Die Verschlüsselung der Ransomware Petya ist offensichtlich geknackt worden, so dass sich damit verschlüsselte Daten auch ohne Lösegeldzahlung wiederherstellen lassen. Ein Twitter-Nutzer namens leostone hat nach eigenen Angaben einen gültigen Schlüssel gefunden und auf dessen Basis einen Algorithmus sowie ein Tool programmiert, mit dem sich das benötigte Passwort „innerhalb von Sekunden“ generieren lässt. Es ist kostenlos auf GitHub verfügbar.
Um das Passwort zu generieren setzt die von leostone auch in Form einer eigenen Website bereitgestellte Lösung einen genetischen Algorithmus ein. Dieser benötigt als Ausgangspunkt einige Angaben aus von Petya verschlüsselten Dateien, die mittels eines Hex-Editors ausgelesen werden können.
Zunächst muss dazu eine mit Petya verschlüsselte Festplatte an einen anderen Rechner angeschlossen werden. Anschließend sind 512 Byte an Daten zur Verifizierung auszulesen, die auf Sektor 55 (0x37) mit Offest 0(0x0) beginnen, sowie 8 Byte Nonce aus Sektor 54 (0x36) Offset 33 (0x21). Nachdem die Daten in Base64 umgewandelt wurden, lassen sie sich auf der Website von leostone eingeben, um daraus den Schlüssel zu generieren. Bei Verwendung von Hack-Petya müssen die ermittelten Werte zunächst in einer Textdatei gespeichert und diese dann im Installationsordner des Tools abgelegt werden. Das so generierte Passwort lässt sich abschließend auf dem Petya-Startbildschirm eintragen, um die Entschlüsselung zu starten.
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Mit dem vom Sicherheitsforscher Fabian Wosar programmierten Tool Petya Sector Extractor (Download als ZIP-Datei) kann das Auslesen der benötigten Datenfragmente auch automatisiert werden. Antivirenprogramme schlagen beim Herunterladen eventuell an, doch dabei handelt es sich höchstwahrscheinlich um Fehlalarme.
Petya sperrt den Anwender von allen seinen Dateien aus, indem es den Master Boot Record der Festplatte durch einen eigenen Boot-Loader ersetzt und die Master File Table (MFT) von NTFS-Partitionen verschlüsselt. Trend Micro hat die Ransomware eingehend analysiert. Demnach wird Petya über E-Mail verteilt. Es tarnt sich als deutschsprachiges Bewerbungsschreiben, Hauptzielgruppe sind also Personalabteilungen von Firmen im deutschsprachigen Raum. Ein Link zu Dropbox, der angeblich auf die Bewerbungsmappe verweist, führt zu einem Archiv, das zwei Dateien enthält: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“. Das E-Mail-Anschreiben wird an den jeweiligen Adressaten angepasst. Die Ransomware fordert 0,99 Bitcoin Lösegeld (rund 400 Euro), um die verschlüsselten Daten wieder zugänglich zu machen. Nach einer Woche verdoppelt sich die Summe.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
