Original-URL des Artikels: https://www.golem.de/news/security-petya-ransomware-geknackt-1604-120261.html    Veröffentlicht: 11.04.2016 15:27    Kurz-URL: https://glm.io/120261

Dateien entschlüsseln

Petya Ransomware geknackt

Wessen Computer mit der Ransomware Petya infiziert ist, kann seine Dateien möglicherweise retten. Ein neues Tool erfordert etwas Handarbeit, kann die Dateien aber wieder herstellen.

Auf Github ist ein kostenfreies Tool aufgetaucht, mit dem Daten entschlüsselt werden können, die mit der Ransomware Petya verschlüsselt wurden. Das Programm wurde von einem Twitter-Nutzer mit dem Pseudonym leostone veröffentlicht.

Mitarbeiter von Bleepingcomputer haben das Tool nach eigenen Angaben erfolgreich eingesetzt, um mit Petya verschlüsselte Datensätze zu entschlüsseln. Das Tool nutzt einige Angaben aus den verschlüsselten Dateien, die mit Hilfe eines Hexeditors ausgelesen werden können.

Daten mit Hexeditor auslesen

Dazu muss die mit Petya verschlüsselte Festplatte an einen anderen Computer angeschlossen werden und 512 Byte an Daten mit einem Hexeditor ausgelesen werden. Diese beginnen auf Sektor 55 (0x37h) mit den Offsets 0 sowie die 8 Byte Nonce aus Sektor 54 (0x36), Offset 33 (0x21).

Diese Daten müssen dann in Base64 Encoding umgewandelt werden, was mit dieser Webseite möglich ist, und dann auf der von leostone programmierten Webseite eingegeben werden. Diese Webseite erzeugt dann innerhalb von rund einer Minute das Passwort, das auf der Startseite des Petya-Starbildschirms eingegeben werden muss. Danach soll die Entschlüsselung automatisch starten.

Es gibt auch ein Tool mit dem Namen Petya Sector Extractor, das den Prozess automatisieren soll, Virenprogramme warnen jedoch davor, das Programm auszuführen.

Petya überschreibt den Master Boot Record mit einem eigenen Boot-Loader, der dann einen eigenen Kernel lädt, der die Verschlüsselung des Gerätes durchführt. Allerdings werden nicht, wie behauptet, alle Dateien verschlüsselt, sondern nur die Master File Table. Zum Schutz vor Petya kann die Option "Nach Systemfehler automatisch neustarten" deaktiviert werden, um die Persistenz zu verhindern. Denn vor dem Neustart lässt sich der Trojaner noch verhältnismäßig leicht entfernen.  (hg)


Verwandte Artikel:
Leaking: Shadow Brokers sollen NSA mehr geschadet haben als Snowden   
(13.11.2017, https://glm.io/131114 )
Not Petya: Maersk erneuerte IT-Infrastruktur in zehn Tagen   
(26.01.2018, https://glm.io/132407 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
IBRS und Retpoline: Linux-Entwickler diskutieren weiter über Spectre-Paches   
(24.01.2018, https://glm.io/132364 )
Matthew Garrett: Apple-Rechner eignen sich nicht für vertrauliche Arbeiten   
(05.01.2016, https://glm.io/118332 )

© 1997–2019 Golem.de, https://www.golem.de/