges in je eigen land)
1. Bezoek één van de onderstaande sites om bitcoins te kopen (of zoek er zelf één in je eigen land op de site hierboven)
(2. Login of maak een account indien nodig)
3. Koop het aantal bitcoins dat je nodig hebt en zend ze naar het adres opgegeven in dit venster.
(4. Je kan naar blockchain.info surfen en daar op je adres zoeken om te zien of de bitcoins zijn aangekomen.
5. Als de bitcoins op het adres aankomen klik je op 'controleer betaling en ontvang de sleutels'
6. Je sleutels zijn nu ontvangen, klik op 'ontsleutelen met behulp van de sleutels'.
7. Je bestanden zullen nu hersteld worden en het programma zal zichzelf verwijderen..

 

Merk op dat op het moment van schrijven er geen bekende tools bestonden om de bestanden te ontsleutelen die TeslaCrypt vergrendeld had zonder het losgeld te betalen (je kan wel je bestanden proberen te herstellen vanuit Shadow Copies). Door het volgen van deze verwijderingsgids zal je de ransomware van je computer kunnen verwijderen maar je besmette bestanden zullen versleuteld blijven. We zullen dit artikel bijwerken zodra er meer info is over het ontsleutelen van de getroffen bestanden.

TeslaCrypt ransomware verwijdering:

Onmiddellijke automatische malwareverwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop.  In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met het TeslaCrypt virus. Start je Internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik "Volgende".

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik "Ja".

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het TeslaCrypt virus te elimineren. 

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de CoinVault ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je  je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met TeslaCrypt kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma te gebruiken kan je hier vinden.

shadow explorer schermafbeelding

Om je computer te beschermen tegen ransomware die je bestanden versleuteld zou je betrouwbare antivirus en anti-spyware programma's moeten gebruiken. Als een extra bescherming zou je het programma CryptoPrevent kunnen gebruiken. (CryptoPrevent plaatst kunstmatige 'group policies' in het register zodat frauduleuze programma's als CryptoFortress geblokkeerd worden.

cryptoprevent schermafbeelding

Meer info over hoe dit programma te gebruiken vind je hier.

Andere applicaties waarvan geweten is dat ze de TeslaCrypt ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus

▼ Toon discussie

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Over ons

PCrisk is een cyberbeveiligingsportaal dat internetgebruikers informeert over de nieuwste digitale bedreigingen. Onze inhoud wordt verstrekt door beveiligingsexperts en professionele malware onderzoekers. Lees meer over ons.

QR Code
TeslaCrypt ransomware QR code
Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van TeslaCrypt ransomware op je mobiele toestel.
Wij raden aan:

Verwijder vandaag nog Windows malware infecties:

▼ VERWIJDER HET NU
Download Combo Cleaner

Platform: Windows

Beoordeling van de redactie voor Combo Cleaner:
Oordeel van de redactieUitmuntend!

[Terug naar boven]

De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.