Verschlüsselungstrojaner TeslaCrypt entfernen – In 4 einfachen Schritten!

TeslaCrypt entfernen Tutorial

Erpressungs-Trojaner verbreiten sich zurzeit immer rasanter und werden Tausenden zum Albtraum. Zu den berühmtesten und hartnäckigsten dieser Sorte gehört TeslaCrypt. Wie Sie TeslaCrypt entfernen und sich Ihre Daten kostenfrei selbst zurückholen können, verrät Ihnen Expertiger-Spezialist Sebastian Fischer.

Beachten Sie bitte: Diese Anleitung funktioniert nur bis TeslaCrypt 2.2.0 – Wie Sie herausfinden können von welcher Version Sie betroffen sind, sehen Sie hier.

Update 19.05.2016 – die Drahtzieher hinter TeslaCrypt haben aufgegeben und den Master-Schlüssel veröffentlicht! Das Programm TeslaDecoder kann jetzt alle Versionen von TeslaCrypt entschlüsseln!

In den meisten Fällen einer TeslaCrypt-Infektion können die Daten durch eine Entschlüsselung wiederhergestellt werden, jedoch nicht in allen. Die Möglichkeit der Entschlüsselung basiert lediglich auf einem Fehler der Entwickler von TeslaCrypt. Glücklicherweise sind von dieser Schwachstelle im Verschlüsselungs-Algorithmus, welche es erlaubt, den dabei verwendeten Schlüssel zu rekonstruieren, einige Versionen des Trojaners betroffen. Somit ist es für Sie möglich TeslaCrypt vollständig von Ihrem Rechner zu entfernen.

In der aktuellsten Version des Schädlings wurde die Schwachstelle zwar beseitigt, sodass eine Entschlüsselung der betroffenen Dateien nach heutigem Stand praktisch noch unmöglich ist; Das bedeutet aber nicht, dass die Daten für immer unbrauchbar sein müssen. Denn seit einiger Zeit arbeiten Spezialisten an einer Lösung, um auch die neueste Variante zu knacken. Es ist also ratsam, die Daten zumindest sicher aufzubewahren, bis es auch bei neueren Versionen möglicht ist, TeslaCrypt zu entfernen.

Von welcher Version des Trojaners ein Computer befallen ist, lässt sich ganz einfach anhand der Dateiendungen der verschlüsselten Dokumente ermitteln:

  • Entschlüsselt werden kann TeslaCrypt in allen Versionen von 0.3.4a bis 2.2.0. Die Dateien tragen in diesem Fall die Endungen: ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, oder vvv.
  • Bis heute und mit der beschriebenen Methode nicht entschlüsselbar ist TeslaCrypt ab Version 3.0.0. Entsprechende Dateiendungen sind: xxx, ttt oder micro.

Schritt 1: Datensicherung

Um TeslaCrypt zu entfernen, müssen zunächst alle auf dem Computer befindlichen wichtigen Daten (verschlüsselte und unverschlüsselte) unbedingt isoliert, also auf ein externes Medium, gesichert werden. Das ist sehr wichtig, um im nächsten Schritt eine vollständige Bereinigung des Systems durchführen zu können, ohne dabei Daten zu verlieren.

Am besten eignet sich hierfür eine externe Festplatte, die sich über einen USB-Anschluss mit dem PC verbinden lässt. Bei einer geringen Datenmenge tut es eventuell auch ein USB-Stick.

Da der Trojaner ebenfalls Zugriff auf die Daten sämtlicher verbundenen Speichermedien hat, sollte ein Medium nur dann angeschlossen werden, wenn sich keine wichtigen Daten (mehr) darauf befinden. Sonst besteht die Gefahr, dass diese anschließend auch noch verschlüsselt werden.

Damit es bei der Kopieraktion von großen Datenmengen keine plötzlichen Abbrüche gibt, kann man dazu auch alternativ ein kostenloses Copy-Tool, wie zum Beispiel TeraCopy, verwenden.

