Erpressungstrojaner: Verschlüsselung der Ransomware Petya geknackt

Michael Schäfer
81 Kommentare
Erpressungstrojaner: Verschlüsselung der Ransomware Petya geknackt
Bild: 422737 | CC0 1.0

Hoffnung für Computernutzer, deren Daten vom Erpressungstrojaner Petya verschlüsselt wurden: Einem Entwickler ist es gelungen, das für die Entschlüsselung notwendige Passwort innerhalb weniger Sekunden zu erstellen.

Der unbekannte Entwickler mit dem Pseudonym leostone hat dazu das kostenlose Tool Hack-Petya auf GitHub gestellt und eine Website mit Anleitung veröffentlicht, über die Betroffene an das benötigte Passwort zur Entschlüsselung gelangen können.

Hilfe auch für unversierte Nutzer

Bei der Entschlüsselung setzt leostone auf einen sogenannten genetischen Algorithmus, welcher auf diverse Daten der verschlüsselten Dateien zurückgreift. Für das Auslesen der Daten muss der verschlüsselte Datenträger an einen anderen, nicht befallenen Computer angeschlossen werden, wozu bereits eine einfache USB-Dockingstation ausreicht.

Im nächsten Schritt müssen bestimmte Sektoren per Hex-Editor ausgelesen werden. Da jedoch nur die wenigsten Nutzer das dazu benötigte Wissen mitbringen, hat der Sicherheitsforscher Fabian Wosar das kostenlose Tool Petya Sector Extractor (Direktdownload) zur Verfügung gestellt, welches die benötigten Informationen eigenständig extrahiert. Sollte der befallene Rechner über mehrere Festplattenlaufwerke verfügen, muss die Festplatte mit der Boot-Partition herangezogen werden.

Die so gefundenen Werte müssen anschießend auf die genannte Website in die Textfelder „Base64 encoded 512 bytes verification data“ und „Base64 encoded 8 bytes nonce“ eingegeben oder bei Nutzung des Tools in die Textdateien src.txt und nonce.txt übertragen werden, welche im gleichen Verzeichnis wie die Software abgelegt werden. Nach ein paar Sekunden erhält der Nutzer ein Passwort, mit dem der Petya-Sperrbildschirm umgangen und die Entschlüsselung automatisch eingeleitet werden kann. Nach einem Neustart soll der Rechner anschießend wie gewohnt hochfahren.

Wirksamkeit von Sicherheitsexperten bestätigt

Die Wirksamkeit der von leostone entwickelten Methode wurde bereits von den Sicherheitsexperten von Bleeping Computer bestätigt und auch auf heise.de gibt es eine erste Rückmeldung, welche den Erfolg des Tools bestätigt.

Das Ende des für Kriminelle lukrativen Geschäftes dürfte das veröffentlichte Tool jedoch noch lange nicht bedeuten, denn dieses dürfte sich nur bei der aktuellen Version beziehungsweise bei älteren Varianten als wirksam erweisen. Es dürfte somit als sicher gelten, dass die nächste Evolution der Erpressungstrojaner zum Einläuten der nächsten Stufe in diesem Katz-und-Maus-Spiel bereits in den Startlöchern steht.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!