Update 19.05.2016 – die Drahtzieher hinter TeslaCrypt haben aufgegeben und den Master-Schl\u00fcssel ver\u00f6ffentlicht! Das Programm TeslaDecoder<\/a> kann jetzt alle Versionen von TeslaCrypt entschl\u00fcsseln!<\/strong> In den meisten F\u00e4llen einer TeslaCrypt-Infektion k\u00f6nnen die Daten durch eine Entschl\u00fcsselung wiederhergestellt werden, jedoch nicht in allen. Die M\u00f6glichkeit der Entschl\u00fcsselung basiert lediglich auf einem Fehler der Entwickler von TeslaCrypt. Gl\u00fccklicherweise sind von dieser Schwachstelle im Verschl\u00fcsselungs-Algorithmus, welche es erlaubt, den dabei verwendeten Schl\u00fcssel zu rekonstruieren, einige Versionen des Trojaners betroffen. Somit ist es f\u00fcr Sie m\u00f6glich TeslaCrypt vollst\u00e4ndig von Ihrem Rechner zu entfernen.<\/p>\n In der aktuellsten Version des Sch\u00e4dlings wurde die Schwachstelle zwar beseitigt, sodass eine Entschl\u00fcsselung der betroffenen Dateien nach heutigem Stand praktisch noch unm\u00f6glich ist; Das bedeutet aber nicht, dass die Daten f\u00fcr immer unbrauchbar sein m\u00fcssen. <\/a>Denn seit einiger Zeit arbeiten Spezialisten an einer L\u00f6sung, um auch die neueste Variante zu knacken. Es ist also ratsam, die Daten zumindest sicher aufzubewahren, bis es auch bei neueren Versionen m\u00f6glicht ist,\u00a0TeslaCrypt zu entfernen.<\/p>\n Von welcher Version des Trojaners ein Computer befallen ist, l\u00e4sst sich ganz einfach anhand der Dateiendungen der verschl\u00fcsselten Dokumente ermitteln:<\/b><\/p>\n Um TeslaCrypt zu entfernen, m\u00fcssen zun\u00e4chst alle auf dem Computer befindlichen wichtigen Daten (verschl\u00fcsselte und unverschl\u00fcsselte) unbedingt isoliert, also auf ein externes Medium, gesichert werden<\/b>. Das ist sehr wichtig, um im n\u00e4chsten Schritt eine vollst\u00e4ndige Bereinigung des Systems durchf\u00fchren zu k\u00f6nnen, ohne dabei Daten zu verlieren.<\/p>\n Am besten eignet sich hierf\u00fcr eine externe Festplatte<\/b>, die sich \u00fcber einen USB-Anschluss mit dem PC verbinden l\u00e4sst. Bei einer geringen Datenmenge tut es eventuell auch ein USB-Stick<\/b>.<\/p>\n Da der Trojaner ebenfalls Zugriff auf die Daten s\u00e4mtlicher verbundenen Speichermedien hat, sollte ein Medium nur dann angeschlossen werden, wenn sich keine wichtigen Daten (mehr) darauf<\/b> befinden. Sonst besteht die Gefahr, dass diese anschlie\u00dfend auch noch verschl\u00fcsselt werden.<\/p>\n Damit es bei der Kopieraktion von gro\u00dfen Datenmengen keine pl\u00f6tzlichen Abbr\u00fcche gibt, kann man dazu auch alternativ ein kostenloses Copy-Tool, wie zum Beispiel TeraCopy<\/a>, verwenden<\/b>.<\/p>\n Sobald alle wichtigen Dateien in Sicherheit gebracht wurden, kann es mit der Desinfektion des Betriebssystems weiter gehen. Um TeslaCrypt wirklich vollst\u00e4ndig vom System zu entfernen, wird das am effektivsten \u00fcber eine komplette Zur\u00fccksetzung von Windows zur\u00fcck zur Werkseinstellung gemacht. Eventuell wird dazu ein Windows-Installationsmedium ben\u00f6tigt. Im besten Fall \u2013 n\u00e4mlich wenn eine Wiederherstellungspartition vom Hersteller<\/b> auf dem System vorhanden ist \u2013\u00a0funktioniert es aber auch direkt ohne.<\/p>\n Zu beachten ist allerdings, dass bei dieser R\u00fccksetzung auch alle selbst installierten Programme und Apps verloren gehen. Daher ist es ratsam, sich vor der Durchf\u00fchrung noch schnell eine Liste aller wichtigen Programme anzulegen und ggf. erforderliche Lizenzinformationen zu deren Neuinstallation zur Hand zu haben.