Verschlüsselung der Ransomware Petya geknackt

Die Verschlüsselung der Ransomware Petya ist offensichtlich geknackt worden, so dass sich damit verschlüsselte Daten auch ohne Lösegeldzahlung wiederherstellen lassen. Ein Twitter-Nutzer namens leostone hat nach eigenen Angaben einen gültigen Schlüssel gefunden und auf dessen Basis einen Algorithmus sowie ein Tool programmiert, mit dem sich das benötigte Passwort „innerhalb von Sekunden“ generieren lässt. Es ist kostenlos auf GitHub verfügbar.

Petya-Lockscreen (Bild: G Data)Sicherheitsexperten von Bleepingcomputer haben die Wirksamkeit des Passwort-Generators „Hack-Petya“ bereits bestätigt. Bei ihrem Test habe das Erstellen des benötigten Kennworts lediglich sieben Sekunden gedauert.

Um das Passwort zu generieren setzt die von leostone auch in Form einer eigenen Website bereitgestellte Lösung einen genetischen Algorithmus ein. Dieser benötigt als Ausgangspunkt einige Angaben aus von Petya verschlüsselten Dateien, die mittels eines Hex-Editors ausgelesen werden können.

Zunächst muss dazu eine mit Petya verschlüsselte Festplatte an einen anderen Rechner angeschlossen werden. Anschließend sind 512 Byte an Daten zur Verifizierung auszulesen, die auf Sektor 55 (0x37) mit Offest 0(0x0) beginnen, sowie 8 Byte Nonce aus Sektor 54 (0x36) Offset 33 (0x21). Nachdem die Daten in Base64 umgewandelt wurden, lassen sie sich auf der Website von leostone eingeben, um daraus den Schlüssel zu generieren. Bei Verwendung von Hack-Petya müssen die ermittelten Werte zunächst in einer Textdatei gespeichert und diese dann im Installationsordner des Tools abgelegt werden. Das so generierte Passwort lässt sich abschließend auf dem Petya-Startbildschirm eintragen, um die Entschlüsselung zu starten.

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

Mit dem vom Sicherheitsforscher Fabian Wosar programmierten Tool Petya Sector Extractor (Download als ZIP-Datei) kann das Auslesen der benötigten Datenfragmente auch automatisiert werden. Antivirenprogramme schlagen beim Herunterladen eventuell an, doch dabei handelt es sich höchstwahrscheinlich um Fehlalarme.

Petya sperrt den Anwender von allen seinen Dateien aus, indem es den Master Boot Record der Festplatte durch einen eigenen Boot-Loader ersetzt und die Master File Table (MFT) von NTFS-Partitionen verschlüsselt. Trend Micro hat die Ransomware eingehend analysiert. Demnach wird Petya über E-Mail verteilt. Es tarnt sich als deutschsprachiges Bewerbungsschreiben, Hauptzielgruppe sind also Personalabteilungen von Firmen im deutschsprachigen Raum. Ein Link zu Dropbox, der angeblich auf die Bewerbungsmappe verweist, führt zu einem Archiv, das zwei Dateien enthält: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“. Das E-Mail-Anschreiben wird an den jeweiligen Adressaten angepasst. Die Ransomware fordert 0,99 Bitcoin Lösegeld (rund 400 Euro), um die verschlüsselten Daten wieder zugänglich zu machen. Nach einer Woche verdoppelt sich die Summe.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago