Abo
  • Services:
Anzeige
Petya verschlüsselt den Master File Table des Rechners.
Petya verschlüsselt den Master File Table des Rechners. (Bild: Malwarebytes Labs)

Dateien entschlüsseln: Petya Ransomware geknackt

Wessen Computer mit der Ransomware Petya infiziert ist, kann seine Dateien möglicherweise retten. Ein neues Tool erfordert etwas Handarbeit, kann die Dateien aber wieder herstellen.

Auf Github ist ein kostenfreies Tool aufgetaucht, mit dem Daten entschlüsselt werden können, die mit der Ransomware Petya verschlüsselt wurden. Das Programm wurde von einem Twitter-Nutzer mit dem Pseudonym leostone veröffentlicht.

Anzeige

Mitarbeiter von Bleepingcomputer haben das Tool nach eigenen Angaben erfolgreich eingesetzt, um mit Petya verschlüsselte Datensätze zu entschlüsseln. Das Tool nutzt einige Angaben aus den verschlüsselten Dateien, die mit Hilfe eines Hexeditors ausgelesen werden können.

Daten mit Hexeditor auslesen

Dazu muss die mit Petya verschlüsselte Festplatte an einen anderen Computer angeschlossen werden und 512 Byte an Daten mit einem Hexeditor ausgelesen werden. Diese beginnen auf Sektor 55 (0x37h) mit den Offsets 0 sowie die 8 Byte Nonce aus Sektor 54 (0x36), Offset 33 (0x21).

Diese Daten müssen dann in Base64 Encoding umgewandelt werden, was mit dieser Webseite möglich ist, und dann auf der von leostone programmierten Webseite eingegeben werden. Diese Webseite erzeugt dann innerhalb von rund einer Minute das Passwort, das auf der Startseite des Petya-Starbildschirms eingegeben werden muss. Danach soll die Entschlüsselung automatisch starten.

Es gibt auch ein Tool mit dem Namen Petya Sector Extractor, das den Prozess automatisieren soll, Virenprogramme warnen jedoch davor, das Programm auszuführen.

Petya überschreibt den Master Boot Record mit einem eigenen Boot-Loader, der dann einen eigenen Kernel lädt, der die Verschlüsselung des Gerätes durchführt. Allerdings werden nicht, wie behauptet, alle Dateien verschlüsselt, sondern nur die Master File Table. Zum Schutz vor Petya kann die Option "Nach Systemfehler automatisch neustarten" deaktiviert werden, um die Persistenz zu verhindern. Denn vor dem Neustart lässt sich der Trojaner noch verhältnismäßig leicht entfernen.


eye home zur Startseite
procrash 08. Jun 2016

Für Leute deren Platte mit dem grünen Petya verschlüsselt wurde gibt es inzwischen auch...

procrash 02. Jun 2016

https://petyaransomwarehilfe.wordpress.com

paranoidandroid 28. Mai 2016

Graham Cluley darüber informiert, dass die Forscher ein Werkzeug entwickelt, das...



Anzeige

Stellenmarkt
  1. TÜV NORD GROUP, Hannover
  2. Robert Bosch GmbH Geschäftsbereich Power Tools (PT), Leinfelden-Echterdingen
  3. Lechwerke AG, Augsburg
  4. Deutsche Post DHL Group, Bonn


Anzeige
Blu-ray-Angebote
  1. (u. a. Django, Elysium, The Equalizer, White House Down, Ghostbusters 2)
  2. (u. a. Der Hobbit 3 für 9,99€ u. Predator für 12,49€)
  3. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Anschlüsse

    Wi-Fi im Nahverkehr wichtiger als im ICE

  2. NSA-Ausschuss

    SPD empört über "Schweigekartell" der US-Konzerne

  3. Bug Bounty

    Facebook zahlt 40.000 US-Dollar für Imagetragick-Bug

  4. Fifa 17

    Update bringt größere Änderungen in Fifa Ultimate Team

  5. Fab-Ausrüster

    ASML hat sechs Bestellungen für seine neuen EUV-Maschinen

  6. Überbau

    Bundesländer hoffen auf Ende der Telekom-Störmanöver

  7. Mi Mix im Test

    Xiaomis randlose Innovation mit kleinen Makeln

  8. GFX 50S

    Fujifilm bringt spiegellose Mittelformatkamera auf den Markt

  9. Dobrindt

    Strengere Vorschriften für Drohnen- und Modellflugzeug-Flüge

  10. Europa

    Deutschland bei Internet für Firmen nur Mittelmaß



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Wer erlaubt?

    JohnLamox | 13:52

  2. "Wer unbedingt LTE nutzen möchte"

    smarty79 | 13:52

  3. Re: Eigene Kabelrouter

    h0m3uSerAMT | 13:50

  4. Re: Star Wars mit Avatar verwechselt?

    Bujin | 13:50

  5. Re: Die Kopfhörer von dem Designer sind ja mal..

    RicoBrassers | 13:50


  1. 13:37

  2. 13:20

  3. 13:00

  4. 12:45

  5. 12:30

  6. 12:14

  7. 12:01

  8. 11:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel