Teslacrypt Trojaner hier entfernen

Erpressungs-Trojaner verbreiten sich zurzeit immer rasanter und werden Tausenden zum Albtraum. Zu den berühmtesten und hartnäckigsten dieser Sorte gehört TeslaCrypt. Wie Sie TeslaCrypt entfernen und sich Ihre Daten kostenfrei selbst zurückholen können, verrät Ihnen Expertiger-Spezialist Sebastian Fischer.

Beachten Sie bitte: Diese Anleitung funktioniert nur bis TeslaCrypt 2.2.0 – Wie Sie herausfinden können von welcher Version Sie betroffen sind, sehen Sie hier.

Update 19.05.2016 - die Drahtzieher hinter TeslaCrypt haben aufgegeben und den Master-Schlüssel veröffentlicht! Das Programm TeslaDecoder kann jetzt alle Versionen von TeslaCrypt entschlüsseln! In den meisten Fällen einer TeslaCrypt-Infektion können die Daten durch eine Entschlüsselung wiederhergestellt werden, jedoch nicht in allen. Die Möglichkeit der Entschlüsselung basiert lediglich auf einem Fehler der Entwickler von TeslaCrypt. Glücklicherweise sind von dieser Schwachstelle im Verschlüsselungs-Algorithmus, welche es erlaubt, den dabei verwendeten Schlüssel zu rekonstruieren, einige Versionen des Trojaners betroffen. Somit ist es für Sie möglich TeslaCrypt vollständig von Ihrem Rechner zu entfernen.

In der aktuellsten Version des Schädlings wurde die Schwachstelle zwar beseitigt, sodass eine Entschlüsselung der betroffenen Dateien nach heutigem Stand praktisch noch unmöglich ist; Das bedeutet aber nicht, dass die Daten für immer unbrauchbar sein müssen. Denn seit einiger Zeit arbeiten Spezialisten an einer Lösung, um auch die neueste Variante zu knacken. Es ist also ratsam, die Daten zumindest sicher aufzubewahren, bis es auch bei neueren Versionen möglicht ist, TeslaCrypt zu entfernen.

Von welcher Version des Trojaners ein Computer befallen ist, lässt sich ganz einfach anhand der Dateiendungen der verschlüsselten Dokumente ermitteln:

• Entschlüsselt werden kann TeslaCrypt in allen Versionen von 0.3.4a bis 2.2.0. Die Dateien tragen in diesem Fall die Endungen: ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, oder vvv.
• Bis heute und mit der beschriebenen Methode nicht entschlüsselbar ist TeslaCrypt ab Version 3.0.0. Entsprechende Dateiendungen sind: xxx, ttt oder micro.

Schritt 1: Datensicherung

Um TeslaCrypt zu entfernen, müssen zunächst alle auf dem Computer befindlichen wichtigen Daten (verschlüsselte und unverschlüsselte) unbedingt isoliert, also auf ein externes Medium, gesichert werden. Das ist sehr wichtig, um im nächsten Schritt eine vollständige Bereinigung des Systems durchführen zu können, ohne dabei Daten zu verlieren.

Am besten eignet sich hierfür eine externe Festplatte, die sich über einen USB-Anschluss mit dem PC verbinden lässt. Bei einer geringen Datenmenge tut es eventuell auch ein USB-Stick.

Da der Trojaner ebenfalls Zugriff auf die Daten sämtlicher verbundenen Speichermedien hat, sollte ein Medium nur dann angeschlossen werden, wenn sich keine wichtigen Daten (mehr) darauf befinden. Sonst besteht die Gefahr, dass diese anschließend auch noch verschlüsselt werden.

Damit es bei der Kopieraktion von großen Datenmengen keine plötzlichen Abbrüche gibt, kann man dazu auch alternativ ein kostenloses Copy-Tool, wie zum Beispiel TeraCopy, verwenden.

Schritt 2: Desinfektion

Sobald alle wichtigen Dateien in Sicherheit gebracht wurden, kann es mit der Desinfektion des Betriebssystems weiter gehen. Um TeslaCrypt wirklich vollständig vom System zu entfernen, wird das am effektivsten über eine komplette Zurücksetzung von Windows zurück zur Werkseinstellung gemacht. Eventuell wird dazu ein Windows-Installationsmedium benötigt. Im besten Fall – nämlich wenn eine Wiederherstellungspartition vom Hersteller auf dem System vorhanden ist – funktioniert es aber auch direkt ohne.