Schritt 2: Desinfektion

Sobald alle wichtigen Dateien in Sicherheit gebracht wurden, kann es mit der Desinfektion des Betriebssystems weiter gehen. Um TeslaCrypt wirklich vollständig vom System zu entfernen, wird das am effektivsten über eine komplette Zurücksetzung von Windows zurück zur Werkseinstellung gemacht. Eventuell wird dazu ein Windows-Installationsmedium benötigt. Im besten Fall – nämlich wenn eine Wiederherstellungspartition vom Hersteller auf dem System vorhanden ist – funktioniert es aber auch direkt ohne.

Zu beachten ist allerdings, dass bei dieser Rücksetzung auch alle selbst installierten Programme und Apps verloren gehen. Daher ist es ratsam, sich vor der Durchführung noch schnell eine Liste aller wichtigen Programme anzulegen und ggf. erforderliche Lizenzinformationen zu deren Neuinstallation zur Hand zu haben.

Vorsicht: Versuchen Sie aber bitte auf gar keinen Fall, TeslaCrypt mittels einer der zahlreich angebotenen Entfernungssoftware zu beseitigen. Denn erstens handelt es sich bei so gut wie allen, über Google auffindbaren Angeboten um Betrug und zweitens wird ein einziger Virenscanner, falls er den Schädling überhaupt richtig erkennt, wohl nicht in der Lage sein, TeslaCrypt gänzlich zu entfernen. Auch wenn es den Anschein macht, so können bzw. dürfen Sie sich dabei niemals in Sicherheit wiegen!

Schritt 3: TeslaCrypt entschlüsseln


Nachdem nun wieder ein frisches Betriebssystem zur Verfügung steht, kann mit der Wiederherstellung der verschlüsselten Daten begonnen werden. Loggen Sie sich dazu in den Computer ein und schließen Sie das Speichermedium mit den zuvor gesicherten Daten wieder an.

1. Vorbereitung: Arbeitsumgebung einrichten

  • Zu allererst richten wir uns einen Arbeitsordner ein. Dazu erstellen wir auf dem Desktop einfach einen neuen Ordner, via rechte Maustasteneu → Ordner, und geben ihm den Namen „work“.
  • Dann suchen wir uns irgendeine kleine verschlüsselte Datei aus unserer Datensicherung und kopieren sie in diesen Arbeitsordner hinein.
  • Als Nächstes laden wir die zur Entschlüsselung benötigten Tools über folgende Links herunter: TeslaDecoder und Yafu
  • Nachdem wir dann diese Zip-Dateien extrahiert bzw. entpackt haben, kopieren wir die Ordner mit den Namen „TeslaDecoder“ und „Yafu“ ebenfalls in unseren Arbeitsordner, wo bereits die verschlüsselte Datei liegt.

2. TeslaViewer: Infos über Verschlüsselung auslesen

  • Nun klicken wir uns in den Ordner „TeslaDecoder“ und führen dort die Datei „TeslaViewer.exe“ mit einem Doppelklick aus.
  • In dem sich öffnenden Fenster klicken wir auf die Schaltfläche Browse und wählen im Folgenden die zuvor kopierte, verschlüsselte Datei aus dem Ordner „work“ aus.
  • Der TeslaViewer wird daraufhin einige Informationen, die er aus der verschlüsselten Datei auslesen konnte, anzeigen. Besonders von Bedeutung sind für uns hier die Zahlen in den Feldern PublicKeyBC sowie SharedSecret1*PrivateKeyBC, denn diese benötigen wir im nächsten Schritt, um den Bauplan für den Schlüssel, die so genannten „Primfaktoren“, zu rekonstruieren.
  • Deshalb sichern wir jetzt diese Informationen einfach mit einem Klick auf die Schaltfläche Create work.txt, woraufhin in dem gleichen Verzeichnis, von dem aus wir auch „TeslaViewer.exe“ aufgerufen haben, nun die Datei mit dem Namen „work.txt“ erzeugt wird.

