News Erpressungstrojaner: Verschlüsselung der Ransomware Petya geknackt

[karod3]

Habe nichts finden können in diesem Thread und auch nicht in der Readme.
In einem anderen Artikel stand, dass man Sektoren vom MBR kopieren muss.

Aber jetzt meine Frage, was ist wenn man die Platten nicht mit MBR sondern GPT nutzt?
Kann man trotzdem befallen werden??

 

[tiash]

In gewisser Weise kann man schon befallen werden, allerdings kann man die kaputte GPT im Gegensatz zum MBR recht leicht wieder herstellen. Wichtig ist es aber zu überprüfen, ob man auch wirklich per UEFI/GPT bootet und nicht doch versehentlich eine Legacy-Einstellung verwendet wird.

Mehr Infos dazu kannst du z.B. bei Heise (oder in den dort verlinkten GData-Blogeinträgen) finden: http://m.heise.de/security/meldung/...luesselung-bisher-nicht-knackbar-3160177.html

Edit: Natürlich sollte jedem klar sein, dass das nur zum aktuellen Zeitpunkt so ist. Eine der nächsten Petya-Versionen wird sicher auch GPT-Systeme 'korrekt' verschlüsseln.

 

[karod3]

Aktuell habe ich ein echtes UEFI_GPT WIn10 Setup mit deaktiviertem CSM und aktiviertem TPM-Secureboot.

Am wichtigsten ist natürlich das Backup, wie immer.

 

[purzelbär]

Am wichtigsten ist natürlich das Backup, wie immer.

Kann man zur Zeit in Zeiten von Locky, Teslacrypt und Petya nicht oft genug schreiben in Foren wie hier wie wichtig auch für Heimanwender Systembackups und Sicherungen auf einer externen USB Festplatte sind wenn persönliche, wichtige Dateien nicht verloren/verschlüsselt gehen sollen und das System schnell wiederhergestellt werden soll.

 

[CaptainPicard24]

Klischee sind ja Seiten mit pornographischem Inhalt.
Oder fragwürdige Seiten mit schadhaftem JAVA und/oder Flash.
Firefox + AdBlock Plus, NoScript, WOT hilft schon einiges.
Ob die Leute sich wirklich alle Pornographien reinziehen, weiß ich nicht.
Der einzige Virus, den ich mal hatte, kam von so einer Seite.
Seitdem geht an meinen PC außer mir niemand mehr ran. Garniemand. Nicht mal Familie.

Mails von Absendern, die ich nicht kenne, lösche ich ohne sie zu öffnen.

Ich halte mir einen Linux-Rechner nur fürs Internet. Auf dem ist nichts Wichtiges drauf. Nicht mal mein Name, in keiner einzigen Datei.
Das System habe ich voll konfiguriert als Klon im Schrank. Wird das verschlüsselt, setze ich mit einem Gerät die Festplatte auf den Werksauslieferungszustand zurück, klone das Back-Up drauf und gut ist.

 

[karod3]

Was heißt vollkonfiguriert?
Musst dann doch sicher auch die Programme erst wieder alle installieren, oder?
Und persönliche Daten?

Machst quasi wöchentlich ein Vollbackup?
(Das würde bei mir mehrere Stunden dauern)

 

[michi_gera]

Hallo.

Ich habe folgendes Problem.

Den Petya Code habe ich auslesen lassen.

Nun komme ich nicht mehr auf den Startbilschirm. Nach Win 10 Start erscheint: An operation system wasn´t found usw. Try disconnection.

Wie kann ich den Startbilschirm mit dem Totenkopf wieder aufrufen. Danke für Eure Antwort.

PS: auf c: ist unter anderem ein Ordern namens found.000

 

[purzelbär]

Hast du mal probiert mit der Win DVD den MBR neu zu machen? Petya setzt sich ja auch da rein und manipuliert die Partitionstabelle im MBR.

 

[michi_gera]

Wie fuktioniert das?

Per USB-Stick komme ich über Computerrepaturoptionen ins Menü. Dann Problembehandlung, erweiterte Optionen und welche option muss ich dann auswählen?