Zu beachten ist allerdings, dass bei dieser Rücksetzung auch alle selbst installierten Programme und Apps verloren gehen. Daher ist es ratsam, sich vor der Durchführung noch schnell eine Liste aller wichtigen Programme anzulegen und ggf. erforderliche Lizenzinformationen zu deren Neuinstallation zur Hand zu haben.

Vorsicht: Versuchen Sie aber bitte auf gar keinen Fall, TeslaCrypt mittels einer der zahlreich angebotenen Entfernungssoftware zu beseitigen. Denn erstens handelt es sich bei so gut wie allen, über Google auffindbaren Angeboten um Betrug und zweitens wird ein einziger Virenscanner, falls er den Schädling überhaupt richtig erkennt, wohl nicht in der Lage sein, TeslaCrypt gänzlich zu entfernen. Auch wenn es den Anschein macht, so können bzw. dürfen Sie sich dabei niemals in Sicherheit wiegen!

Schritt 3: TeslaCrypt entschlüsseln

Nachdem nun wieder ein frisches Betriebssystem zur Verfügung steht, kann mit der Wiederherstellung der verschlüsselten Daten begonnen werden. Loggen Sie sich dazu in den Computer ein und schließen Sie das Speichermedium mit den zuvor gesicherten Daten wieder an.

1. Vorbereitung: Arbeitsumgebung einrichten

• Zu allererst richten wir uns einen Arbeitsordner ein. Dazu erstellen wir auf dem Desktop einfach einen neuen Ordner, via rechte Maustaste → neu → Ordner, und geben ihm den Namen „work“.
• Dann suchen wir uns irgendeine kleine verschlüsselte Datei aus unserer Datensicherung und kopieren sie in diesen Arbeitsordner hinein.
• Als Nächstes laden wir die zur Entschlüsselung benötigten Tools über folgende Links herunter: TeslaDecoder und Yafu
• Nachdem wir dann diese Zip-Dateien extrahiert bzw. entpackt haben, kopieren wir die Ordner mit den Namen „TeslaDecoder“ und „Yafu“ ebenfalls in unseren Arbeitsordner, wo bereits die verschlüsselte Datei liegt.

2. TeslaViewer: Infos über Verschlüsselung auslesen

• Nun klicken wir uns in den Ordner „TeslaDecoder“ und führen dort die Datei „TeslaViewer.exe“ mit einem Doppelklick aus.
• In dem sich öffnenden Fenster klicken wir auf die Schaltfläche Browse und wählen im Folgenden die zuvor kopierte, verschlüsselte Datei aus dem Ordner „work“ aus.
• Der TeslaViewer wird daraufhin einige Informationen, die er aus der verschlüsselten Datei auslesen konnte, anzeigen. Besonders von Bedeutung sind für uns hier die Zahlen in den Feldern PublicKeyBC sowie SharedSecret1*PrivateKeyBC, denn diese benötigen wir im nächsten Schritt, um den Bauplan für den Schlüssel, die so genannten „Primfaktoren“, zu rekonstruieren.
• Deshalb sichern wir jetzt diese Informationen einfach mit einem Klick auf die Schaltfläche Create work.txt, woraufhin in dem gleichen Verzeichnis, von dem aus wir auch „TeslaViewer.exe“ aufgerufen haben, nun die Datei mit dem Namen „work.txt“ erzeugt wird.

3. YaFu: Faktorisieren des SharedSecret1*PrivateKeyBC

Als Nächstes verwenden wir das Tool YaFu (Yet another factoring utility), um die zuvor gefundene Zahl des SharedSecret1*PrivateKeyBC zu faktorisieren, also die Primfaktoren des von TeslaCrypt verwendeten Schlüssels zu errechnen.

Dieser Prozess kann – je nach Größe der Faktoren – sehr kurz oder sehr lange dauern. Im günstigsten Fall kommt das Programm innerhalb weniger Sekunden oder Minuten zum Ende. Sollte der Vorgang nicht innerhalb von ein paar Minuten abgeschlossen sein, so wird er sehr wahrscheinlich einige Stunden, bzw. 1-3 Tage, andauern. Über diese Zeit müsste der Rechner dann durchgehend mit voller Kraft laufen.