Für die Betroffenen der grassierenden Ransomware Petya (seit Ende März verbreitet) gibt es Hoffnung. Was ist passiert? Mittlerweile existiert ein Passwortgenerator, der für die beschriebene Schadsoftware (siehe Blogeintrag vom 04.04.) verwendet werden kann. Dieser ermöglicht die Entsperrung des Systems – ohne Lösegeldzahlung. Der Weg dorthin erfordert allerdings etwas Handarbeit und Computerkenntnisse.
Was muss vorab getan werden?
Da der MBR der mit Petya infizierten Festplatte verschlüsselt wurde und somit kein normaler Boot des installierten Betriebssystems möglich ist, muss die Festplatte ausgebaut und an einen anderen PC angeschlossen werden. Am einfachsten geht das z.B. mit einem externen USB Dock. Die Festplatte kann natürlich auch per SATA/IDE angeschlossen werden. Wichtig ist nur, dass der Boot nicht von der infizierten Platte aus durchgeführt wird.
Petya Decryption Tool
Um das Petya Decryption Tool verwenden zu können, müssen nun spezielle Sektoren des Datenträgers exportiert werden. Da der Extrahiervorgang händisch sehr aufwändig wäre, gibt es mittlerweile glücklicherweise ein Tool, das diese Arbeit übernimmt. Das Petya Sector Extractor Tool des Emsisoft-Entwicklers Fabian Wosar kann unter folgendem Link heruntergeladen werden: http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip
Sobald die betroffene Festplatte an einem funktionierenden Computer angeschlossen wurde, kann das Petya Sector Extractor Tool ausgeführt werden. Das Tool erkennt die betroffene Festplatte automatisch. Achtung! Das Petya Sector Extractor Tool wird ggf. von verschiedenen Virenscannern als schädlich eingestuft (7/56 Virustotal).
Da das Tool von einer vertrauenswürdigen Seite aus verteilt wird, handelt es sich hierbei jedoch aller Wahrscheinlichkeit nach um einen falschen Alarm. Wer trotzdem auf Nummer sicher gehen möchte, kann für diese Schritte einen isolierten Rechner verwenden, z.B. eine virtuelle Maschine.