3. YaFu: Faktorisieren des SharedSecret1*PrivateKeyBC

Als Nächstes verwenden wir das Tool YaFu (Yet another factoring utility), um die zuvor gefundene Zahl des SharedSecret1*PrivateKeyBC zu faktorisieren, also die Primfaktoren des von TeslaCrypt verwendeten Schlüssels zu errechnen.

Dieser Prozess kann – je nach Größe der Faktoren – sehr kurz oder sehr lange dauern. Im günstigsten Fall kommt das Programm innerhalb weniger Sekunden oder Minuten zum Ende. Sollte der Vorgang nicht innerhalb von ein paar Minuten abgeschlossen sein, so wird er sehr wahrscheinlich einige Stunden, bzw. 1-3 Tage, andauern. Über diese Zeit müsste der Rechner dann durchgehend mit voller Kraft laufen.

Bevor wir aber gleich YaFu starten, sollte das Tool noch für unser System optimiert werden. Das machen wir, indem wir in den Ordner „Yafu“ navigieren, der in unserem „work“-Ordner liegt und dort – je nach Betriebssystem – eines dieser beiden Tuning-Skripte per Doppelklick ausführen:

  • „tuneX86.bat“ → für 32-Bit Betriebssysteme
  • „tuneX64.bat“ → für 64-Bit Betriebssysteme

Wenn Sie nicht sicher sind, ob Sie ein 32-Bit- oder 64-Bit-Betriebssystem verwenden, dann sehen Sie hier, wie sie es herausfinden.

Tuning-Vorgang bei Yafu abgeschlossen

Sobald nun im schwarzen Fenster unten der Text „Press Any Key To Continue“ erscheint, ist der Tuning-Vorgang abgeschlossen und wir können mit der Faktorisierung über YaFu beginnen. Dazu benötigen wir jetzt den zuvor ausgelesenen Wert von SharedSecret1*PrivateKeyBC.

  • Dazu navigieren wir wieder in das Verzeichnis „work“ und in den darunter liegenden Ordner „TeslaDecoder“ und öffnen die Datei „work.txt“ mit einem Doppelklick.
  • Hier sehen wir nun gleich zu Beginn der Textdatei den Titel „SharedSecret1*PrivateKeyBC“, darunter das Wort „hex“, gefolgt von einer langen Zeichenkette. Direkt unterhalb dieser sehen wir das Wort „dec“ (für dezimal) mit einer zweiten langen Zeichenkette darunter, welche aber diesmal nur aus Zahlen besteht. Das ist die Hausnummer, die wir brauchen. Wir gehen also in die Zeile unterhalb von „dec“, markieren die ganze riesige Zahl mit der Maus und wählen Rechtsklick → kopieren.
    Achtung: Die Zeichenkette wird sich womöglich über zwei Zeilen erstrecken. Achten Sie darauf, die gesamte Zahl komplett zu markieren und zu kopieren und nicht nur die erste Zeile!
  • Jetzt gehen wir wieder in unseren „Yafu“-Ordner unter „work“ und leiten die Faktorisierung ein, indem wir das Programm – wieder je nach Betriebssystem – über eine der folgenden Dateien aufrufen:
    • “factorX86.bat” → für 32-Bit Betriebssysteme
    • “factorX64.bat” → für 64-Bit Betriebssysteme

Faktorisierung bei Yafu einleiten

Yafu wird uns gleich zu Beginn nach der Dezimalzahl des „SharedSecret1*PrivateKeyBC“ fragen, wie in der Abbildung oben zu sehen ist:

