Abo
  • IT-Karriere:

Dateien entschlüsseln: Petya Ransomware geknackt

Wessen Computer mit der Ransomware Petya infiziert ist, kann seine Dateien möglicherweise retten. Ein neues Tool erfordert etwas Handarbeit, kann die Dateien aber wieder herstellen.

Artikel veröffentlicht am ,
Petya verschlüsselt den Master File Table des Rechners.
Petya verschlüsselt den Master File Table des Rechners. (Bild: Malwarebytes Labs)

Auf Github ist ein kostenfreies Tool aufgetaucht, mit dem Daten entschlüsselt werden können, die mit der Ransomware Petya verschlüsselt wurden. Das Programm wurde von einem Twitter-Nutzer mit dem Pseudonym leostone veröffentlicht.

Stellenmarkt
  1. Hays AG, Großraum München
  2. BWI GmbH, Schortens

Mitarbeiter von Bleepingcomputer haben das Tool nach eigenen Angaben erfolgreich eingesetzt, um mit Petya verschlüsselte Datensätze zu entschlüsseln. Das Tool nutzt einige Angaben aus den verschlüsselten Dateien, die mit Hilfe eines Hexeditors ausgelesen werden können.

Daten mit Hexeditor auslesen

Dazu muss die mit Petya verschlüsselte Festplatte an einen anderen Computer angeschlossen werden und 512 Byte an Daten mit einem Hexeditor ausgelesen werden. Diese beginnen auf Sektor 55 (0x37h) mit den Offsets 0 sowie die 8 Byte Nonce aus Sektor 54 (0x36), Offset 33 (0x21).

Diese Daten müssen dann in Base64 Encoding umgewandelt werden, was mit dieser Webseite möglich ist, und dann auf der von leostone programmierten Webseite eingegeben werden. Diese Webseite erzeugt dann innerhalb von rund einer Minute das Passwort, das auf der Startseite des Petya-Starbildschirms eingegeben werden muss. Danach soll die Entschlüsselung automatisch starten.

Es gibt auch ein Tool mit dem Namen Petya Sector Extractor, das den Prozess automatisieren soll, Virenprogramme warnen jedoch davor, das Programm auszuführen.

Petya überschreibt den Master Boot Record mit einem eigenen Boot-Loader, der dann einen eigenen Kernel lädt, der die Verschlüsselung des Gerätes durchführt. Allerdings werden nicht, wie behauptet, alle Dateien verschlüsselt, sondern nur die Master File Table. Zum Schutz vor Petya kann die Option "Nach Systemfehler automatisch neustarten" deaktiviert werden, um die Persistenz zu verhindern. Denn vor dem Neustart lässt sich der Trojaner noch verhältnismäßig leicht entfernen.



Anzeige
Spiele-Angebote
  1. 24,99€
  2. 44,99€
  3. 4,31€
  4. 4,99€

procrash 08. Jun 2016

Für Leute deren Platte mit dem grünen Petya verschlüsselt wurde gibt es inzwischen auch...

procrash 02. Jun 2016

https://petyaransomwarehilfe.wordpress.com

paranoidandroid 28. Mai 2016

Graham Cluley darüber informiert, dass die Forscher ein Werkzeug entwickelt, das...


Folgen Sie uns
       


Mercedes EQC probegefahren

Wie schlägt sich der neue EQC von Mercedes im Vergleich mit anderen Elektroautos? Golem.de hat das SUV in der Umgebung von Stuttgart Probe gefahren.

Mercedes EQC probegefahren Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. IT-Arbeitsmarkt Jobgarantie gibt es nie
  2. IT-Fachkräftemangel Freie sind gefragt
  3. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"

    •  /