Categories: Sicherheit

Malwarebytes stellt Decryptor-Tool für Petya vor

Malwarebytes hat ein Tool veröffentlicht, mit dem sich ohne größeren technischen Aufwand Systeme wiederherstellen lassen, die durch die Ransomware Petya verschlüsselt wurden. Bislang war ein von Sicherheitsforschern entdecktes Verfahren zur Datenrettung nur von technisch versierten Nutzern umsetzbar.

Die Entschlüsselung ist jetzt möglich bei Rechnern, die „echten“ Versionen von Petya ausgesetzt waren. Nicht zu helfen ist damit jedoch Opfern von Petya-Versionen, die wie PetrWrap oder das auch als NotPetya bekannte EternalPetya von der ursprünglichen Ransomware abgeleitet wurden. Diese setzen zwar in vieler Hinsicht auf Petya auf, nutzen aber ein anderes Verschlüsselungsverfahren.

Die originalen Petya-Versionen wurden von einem Entwickler oder einer Gruppe geschaffen, die als Janus oder Janus Cybercrime Solutions firmiert. Nach dem Ausbruch von NotPetya in der Ukraine und dessen massiver weltweiter Verbreitung veröffentlichte Janus den Masterschlüssel und stellte vermutlich auch die Petya-Entwicklung ein. Entschlüsselbar sind daher nun die Ransomware-Versionen Red Petya, Green Petya (beide Varianten) sowie Goldeneye. Das gilt nicht nur für verschlüsselte Dateien, sondern auch für eine verschlüsselte Master File Table (MFT). Abhängig von den erlangten Berechtigungen konnten einige Petya-Varianten sowohl Dateien als auch die MFT angreifen.

Petya: Live-CD und Windows-Programm helfen bei Entschlüsselung

Um in beiden Fällen helfen zu können, liegt das Decryptor-Tool in zwei Varianten vor: eine Live-CD sowie eine unter Windows ausführbare Datei. Um den Bootlocker zu überwinden, steht eine ISO-Datei zum Download bereit. Sie ist vom infizierten System zu booten, um dann den Anweisungen zu folgen. Die Live-CD liest automatisch die relativ lange Opfer-ID aus, die für die Entschlüsselung erforderlich ist.

In allen Fällen kommt das Decryptor-Tool über die Opfer-ID an den individuellen Schlüssel. Diese ist im Text der Lösegeldforderung als „personal decryption code“ zu finden und ist außerdem am Ende aller verschlüsselten Dateien angehängt. Zur Entschlüsselung von Dateien muss zunächst die ID kopiert und in einer Datei gesichert werden, um den individuellen Key mithilfe des Key-Decoders zu entschlüsseln.

Für die Wiederherstellung von Dateien ist ein zur jeweiligen Petya-Version passendes Decryptor-Tool erforderlich. Die Download-Links führt Malwarebytes in einem Blogeintrag auf. Die Sicherheitsfirma empfiehlt, ihr Tool zunächst bei einer der verschlüsselten Dateien zu erproben, wofür der mit dem Key-Decoder ermittelte Schlüssel zu nutzen ist. Wenn das Ergebnis einwandfrei ausfällt, kann derselbe Schlüssel zur Rettung aller anderen Dateien zum Einsatz kommen.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago