Speziellen Bootsektor reparieren

Physikbuddha

Lt. Commander
Registriert
Aug. 2014
Beiträge
1.051
Hallo zusammen,

nachdem gestern bekannt wurde, dass die Petya-Verschlüsselung geknackt wurde, wollte ich die verschlüsselte Festplatte meines Bekannten wiederherstellen.

Den Key habe ich ausgelesen und erstellt, jedoch scheitert es daran, dass die verschlüsselte Platte nicht zum roten Totenkopf bootet.

Stattdessen erscheint 'A disk read error occurred.'.
Da das ein UEFI-Rechner ist, habe ich die Platte an einen alten Dell zum booten geklemmt.
Dort blinkt nur der weiße Cursor aber nichts bootet.

Wahrscheinlich ist der Petya-MBR zerstört, obwohl ich die Platte zur Datenrettung ausschließlich read-only gemountet habe.

Gibt es eine Möglichkeit diesen sehr speziellen Bootsektor zu reparieren, um die Platte zu entschlüsseln?

Gruß vom Physikbuddha
 
Physikbuddha schrieb:
Da das ein UEFI-Rechner ist, habe ich die Platte an einen alten Dell zum booten geklemmt.

Und aus welchem Grund? Wenn das OS im UEFI Modus installiert wurde, dann wird ein booten an einem alten Rechner nicht funktionieren. Der Trojaner ändert eigentlich am MBR nichts. Und wenn es eine UEFI Installation ist, dann gibt es auch keinen MBR mehr. Dann ist die HDD im GPT Stil eingerichtet.

Und wenn Du einmal das Read.me zu dem Tool liest, dann solltest Du Abstand davon nehmen, auf der gebooteten HDD selbst die Reinigung durch zu führen.

https://github.com/leo-stone/hack-petya
 
Zuletzt bearbeitet:
Da ist eher die Festplatte selbst kaputt.An einen anderen PC anschließen, nicht davon booten und versuchen die relevanten Schlüssel auszuelsen. Du kannst und darfst nicht zum Totenkopf booten, selbst wenn die Platte ganz wäre.

Dateien entschlüsseln

Damit Petya-Opfer ihre Daten wieder lesen können, müssen sie die Festplatte mit den verschlüsselten Dateien an ein sauberes System hängen, da der Erpressungs-Trojaner den kompletten Rechner abriegelt.
http://www.heise.de/newsticker/meld...sswort-Generator-veroeffentlicht-3167064.html
 
Nein. Der Rechner der befallen wurde, steht woanders und mir hier nicht zur Verfügung.
Bevor ich da jetzt 2 Stunden hin und 2 Stunden zurückfahre, wollte ich das ganze an meinen Rechnern entschlüsseln.

Ich habe einen Rechner mit UEFI (irgendein Gigabyte-Brett), an dem ich probiert habe.
Der andere Dell ist von 2007 und nur mit klassischem BIOS.
Ergänzung ()

@HominiLupus
Die Platte ist okay, ich habe mit Photorec bereits die Dateien alle ausgelesen.
Erkannt wird die Platte im BIOS und auch an einem sauberen System, nur die beiden Partitionen sind halt RAW.
Wie ich geschrieben habe, habe ich die Entschlüsselungs-Keys bereits ausgelesen.

Nun muss ich ja aber die auch irgendwo eingeben.
Diese Seite bootet aber eben nicht.
decrypting.png
 
Zuletzt bearbeitet:
Pack die HDD in eine Diskstation oder schließe sie als zweite HDD an. Du kannst nicht von ihr booten und sie reparieren.

Und wenn Du Deinen Rechner nicht auch mit infizieren willst, dann mache das in einer VM.
 
Hast du den Bootsektor in einem Hexeditor schon angesehen? Steht da "A disk read error occurred" im Bootsektor drin?
 
Wieso sollte ich nicht davon booten können?
Petya ändert den MBR auf sich selbst und zeigt den blinkenden roten ASCII-Totenkopf.

Ich hatte doch bereits die Platte an einem fremden Rechner als zweite Platte angeklemmt.
Ich habe die Daten soweit möglich gerettet und auf eine andere Platte gesichert.
Ich habe den Entschlüsselungskey bereits generiert.
Nun muss ich sie aber entschlüsseln!
Das geht nur, indem ich von dieser Platte den Petya-Bootsektor starte.


So funktioniert der Krypto-Trojaner Petya


Nach dem Ausführen arbeitet Petya zunächst im Hintergrund, also vom Nutzer unbemerkt. Dabei wird der Master Boot Record (MBR) umgeschrieben, sodass beim nächsten Hochfahren des PCs nicht mehr Windows, sondern ein Verschlüsselungsprogramm startet. Anschließend wird der Computer zum Absturz gebracht und so zum Neustart gezwungen.

Beim Starten wird dem Nutzer dann ein Programm angezeigt, welches angeblich die Festplatte nach Fehlern durchsucht. Tatsächlich wird bei dem Vorgang jedoch die Festplatte verschlüsselt. Anschließend erscheint die Aufforderung an den Nutzer, über das Tor-Netzwerk einen individuellen Key zum Entschlüsseln der Daten zu erwerben.
Ergänzung ()

@HominiLupus
Nein, ich bin mit systemnahen Debugging leider nicht so fit wie manch anderer.
Mit welchem Hex-Editor kann ich das denn machen?
Ergänzung ()

Ich erstelle jetzt eine 1:1-Kopie mit Clonezilla und versuche danach den Bootsektor mit diesem zu überschreiben.
https://blog.malwarebytes.org/wp-content/uploads/2016/03/infected.png
 
Kurze Rückmeldung:

Das Überschreiben des Bootsektors mittels Hexeditor durch das Sample von Malwarebytes hat geholfen.
Der Trojaner bootete wieder und ich konnte den Decrypting-Key eingeben. Nach einem Neustart waren die Daten wieder verfügbar.

Gruß vom Physikbuddha
 
Zurück
Oben