<\/p>\n Vorsicht:<\/b> Versuchen Sie aber bitte auf gar keinen Fall, TeslaCrypt mittels einer der zahlreich angebotenen Entfernungssoftware zu beseitigen. Denn erstens handelt es sich bei so gut wie allen, \u00fcber Google auffindbaren Angeboten um Betrug und zweitens wird ein einziger Virenscanner, falls er den Sch\u00e4dling \u00fcberhaupt richtig erkennt, wohl nicht in der Lage sein, TeslaCrypt g\u00e4nzlich zu entfernen. Auch wenn es den Anschein macht, so k\u00f6nnen bzw. d\u00fcrfen Sie sich dabei niemals in Sicherheit wiegen!<\/b><\/p>\n <\/a> Als N\u00e4chstes verwenden wir das Tool YaFu (Yet another factoring utility)<\/b>, um die zuvor gefundene Zahl des SharedSecret1*PrivateKeyBC<\/em> zu faktorisieren, also die Primfaktoren des von TeslaCrypt verwendeten Schl\u00fcssels zu errechnen.<\/p>\n Dieser Prozess kann \u2013 je nach Gr\u00f6\u00dfe der Faktoren \u2013 sehr kurz oder sehr lange dauern. Im g\u00fcnstigsten Fall kommt das Programm innerhalb weniger Sekunden oder Minuten<\/b> zum Ende. Sollte der Vorgang nicht innerhalb von ein paar Minuten abgeschlossen sein, so wird er sehr wahrscheinlich einige Stunden, bzw. 1-3 Tage<\/b>, andauern. \u00dcber diese Zeit m\u00fcsste der Rechner dann durchgehend mit voller Kraft laufen.<\/p>\n Bevor wir aber gleich YaFu starten, sollte das Tool noch f\u00fcr unser System optimiert werden. Das machen wir, indem wir in den Ordner \u201eYafu\u201c navigieren, der in unserem \u201ework\u201c-Ordner liegt und dort \u2013 je nach Betriebssystem \u2013 eines dieser beiden Tuning-Skripte per Doppelklick<\/b> ausf\u00fchren:<\/p>\n Wenn Sie nicht sicher sind, ob Sie ein 32-Bit- oder 64-Bit-Betriebssystem verwenden, dann sehen Sie hier<\/a>, wie sie es herausfinden.<\/b><\/p>\n Sobald nun im schwarzen Fenster unten der Text \u201ePress Any Key To Continue\u201c erscheint, ist der Tuning-Vorgang abgeschlossen und wir k\u00f6nnen mit der Faktorisierung \u00fcber YaFu beginnen. Dazu ben\u00f6tigen wir jetzt den zuvor ausgelesenen Wert von SharedSecret1*PrivateKeyBC<\/em><\/b>.<\/p>\n Yafu wird uns gleich zu Beginn nach der Dezimalzahl des \u201eSharedSecret1*PrivateKeyBC\u201c fragen, wie in der Abbildung oben zu sehen ist:<\/p>\n Hinweis:<\/b> Das Tool durchl\u00e4uft jetzt mehrere Phasen, um alle Primfaktoren des Schl\u00fcssels zu finden<\/b>. Im Gl\u00fccksfall erhalten wir das Ergebnis innerhalb von Sekunden, ansonsten wird dieser Prozess, wie bereits erw\u00e4hnt, sehr sehr lange dauern<\/b>. Lassen Sie den Rechner in diesem Fall einfach arbeiten und achten Sie darauf, dass er nicht unterbrochen wird!<\/b> Denn sonst m\u00fcssen Sie mit der Faktorisierung noch einmal ganz von vorne anfangen.<\/p>\n Einen erfolgreichen Abschluss erkennen Sie an einer Bildschirmausgabe, \u00e4hnlich der folgenden: Es wird der Titel \u201e***factors found***\u201c angezeigt<\/b> und darunter eine Auflistung der gefundenen Primfaktoren ausgegeben:<\/p>\n (Anm.: In meinem Beispiel hier sind nur wenige Faktoren abgebildet. In der Praxis werden es aber wohl deutlich mehr und auch l\u00e4ngere<\/b> sein.)<\/p>\n Sobald wir hier angelangt sind, k\u00f6nnen wir uns freuen, denn der Entschl\u00fcsselung unserer Daten sind wir nun sehr nahe. Bevor wir aber dieses Fenster einfach wegklicken, sollten wir die Primfaktoren sichern<\/b>:<\/p>\n Hinweis:<\/b> Achten Sie darauf, dass die Faktoren auch genauso wie angezeigt, einzeln untereinander aufgelistet in der Textdatei<\/b> stehen. Im folgenden Schritt, k\u00f6nnen wir dann mithilfe dieser Informationen den ersehnten Schl\u00fcssel rekonstruieren.