  • Nachdem Sie diesen Wert, wie gerade beschrieben, aus der „work.txt“ kopiert haben, klicken Sie einfach auf das schwarze Fenster und machen anschließend einen Rechtsklick darauf, um die große Zahl einzufügen. Sobald diese nun im Fenster erscheint, können wir mit der Enter-Taste bestätigen.
  • Als Nächstes fragt das Programm nach der gewünschten Anzahl von Prozessen, „Amount of Threads“. Die beste Antwort darauf ist: Die Anzahl Ihrer logischen Prozessoren minus 1. Jetzt müssen wir nur noch herausfinden, über wie viele logische Prozessoren unser System verfügt:
    • Drücken Sie hierzu die Tastenkombination Windows-Taste+R.
    • Geben Sie im aufspringenden Ausführen-Feld den Namen „cmd“ ein, bestätigen Sie mit Enter und öffnen Sie so die Eingabeaufforderung.
    • Geben Sie hier den Befehl “wmic cpu get NumberofLogicalProcessors” ein und drücken Sie danach wieder auf Enter.
    • Nun sehen Sie “NumberOfLogicalProcessors” und darunter eine Zahl. Dies ist die Anzahl der logischen Prozessoren. In meinem Fall steht dort 4. Also würde ich YaFu auf die Frage „Amount of Threads“ mit der Zahl 3 antworten.
  • Nachdem wir im Yafu-Fenster die entsprechende Zahl eingegeben haben, bestätigen wir wieder mit Enter.

Hinweis: Das Tool durchläuft jetzt mehrere Phasen, um alle Primfaktoren des Schlüssels zu finden. Im Glücksfall erhalten wir das Ergebnis innerhalb von Sekunden, ansonsten wird dieser Prozess, wie bereits erwähnt, sehr sehr lange dauern. Lassen Sie den Rechner in diesem Fall einfach arbeiten und achten Sie darauf, dass er nicht unterbrochen wird! Denn sonst müssen Sie mit der Faktorisierung noch einmal ganz von vorne anfangen.

Einen erfolgreichen Abschluss erkennen Sie an einer Bildschirmausgabe, ähnlich der folgenden: Es wird der Titel „***factors found***“ angezeigt und darunter eine Auflistung der gefundenen Primfaktoren ausgegeben:

Primfaktoren nach abgeschlossener Faktorisierung bei Yafu

(Anm.: In meinem Beispiel hier sind nur wenige Faktoren abgebildet. In der Praxis werden es aber wohl deutlich mehr und auch längere sein.)

Sobald wir hier angelangt sind, können wir uns freuen, denn der Entschlüsselung unserer Daten sind wir nun sehr nahe. Bevor wir aber dieses Fenster einfach wegklicken, sollten wir die Primfaktoren sichern:

  • Klicken Sie dazu einfach mit der rechten Maustaste auf das schwarze Fenster.
  • Wählen Sie dann Markieren und markieren mit gedrückter linker Maustaste die Liste der Faktoren, also alle Zeilen die mit P, gefolgt von einer Zahl beginnen.
  • Wenn die Auswahl passt, drücken Sie noch einmal kurz die rechte Maustaste. Somit ist die Liste kopiert.
  • Fügen Sie diese Liste jetzt wieder in unsere „work.txt“ im Ordner „work“ → „TeslaDecoder“ ein und speichern Sie diese ab.

Hinweis: Achten Sie darauf, dass die Faktoren auch genauso wie angezeigt, einzeln untereinander aufgelistet in der Textdatei stehen. Im folgenden Schritt, können wir dann mithilfe dieser Informationen den ersehnten Schlüssel rekonstruieren.

4. TeslaRefactor: Schlüssel rekonstruieren

Mit dem Tool TeslaRefactor können wir nun aus den gefundenen Primfaktoren den gesuchten TeslaCrypt-Schlüssel für unsere Daten zusammenbauen. Und das geht so:

  • Wir begeben uns wieder in unseren „work“-Ordner und in den darunterliegenden Ordner „TeslaDecoder“.
  • Dort starten wir den TeslaRefactor mit einem Doppelklick auf „TeslaRefactor.exe“.
  • Nachdem die TeslaRefactor-Maske erschienen ist, kopieren wir dort zuerst in das oberste, große Textfeld die Liste unserer Primfaktoren, die wir zuvor in der Textdatei „work.txt“ gespeichert haben. Im folgenden Beispiel-Bild habe ich meine Faktoren bereits eingetragen.
  • In das zweite Textfeld müssen wir nun den „Public Key“ im Hex-Format eintragen. Diesen finden wir ebenfalls in der Datei „work.txt“ im Verzeichnis „work“ → “TeslaDecoder“. Sie erkennen ihn an der Überschrift „PublicKeyBC =“.
  • Zu guter Letzt klicken wir nun einfach auf die Schaltfläche Find private key, um endlich den gesuchten Schlüssel zu erhalten. Wenn wir alles richtig gemacht haben, erscheint dieser dann im grau hinterlegten Feld „Private key (hex)“.

