18.04.2016

Petya-Ransomware geknackt, Passwortgenerator verfügbar

Wie nutze ich das Petya Decryption Tool?

Für die Betroffenen der grassierenden Ransomware Petya (seit Ende März verbreitet) gibt es Hoffnung. Was ist passiert? Mittlerweile existiert ein Passwortgenerator, der für die beschriebene Schadsoftware (siehe Blogeintrag vom 04.04.) verwendet werden kann. Dieser ermöglicht die Entsperrung des Systems – ohne Lösegeldzahlung. Der Weg dorthin erfordert allerdings etwas Handarbeit und Computerkenntnisse.

Was muss vorab getan werden?

Da der MBR der mit Petya infizierten Festplatte verschlüsselt wurde und somit kein normaler Boot des installierten Betriebssystems möglich ist, muss die Festplatte ausgebaut und an einen anderen PC angeschlossen werden. Am einfachsten geht das z.B. mit einem externen USB Dock. Die Festplatte kann natürlich auch per SATA/IDE angeschlossen werden. Wichtig ist nur, dass der Boot nicht von der infizierten Platte aus durchgeführt wird.

Petya Decryption Tool

Um das Petya Decryption Tool verwenden zu können, müssen nun spezielle Sektoren des Datenträgers exportiert werden. Da der Extrahiervorgang händisch sehr aufwändig wäre, gibt es mittlerweile glücklicherweise ein Tool, das diese Arbeit übernimmt. Das Petya Sector Extractor Tool des Emsisoft-Entwicklers Fabian Wosar kann unter folgendem Link heruntergeladen werden: http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

Sobald die betroffene Festplatte an einem funktionierenden Computer angeschlossen wurde, kann das Petya Sector Extractor Tool ausgeführt werden. Das Tool erkennt die betroffene Festplatte automatisch. Achtung! Das Petya Sector Extractor Tool wird ggf. von verschiedenen Virenscannern als schädlich eingestuft (7/56 Virustotal).

Da das Tool von einer vertrauenswürdigen Seite aus verteilt wird, handelt es sich hierbei jedoch aller Wahrscheinlichkeit nach um einen falschen Alarm. Wer trotzdem auf Nummer sicher gehen möchte, kann für diese Schritte einen isolierten Rechner verwenden, z.B. eine virtuelle Maschine.

Die Ausgabe des Tools kann anschließend für die eigentliche Generierung des Entschlüsselungs- Keys verwendet werden. Hierzu hat der Entwickler leostone eine eigene Web App erstellt.

Auf der Seite gibt es zwei Eingabefenster mit dem Label Base64 encoded 512 bytes verification data und Base64 encoded 8 bytes nonce. Dort müssen die durch das Petya Sector Extractor Tool generierten Werte eingefügt werden. Durch einen Klick auf „Submit“ beginnt die Generierung des Entschlüsselungs-Keys. Nach wenigen Sekunden sollte der entsprechende Schlüssel angezeigt werden. Notieren Sie diesen Schlüssel, da er für die spätere Eingabe am Petya-Lockscreen benötigt wird. Wichtig: Groß- und Kleinschreibung beachten!

(Unterhalb des generierten Keys gibt es die Möglichkeit, dem Ersteller der Seite eine kleine Spende zukommen zu lassen. Das ist keine Pflicht, aber trotzdem eine Option, den Ersteller des Passwortgenerators zu unterstützen.)

Nachdem die Festplatte wieder im ursprünglichen PC eingebaut wurde, kann der notierte Key eingegeben werden. Anschließend werden die Daten auf der Festplatte entschlüsselt. 

Alles entschlüsselt? Systemscan und Backup bleiben wichtig 

Wenn der Entschlüsselungsprozess abgeschlossen ist, fordert der Rechner einen Neustart. Nach diesem Reboot sollte das System wieder normal starten.

Es wird dringend empfohlen, anschließend einen kompletten Systemscan mit verschiedenen Antivirus-/Malware-Tools durchzuführen. Sind alle potenziellen Gefahren bereinigt, sollten Sie unbedingt ein Backup der Daten erstellen. Nach einer so schwerwiegenden Infektion ist es zudem ratsam, den Rechner neu aufzusetzen.

Daniel Heberlein
Consultant

Unsere Blogs