Danke.

PS: Starthilfe habe ich schon probiert ohne Erfolg.

 

[tiash]

Stop! Verstehe ich das richtig, dass du bisher nur den Petya Sector Extractor benutzt hast und eine Entschlüsselung der Daten noch aussteht? Dann noch nicht den MBR plattmachen, sonst klappt die Entschlüsselung nicht mehr!

 

[michi_gera]

Da muss ich mal ausholen:

Der Rechner wurde mit Petya infiziert (auf Arbeit). Da ich meine Daten schnellstmöglich zurückhaben wollte und noch keine Lösung des Problems vorlag hat mein Kollege (IT Mitarbeiter) die Platte an einen anderen Rechner angeschlossen und mit Rescuva gescannt und teilweise entschlüsselt. Er sagte mir eine Partition war noch fehlerhaft. Nun war der Mitarbeiter im Urlaub und die Platte habe ich erstmal wegegpackt.

Nun wurde das Problem durch einen User gelöst und ich habe den Key ausgelesen. Nach dem anstecken der Festplatte bootet win10 nicht mehr es erscheint folgender Text: "an operating system wasn t found try disconnecting any drives..... usw"

Wenn nun ein Backup vorhanden ist (vor der Repation mit Rescuva) kann man dann die Daten wieder auf die Platte ziehen? Erscheint dann der Bildschirm, wo man den Code eingeben kann?

Vielen Dank für Eure Hilfe.

 

[tiash]

Was genau ist für ein Backup vorhanden? Eine 1-zu-1 Kopie der Festplatte inklusive MBR? In dem Fall könntest du dieses Backup zurück auf die Platte spielen, ja. Solange man da aber keine genaueren Informationen hat möchte ich dir zu nichts raten, was deine Daten potentiell unwiederbringlich zerstört.

 

[michi_gera]

Gut. Danke erstmal. Werde heut nochmal meinen Kollegen dahingehend sprechen und melde mich später dann nochmal.

Ergänzung (17. April 2016)

Nach dem Befall hat mein Kollege die Festplatte ausgebaut und an einen anderen Rechner angehängt und gestartet. Er sagte daß hier schon der Petya Startbildschirm nicht mehr da war. Alle Dateien die noch zu retten waren hat er gesichert und auf anderen Platte gezogen. (ca, 200.000 Dateien) teilweile verschlüsselt.

Kann man den Petya Key nicht irgendwo in eine Datei schreiben ohne Startbildschirm.

Danke.

 

[CaptainPicard24]

Was heißt vollkonfiguriert?
Musst dann doch sicher auch die Programme erst wieder alle installieren, oder?
Und persönliche Daten?

Machst quasi wöchentlich ein Vollbackup?
(Das würde bei mir mehrere Stunden dauern)

Nein, die Programme sind auf dem Klon alle schon mit drauf. Wenn ich von dem wiederherstelle, ist alles sofort wieder da.
Natürlich auf einem alten Stand. Updates müssen dann gezogen werden.

Persönliche Daten gibt es auf dem PC keine. Dieser PC ist nur für das Internet da. Sonst wird daran nichts gemacht.
Also mache ich auch keine Back-Ups.

 

[tiash]

@michi_gera: Das klingt seltsam. Ohne Petya zu starten, werden die Dateien nicht entschlüsselt werden können denke ich. Also zumindest nicht mit aktuell vorhandenen Tools.

Wichtig wäre es, herauszufinden, warum der Petya-Bildschirm verschwunden ist. Liegt der MBR eventuell nicht auf der Festplatte, die ausgebaut wurde sondern auf einer anderen Partition?

Komisch finde ich auch, dass dein Kollege einige Dateien angeblich nur verschlüsselt sichern konnte. Petya verschlüsselt auf Dateisystemebene, da sollten gar keine einzelnen Dateien herauszuholen sein. Wenn ein Analyseprogramm doch welche findet, dann sollten diese nicht verschlüsselt sondern im Klartext vorliegen (dann hat das Programm nämlich die Dateien an der verschlüsselten MFT vorbei direkt auf der Festplatte gefunden).

