2189667

Petya-Verschlüsselung ist geknackt - Tool verfügbar

12.04.2016 | 09:17 Uhr |

Ein Unbekannter hat herausgefunden, wie man die Festplattenverschlüsselung der Ransomware Petya rückgängig machen kann. Die Software, die dies ermöglicht, ist frei erhältlich.

Der Erpresserschädling Petya manipuliert den Startbereich der Systemfestplatte und macht so die gespeicherten Daten unzugänglich. Nur wer das geforderte Lösegeld zahlt, soll wieder auf seine Daten zugreifen können. Doch während es Antivirushersteller bislang offenbar nicht geschafft haben, hat jetzt ein Unbekannter mit dem Twitter-Pseudonym leostone die Petya-Verschlüsselung des MBR (Master Boot Record) geknackt. Er hat eine Methode veröffentlicht, wie Betroffene ihre Daten wieder herstellen können.

Wie leostone auf GitHub berichtet, hat er über Ostern seinen Schwiegervater besucht, der ihn gleich mit der Nachricht begrüßte, er habe einen roten Totenschädel auf dem PC-Bildschirm. Schnell war klar: der Rechner war mit der Ransomware Petya verseucht. So machte sich leostone an die Arbeit einen Weg zu finden, wie sein Schwiegervater wieder an seine Daten kommen kann, ohne ein Lösegeld zu zahlen.

Ergebnis seiner Mühe ist ein Verfahren, das er als genetischen Algorithmus bezeichnet. Gemeint ist eine Art evolutionärer Algorithmus, der ein der Natur nachempfundenes Optimierungsverfahren einsetzt, um eine brauchbare Problemlösung zu finden – wenn auch nicht notwendigerweise die beste. Mit einem solchen Verfahren kann das Programm aus bestimmten Daten, die auf der betroffenen Festplatte liegen, den Schlüssel für die Wiederherstellung der Daten erzeugen.

Allerdings hat es leostone anderen überlassen, auch weniger Computer-affinen Petya-Opfern die Wiederherstellung ihrer Daten zu ermöglichen. Das ursprüngliche Verfahren setzt die Nutzung eines Hex-Editors voraus, um bestimmte Sektoren der Festplatte auszulesen. Fabian Wosar hat dies übernommen und das Tool „Petya Sector Extractor“ geschrieben, das die benötigten Informationen selbsttätig ermittelt.

Voraussetzung ist in jedem Fall, dass die betroffene Festplatte an einen funktionsfähigen, nicht verseuchten Windows-Rechner angeschlossen wird. Dies kann etwa mit einer USB-Docking-Station geschehen. Die ermittelten Werte können die Betroffenen dann auf einer durch leostone bereit gestellten Web-Seite eingeben und erhalten nach einigen Sekunden das Passwort, um die Petya-Sperre zu lösen und die Festplatte zu entschlüsseln. Alternativ stellt leostone auch ein einfaches Programm namens "hack-petya" bereit, das den Schlüssel ohne die Web-Seite auf dem PC generiert.

Das Verfahren bietet zwar keine Garantie für den Erfolg, doch es gibt bereits Berichte über erfolgreiche Wiederherstellungen durch Petya verschlüsselter Festplatten. Ransomware-Fachleute bei BleepingComputer, wo Fabian Wosars Programm erhältlich ist, haben bestätigt, dass die Methode funktioniert. Hier hat Lawrence Abrams auch eine ausführliche Anleitung mit allen nötigen Links veröffentlicht.

Handelt es sich bei dem PC um einen Rechner mit modernem UEFI-BIOS, kann der Schaden sogar mit Windows-Bordmitteln behoben werden.

0 Kommentare zu diesem Artikel
2189667