Schlüsselerstellung "Find private key" bei TeslaRefactor

Tipp: Falls es mit der Erstellung des Schlüssels beim ersten Versuch nicht klappt, nehmen Sie einmal den Haken neben Optimization heraus und versuchen Sie es dann noch einmal mit einem Klick auf Find private key.

Wenn Ihr Schlüssel gefunden wurde, erscheint dieser nun in dem Feld mit dem Namen „Private key (hex)“. Markieren und kopieren Sie dann die im Feld angezeigte Schlüssel-Zeichenfolge mit der Maus und fügen Sie sie anschließend ebenfalls in die Datei „work.txt“ direkt unter der Zeile „PrivateKeyBC=“ ein.

Jetzt haben wir alles, was wir benötigen, um alle Daten mithilfe des TeslaDecoders zu entschlüsseln und wir können schließlich TeslaCrypt entfernen.

5. TeslaDecoder: Entschlüsselung an einer Datei testen, dann externe Sicherung entschlüsseln

Bevor wir nun die Entschlüsselung sämtlicher Daten starten, testen wir den gefundenen Schlüssel erst einmal anhand einer einzelnen Datei:

  • Dazu begeben wir uns wiederum in den Ordner „work“ und dort in den darunterliegenden Ordner „TeslaDecoder“.
  • Diesmal starten wir den TeslaDecoder mit einem Doppelklick auf „TeslaDecoder.exe“, woraufhin folgendes Fenster erscheint:

Startfenster zur Datenentschlüsselung bei TeslaDecoder

  • Hier klicken wir nun zuerst auf die Schaltfläche Set key und gelangen dadurch zu folgendem Fenster, das uns nach dem Schlüssel und dem Dateiformat der verschlüsselten Daten fragt. Tragen Sie hier also in das Feld mit dem Namen Key den zuvor gefunden Schlüssel aus der Datei „work.txt“ ein.
  • Im Auswahlfeld darunter wählen Sie einfach den entsprechenden Eintrag aus, der die Dateiendung Ihrer verschlüsselten Daten enthält. Bestätigen Sie dann Ihre Eingaben wieder mit Mausklick auf Set key.

Eingabe des Dekodierungsschlüssels und der verschlüsselten Datei bei TeslaDecoder

  • Wieder in der vorigen Maske angekommen, klicken wir dort nun auf die Schaltfläche Decrypt Folder und wählen unseren „work“-Ordner aus. Dadurch wird TeslaDecoder unsere verschlüsselte Test-Datei finden, die wir bereits zu Beginn in diesen Ordner kopiert haben, und sie entschlüsseln.
  • Sobald der Wiederherstellungsvorgang durchgelaufen ist, sollte neben der verschlüsselten Version auch wieder die ursprüngliche Datei im selben Ordner auftauchen. Öffnen Sie diese Datei nun einmal, um zu überprüfen, dass alles geklappt hat.
  • War die Entschlüsselung erfolgreich, können Sie sie anschließend über den gleichen Weg, nur diesmal über die Schaltfläche Decrypt All, auf alle Ihre Daten anwenden. Viel Spaß!

Achtung: Das Programm bietet Ihnen im letzten Schritt die Option an, alle verschlüsselten Dateien nach der Entschlüsselung automatisch zu entfernen. Das ist nicht empfehlenswert. Besser ist es, die wiederhergestellten Daten erst einmal zu begutachten und die verschlüsselten Versionen danach von Hand zu entfernen.

