Comme nous l’avions mentionné auparavant, les créateurs de TeslaCrypt (le cheval de Troie en constante évolution qui chiffre les fichiers) ont soudainement pris la décision de stopper sa distribution et de dévoiler une clé de déchiffrement. Cette dernière est une clé qui peut être utilisée pour déchiffrer n’importe quel fichier chiffré par les dernières versions de TeslaCrypt.
Les analystes de malwares chez Kaspersky Lab ont utilisé cette clé de déchiffrement pour mettre à jour notre utilitaire RakhniDecryptor conçu pour déchiffrer des fichiers endommagés par plusieurs types de ransomwares, de la version 1.15.10.0. Cette mise à jour supporte TeslaCrypt v3 et v4.
Avant cette dernière, RakhniDecryptor aidait les utilisateurs victimes de TeslaCrypt v1 et v2. La publication de la clé de déchiffrement nous a donné l’opportunité de résoudre TeslaCrypt v3 et v4 (tous deux ont été détectés par Kaspersky Internet Security et d’autres produits anti-virus de Kas-persky comme étant un Trojan-Ransom.Win32.Bitman).
En clair, si vous avez été la victime d’un ransomware et que vos fichiers chiffrés possèdent une des extensions suivantes :
.xxx, .ttt, .micro, .mp3 or their original extension
Nous vous suggérons d’utiliser notre utilitaire pour retrouver vos fichiers.
Master decryption key released for #TeslaCrypt #ransomware via @threatpost https://t.co/YTqlZeYZ6z pic.twitter.com/I9wsK2cq3J
— Kaspersky (@kaspersky) May 19, 2016
Pour déchiffrer vos fichiers, suivez ces étapes simples :
1. Téléchargez RakhniDecryptor depuis notre site et installez-le sur votre ordinateur ;
2. Exécutez Run RakhniDecryptor.exe ;
3. Cliquer sur le bouton Change parameters ;
4. Sélectionnez les objets que vous souhaitez analyser. Le plus probable est qu’il s’agisse uniquement de votre disque dur. Si vous possédiez des disques amovibles de partages de réseaux ouverts connectés, mieux vaut les cocher également.
5. Cochez Delete crypted files after decryption afin d’éliminer de votre disque dur des fichiers chiffrés. Nous vous recommandons en revanche de ne pas le faire si vous n’êtes pas sûr à 100% que les fichiers étaient réellement chiffrés avant de supprimer les originaux. Après cette vérification, vous pouvez cliquer sur Ok.
6. Cliquez sur le bouton Start Scan
7. Dans la fenêtre Specify the path to one of encrypted filessélectionnez le fichier souhaité et cliquez sur Ouvrir.
8. Attendez que RakhniDecryptor récupère vos fichiers. Ce processus peut s’avérer long.
Nous espérons que notre utilitaire vous aidera à récupérer vos fichiers. Afin de ne plus être victime de ransomwares, nous vous recommandons d’utiliser une protection proactive, telle que Kaspersky Internet Security, capable d’arrêter un ransomware avant même qu’il puisse chiffrer vos fichiers.