Malwarebytes stellt Decryptor-Tool für Petya vor

Malwarebytes stellt Decryptor-Tool für Petya vor

Malwarebytes stellt Decryptor-Tool für Petya vor

Malwarebytes hat ein Tool veröffentlicht, mit dem sich ohne übermäßigem Aufwand von der Ransomware Petya verschlüsselte Systeme wiederherstellen lassen. Darunter fallen sowohl Dateien als auch die Master File Table. Dies gilt jedoch nicht für die von Petya abgeleitete Schadsoftware NotPetya. Bis jetzt war ein von Sicherheitsforschern entdecktes Verfahren zur Datenrettung nur von technisch versierten Nutzern umsetzbar.

Die originalen Petya-Versionen wurden von einem Entwickler oder einer Gruppe geschaffen, die als Janus oder Janus Cybercrime Solutions firmiert. Nach dem Ausbruch von NotPetya in der Ukraine und dessen weltweiter Verbreitung veröffentlichte Janus den Masterschlüssel und stellte vermutlich auch die Petya-Entwicklung ein. Entschlüsselbar sind daher nun die Ransomware Versionen Red Petya, Green Petya (beide Varianten) sowie Goldeneye. Das gilt nicht nur für verschlüsselte Dateien, sondern auch für eine verschlüsselte Master File Table (MFT). Abhängig von den erlangten Berechtigungen konnten einige Petya-Varianten sowohl Dateien als auch die MFT angreifen.

Live-CD und Windows-Programm helfen bei Entschlüsselung

Um in beiden Fällen helfen zu können, liegt das Decryptor-Tool in zwei Varianten vor: eine Live-CD sowie eine unter Windows ausführbare Datei. Um den Bootlocker zu überwinden, steht eine ISO-Datei zum Download bereit. Sie ist vom infizierten System zu booten, um dann den Anweisungen zu folgen. Die Live-CD liest automatisch die relativ lange Opfer-ID aus, die für die Entschlüsselung erforderlich ist.

In allen Fällen kommt das Decryptor-Tool über die Opfer-ID an den individuellen Schlüssel. Diese ist im Text der Lösegeldforderung als „personal decryption code“ zu finden und ist am Ende aller verschlüsselten Dateien angehängt. Zur Entschlüsselung von Dateien muss zunächst die ID kopiert und in einer Datei gesichert werden, um den individuellen Key mithilfe des Key-Decoders zu entschlüsseln.

Für die Wiederherstellung von Dateien ist ein zur jeweiligen Petya-Version passendes Decryptor-Tool notwendig. Die Download-Links führt Malwarebytes in einem Blogeintrag auf. Die Sicherheitsfirma empfiehlt, ihr Tool zunächst bei einer der verschlüsselten Dateien zu erproben. Hierfür ist der mithilfe des Key-Decoders ermittelte Schlüssel zu nutzen. Wenn das Ergebnis einwandfrei ausfällt, kann derselbe Schlüssel zur Rettung aller anderen Dateien zum Einsatz kommen.

Die incoperating als Ihr Ansprechpartner bezüglich IT-Sicherheit

Sollten Sie weitere Fragen zu den Themen Ransomware, Viren oder IT-Sicherheit allgemein haben, können Sie sich jederzeit telefonisch oder auch schriftlich bei uns melden. Als IT-Dienstleister in München ist die incoperating in den Bereichen IT-Sicherheit, IT-Support, Firewalls, Software, Server-Betrieb, Benutzerverwaltung und vielen weiteren Themen mit ihrem Leistungsportfolio vertreten. Mit kostenlosen und unverbindlichen Erstberatungsterminen können Sie sich zudem ein genaues Bild von uns verschaffen. Gleichzeitig lernen Sie die incoperating so näher kennen und haben dabei auch die Möglichkeit, die Servicedetails und Vertragsmöglichkeiten zu besprechen und kennenzulernen.

Originalartikel: http://www.zdnet.de/88305725/malwarebytes-stellt-decryptor-tool-fuer-petya-vor/