Schritt 4: Bereinigung

1. Überreste von TeslaCrypt entfernen

Wenn Sie im vorigen Schritt die verschlüsselten Versionen Ihrer Dateien zur Sicherheit behalten haben und nun entfernen möchten, so können Sie dies ganz leicht mithilfe der Suchfunktion von Windows tun:

  • Geben Sie dazu einfach in das Suchfeld die jeweilige Dateiendung inklusive eines vorausgehenden Sternchens und eines Punktes ein. Zum Beispiel so: „*.vvv“. Nach Abschluss des Suchlaufs markieren Sie dann alle Ergebnisse mittels der Tastenkombination Strg+A und entfernen Sie alle auf einmal mit der Taste Entf.
  • Auf die gleiche Weise können Sie auch die haufenweise zwischen den Dokumenten herumliegenden Hinweisdateien im HTML- und Textformat von TeslaCrypt entfernen. Meist tragen diese Namen wie „how to recover“ oder ähnliches. Tragen Sie dazu in die Suchleiste den kompletten Titel einer solchen Datei ein und löschen Sie dann die Ergebnisse ebenso.
  • Jetzt nur noch den Papierkorb leeren: Fertig!

2. Wiederhergestellte Daten desinfizieren

Nachdem wir unsere langersehnten Daten durch den TeslaDecoder zurückerhalten haben, müssen diese vor dem Zurückspielen aus der Datensicherung auf jeden Fall noch gescannt und bereinigt werden, denn: Falls sich darunter noch Teile des Trojaners oder anderer Schädlinge befinden, würden wir diese jetzt wieder auf unser frisches System ziehen und eine Neuinfektion riskieren. In verschlüsselter Form können infizierte Dateien nicht erkannt werden. Daher müssen wir alle Daten unbedingt nach der Wiederherstellung überprüfen.

Um das zu tun, laden wir einfach kostenlos den Virenscanner ESET Online-Scanner herunter und lassen diesen alle Daten scannen. Es ist wichtig, dass hierfür ein Scanner wie dieser verwendet wird, da nicht jede Software den TeslaCrypt Trojaner erfolgreich erkennt und entfernt.

Happy End

Zu guter Letzt können Sie all Ihre gesicherten Daten wieder in Ruhe von dem externen Medium auf den Computer einspielen: Glückwunsch – Sie haben TeslaCrypt erfolgreich entfernt! Sollten bei der Umsetzung der Anleitung Schwierigkeiten auftauchen, stehen Autor Sebastian Fischer und seine Kollegen bei Expertiger natürlich jederzeit zur Verfügung, um Sie zu unterstützen – rufen Sie einfach die rechts oben angezeigte Nummer an!

Über den Autor Alle Beiträge ansehen Webseite des Autor

Sebastian Fischer

Sebastian ist als IT-Spezialist für Expertiger tätig. Er hat mehr als 10 Jahre Erfahrung im IT-Support und der Systemadministration. Sein Spezialgebiet ist die Beseitigung von Malware, wie zum Beispiel Viren und Trojaner.

5 KommentareKommentar hinterlassen

  • Vielen, vielen Dank, die Schritt für Schritt- Erläuterung hat es mir ermöglicht, meine ganzen unbrauchbar gemachten Dateien wieder herzustellen – ich bin überglücklich, es waren u.a. alle meine Fotos der letzten 15 Jahre. Danke an Sebastian Fischer, er hat die Anleitung so gestaltet, dass auch ein relativer Computer- Laie, wie ich das schaffen kann.

  • Vielen Dank für die genaue Beschreibung. Meine Versuche haben lange gedauert, bis ich die Programme unter Admin gestartet habe (obwohl ich als Administrator angemeldet war), dann hat sich der Erfolg eingestellt. Somit war die Entschlüsselung für einen Freund (20000 Bilder) gelungen. Der Master Key hat bei mir nicht geholfen.

  • Oh danke. Perfekte Anleitung. Hätte es nicht allein geschafft. Würde auch anderen Privatanwendern helfen, kostenlos, wenn sie es wollen. Ich finde solchen Quatsch fürchterlich. Mein Nachbar ist jetzt glücklich, da er jetzt seine Urlaubsvideos wieder hat.

Schreibe einen Kommentar

Ihre Email-Adresse wird nicht veröffentlicht