Zum Auflösen der Verschlüsselung: es sollte möglich sein, den von Petya verwendeten Algorithmus nachzuvollziehen und eine Entschlüsselung selbst zu implementieren. Das ist bisher aber soweit ich weiß noch nicht öffentlich passiert. Es wird immer Petya selbst benutzt, um zu entschlüsseln.

 

[michi_gera]

@tiash

die Eingabeauforderung zeigt mir 3 Partitionen. (sdf Unbuntu)

1. Festplatte Volume / 2. System reserviert / 3. nicht aufrufbar

 

[michi_gera]

Hallo.

Also, die Platte wurde aus dem Rechner ausgebaut. An einen anderen Rechner angehängt. Nach dem Hochfahren in diesem Rechner war lt. meinem Kollegen kein Petya Bildschirm mehr da. Nun hat er Rescuva drüberlaufen lassen. Die geretteten Daten hat er in einem Ordner abgelegt auf anderer Festplatte (ca. 65 GB). Dort waren teilweise Textdateien und Excel und Pdf datein dabei. Jedoch massig aufgebläht. Mitunter waren die 1 GB groß. Andere Dateien hatten den Dateityp "Datei".

Auf eine Partition ist er nicht draufgekommen. Die inizierte Festplatte hat jetzt noch 6 GB.

Vielen Dank für Eure Hilfe.

 

[tiash]

Kein Hochfahren im anderen Rechner, eine Partition nicht zugreifbar, Festplatte jetzt nur noch 6GB groß... Das klingt ganz gewaltig so als wäre da etwas schief gegangen und der MBR nicht mehr in seiner ursprünglichen Form. Wann oder wodurch das passiert ist kann man nicht sagen.

Aus dem Bauch heraus würde ich tippen, dass man da mit den Standardtools nichts mehr ausrichten kann. Möglicherweise können Fachleute die notwendigen Schlüsseldaten trotzdem noch extrahieren und die Verschlüsselung per Hand rückgängig machen. Das wird aber vermutlich teuer.

 

[Ice Tea Zitrone]

Klischee sind ja Seiten mit pornographischem Inhalt.
Oder fragwürdige Seiten mit schadhaftem JAVA und/oder Flash.
Firefox + AdBlock Plus, NoScript, WOT hilft schon einiges.
Ob die Leute sich wirklich alle Pornographien reinziehen, weiß ich nicht.
Der einzige Virus, den ich mal hatte, kam von so einer Seite.
Seitdem geht an meinen PC außer mir niemand mehr ran. Garniemand. Nicht mal Familie.

Mails von Absendern, die ich nicht kenne, lösche ich ohne sie zu öffnen.

Ich halte mir einen Linux-Rechner nur fürs Internet. Auf dem ist nichts Wichtiges drauf. Nicht mal mein Name, in keiner einzigen Datei.
Das System habe ich voll konfiguriert als Klon im Schrank. Wird das verschlüsselt, setze ich mit einem Gerät die Festplatte auf den Werksauslieferungszustand zurück, klone das Back-Up drauf und gut ist.

Meine Güte man kann's auch übertreiben

 

[Dr. McCoy]

Meine Güte man kann's auch übertreiben

Nö. Das ist eher "gut vorbereitet". Damit kommt man nicht in die Bredouille, im Gegensatz dazu, wie es vielen desinformierten und unorganisierten PC-Benutzern bezüglich Infektionen ergeht.

Apropos "Bredouille": Ein zusätzlicher Klon bzw. ein zusätzliches Backup im Schrank ist nicht nur wegen Malware sinnvoll, sondern auch wegen solcher oder ähnlich gelagerter Hardwareprobleme:
-> https://www.computerbase.de/forum/threads/externe-festplatte-macht-probleme.1552941/#post-18383859

Von daher sollte man gerade im IT-Bereich immer aufnahme- und lernbereit mitlesen, ohne mit unpassenden Floskeln abzublocken.