<\/p>\n Mit dem Tool TeslaRefactor k\u00f6nnen wir nun aus den gefundenen Primfaktoren den gesuchten TeslaCrypt-Schl\u00fcssel<\/b> f\u00fcr unsere Daten zusammenbauen. Und das geht so:<\/p>\n Tipp:<\/b> Falls es mit der Erstellung des Schl\u00fcssels beim ersten Versuch nicht klappt, nehmen Sie einmal den Haken neben Optimization<\/em> heraus<\/b> und versuchen Sie es dann noch einmal mit einem Klick auf Find private key<\/em>.<\/p>\n Wenn Ihr Schl\u00fcssel gefunden wurde, erscheint dieser nun in dem Feld mit dem Namen \u201ePrivate key (hex)\u201c. Markieren und kopieren Sie dann die im Feld angezeigte Schl\u00fcssel-Zeichenfolge mit der Maus und f\u00fcgen Sie sie anschlie\u00dfend ebenfalls in die Datei \u201ework.txt\u201c direkt unter der Zeile \u201ePrivateKeyBC=\u201c ein.<\/p>\n Jetzt haben wir alles, was wir ben\u00f6tigen, um alle Daten mithilfe des TeslaDecoders zu entschl\u00fcsseln und wir k\u00f6nnen schlie\u00dflich TeslaCrypt entfernen.<\/p>\n Bevor wir nun die Entschl\u00fcsselung s\u00e4mtlicher Daten starten, testen wir den gefundenen Schl\u00fcssel<\/b> erst einmal anhand einer einzelnen Datei:<\/p>\n Achtung<\/b>: Das Programm bietet Ihnen im letzten Schritt die Option an, alle verschl\u00fcsselten Dateien nach der Entschl\u00fcsselung automatisch zu entfernen<\/b>. Das ist nicht empfehlenswert<\/b>. Besser ist es, die wiederhergestellten Daten erst einmal zu begutachten und die verschl\u00fcsselten Versionen danach von Hand zu entfernen.<\/p>\n Wenn Sie im vorigen Schritt die verschl\u00fcsselten Versionen Ihrer Dateien<\/b> zur Sicherheit behalten haben und nun entfernen<\/b> m\u00f6chten, so k\u00f6nnen Sie dies ganz leicht mithilfe der Suchfunktion von Windows tun:<\/p>\n Nachdem wir unsere langersehnten Daten<\/b> durch den TeslaDecoder zur\u00fcckerhalten haben, m\u00fcssen diese vor dem Zur\u00fcckspielen aus der Datensicherung<\/b> auf jeden Fall noch gescannt und bereinigt werden<\/b>, denn: Falls sich darunter noch Teile des Trojaners oder anderer Sch\u00e4dlinge befinden, w\u00fcrden wir diese jetzt wieder auf unser frisches System ziehen und eine Neuinfektion riskieren. In verschl\u00fcsselter Form k\u00f6nnen infizierte Dateien nicht erkannt werden. Daher m\u00fcssen wir alle Daten unbedingt nach der Wiederherstellung \u00fcberpr\u00fcfen.<\/p>\n Um das zu tun, laden wir einfach kostenlos den Virenscanner\u00a0ESET Online-Scanner<\/a><\/b> herunter und lassen diesen alle Daten scannen. Es ist wichtig, dass hierf\u00fcr ein Scanner wie dieser verwendet wird, da nicht jede Software den TeslaCrypt Trojaner erfolgreich erkennt und entfernt.<\/p>\n Zu guter Letzt k\u00f6nnen Sie all Ihre gesicherten Daten wieder in Ruhe von dem externen Medium auf den Computer einspielen: Gl\u00fcckwunsch \u2013\u00a0Sie haben TeslaCrypt erfolgreich entfernt!<\/b> Sollten bei der Umsetzung der Anleitung Schwierigkeiten auftauchen, stehen Autor Sebastian Fischer<\/a> und seine Kollegen bei Expertiger<\/a> nat\u00fcrlich jederzeit zur Verf\u00fcgung, um Sie zu unterst\u00fctzen – rufen Sie einfach die rechts oben angezeigte Nummer an!