TeslaCrypt

在最初的遊戲玩家活動中，惡意軟體在感染後搜尋了與40種不同遊戲相關的185個檔案擴展名，其中包括“使命召喚”系列，“魔獸世界”，“我的世界”和“坦克世界”以及加密的此類檔案。目標檔案涉及存儲在受害者硬碟上的保存數據，播放器配置檔案，自定義地圖和遊戲模組。較新的TeslaCrypt變種並不僅僅關注計算機遊戲，還關注加密的Word，PDF，JPEG和其他檔案。在所有情況下，受害者將被提示支付價值500美元的比特幣的贖金，以獲得解密檔案的密鑰。

雖然在形式和功能上類似於CryptoLocker，但Teslacrypt並沒有與CryptoLocker共享代碼，而是獨立開發的。惡意軟體通過Angler Adobe Flash漏洞攻擊計算機。

儘管勒索軟體聲稱TeslaCrypt使用了非對稱加密，但思科Talos集團的研究人員發現使用對稱加密並為其開發了解密工具。這個“缺陷”在版本2.0中被更改，使得無法解密受TeslaCrypt-2.0影響的檔案。

截至2015年11月，卡巴斯基的安全研究人員一直在悄悄流傳著版本2.0中存在新的弱點，但小心翼翼地將這些知識遠離惡意軟體開發人員，以便他們無法解決這個漏洞。截至2016年1月，發現了修復該漏洞的新版本3.0。

一份完整的行為報告，顯示了行為圖和執行圖，由JoeSecurity出版。

2016年5月，TeslaCrypt的開發人員關閉了勒索軟體並發布了主密解密鑰，從而結束了勒索軟體。幾天后，ESET發布了一個免費解密受影響計算機的公共工具。

這款工具能夠解密被TeslaCrypt勒索而加密的檔案。Nuclear、Sweet Orange和Angler等漏洞利用工具包正在使用這款工具。

TeslaCrypt敲詐者病毒爆發以來一直不斷升級，TeslaCrypt 3.0版本其破解難度也越來越高。越來越多用戶一旦中招，導致檔案被鎖只能支付一定費用才能解鎖。

但是最近事情出現了戲劇性的轉機，TelsaCrypt敲詐者病毒作者良心發現，公布了加密私鑰！中了TelsaCrypt敲詐者病毒的用戶可以按附屬檔案中的操作說明對加密檔案進行解密，無需在支付贖金了。對應近期流行的TelsaCrypt3.0-4.0版本加密的文檔可以用工具非常方便地解密。

在執行操作之前，程式會在用戶套用數據目錄或當前目錄搜尋‘key.dat’檔案，如果程式找不到key.dat檔案，就會返回錯誤自動退出。

如果能夠找到key.dat檔案，用戶就可以指定解密那個檔案或目錄。程式中還附帶了一些命令行選項，不僅能解密檔案和目錄，還可以終止並刪除勒索木馬程式。

這個功能很重要，因為在某些TeslaCrypt版本中，檔案加密過程完成後，主密鑰就從‘key.dat’檔案移除了。

通過分析發現，勒索軟體TeslaCrypt解密工具使用的其實是對稱的AES加密，而非軟體展示給受害者的警告中所說的非對稱RSA-2048加密算法。遊戲玩家們應該注意，這款軟體會加密保存的遊戲和Steam的激活密鑰。