<\/p>\n","protected":false},"excerpt":{"rendered":" Erpressungs-Trojaner verbreiten sich zurzeit immer rasanter und werden Tausenden zum Albtraum. Zu den ber\u00fchmtesten und hartn\u00e4ckigsten dieser Sorte geh\u00f6rt TeslaCrypt. Wie Sie TeslaCrypt entfernen und sich Ihre Daten kostenfrei selbst zur\u00fcckholen k\u00f6nnen, verr\u00e4t Ihnen Expertiger-Spezialist Sebastian Fischer. Beachten Sie bitte: Diese Anleitung funktioniert nur bis TeslaCrypt 2.2.0\u00a0\u2013 Wie Sie herausfinden k\u00f6nnen von welcher Version Sie […]<\/p>\n","protected":false},"author":21,"featured_media":3375,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[253,255,251],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/posts\/3318"}],"collection":[{"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/users\/21"}],"replies":[{"embeddable":true,"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/comments?post=3318"}],"version-history":[{"count":59,"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/posts\/3318\/revisions"}],"predecessor-version":[{"id":5244,"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/posts\/3318\/revisions\/5244"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/media\/3375"}],"wp:attachment":[{"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/media?parent=3318"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/categories?post=3318"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.expertiger.de\/blog\/wp-json\/wp\/v2\/tags?post=3318"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n<\/p>\n\n
Schritt 1: Datensicherung<\/h2>\n
Schritt 2: Desinfektion<\/h2>\n
Schritt 3: TeslaCrypt entschl\u00fcsseln<\/h2>\n
\nNachdem nun wieder ein frisches Betriebssystem zur Verf\u00fcgung steht, kann mit der Wiederherstellung der verschl\u00fcsselten Daten begonnen werden. Loggen Sie sich dazu in den Computer ein und schlie\u00dfen Sie das Speichermedium mit den zuvor gesicherten Daten wieder an.<\/p>\n1. Vorbereitung: Arbeitsumgebung einrichten<\/h3>\n
\n
2. TeslaViewer: Infos \u00fcber Verschl\u00fcsselung auslesen<\/h3>\n
\n
3. YaFu: Faktorisieren des SharedSecret1*PrivateKeyBC<\/h3>\n
\n
![\"Tuning-Vorgang](\"https:\/\/www.expertiger.de\/blog\/wp-content\/uploads\/2016\/04\/teslacrypt_artikel_1.png\" "\\"Yafu:")
<\/p>\n\n
\nAchtung<\/b>: Die Zeichenkette wird sich wom\u00f6glich \u00fcber zwei Zeilen erstrecken. Achten Sie darauf, die gesamte Zahl komplett <\/b>zu markieren und zu kopieren und nicht nur die erste Zeile!<\/li>\n\n
![\"Faktorisierung](\"https:\/\/www.expertiger.de\/blog\/wp-content\/uploads\/2016\/04\/teslacrypt_artikel_2.png\" "\\"Yafu:")
<\/p>\n\n
\n
![\"Primfaktoren](\"https:\/\/www.expertiger.de\/blog\/wp-content\/uploads\/2016\/04\/teslacrypt_artikel_3.png\" "\\"Yafu:")
<\/p>\n\n
4. TeslaRefactor: Schl\u00fcssel rekonstruieren<\/h3>\n
\n
![\"Schl\u00fcsselerstellung](\"https:\/\/www.expertiger.de\/blog\/wp-content\/uploads\/2016\/04\/teslacrypt_artikel_4.png\" "\\"TeslaRefactor:")
<\/p>\n5. TeslaDecoder: Entschl\u00fcsselung an einer Datei testen, dann externe Sicherung entschl\u00fcsseln<\/h3>\n
\n
![\"Startfenster](\"https:\/\/www.expertiger.de\/blog\/wp-content\/uploads\/2016\/04\/teslacrypt_artikel_5.png\" "\\"TeslaDecoder:")
<\/p>\n\n
![\"Eingabe](\"https:\/\/www.expertiger.de\/blog\/wp-content\/uploads\/2016\/04\/teslacrypt_artikel_6.png\" "\\"TeslaDecoder:")
<\/p>\n\n
Schritt 4: Bereinigung<\/h2>\n
1. \u00dcberreste von TeslaCrypt entfernen<\/h3>\n
\n
2. Wiederhergestellte Daten desinfizieren<\/h3>\n
Happy End<\/h2>\n