Petya
Normalerweise spenden wir Bugs keinen Beifall. Heute machen wir allerdings eine Ausnahme.
Aufgrund eines Bugs oder eines Fehlers in der Ransomware Petya ist es einem Entwickler gelungen, ein Tool zu kreieren, mithilfe dessen Geräte von Nutzern ohne Zahlung des Lösegeldes wieder entschlüsselt werden können.
Letzten Monat haben wir Sie vor Petya gewarnt und davor, wie die Ransomware Geräte verschlüsselt. Daher würde ich sagen: ein Hoch auf den Twitter-User @Leostone.
Sein Avatar auf Twitter ist ein Ei und man könnte sich also fragen: funktioniert dieses Decodierungstool überhaupt? Um das herauszufinden, haben wir unser Rechercheteam darauf angesetzt.
Unser Team bestätigte, dass das Tool tatsächlich funktioniert. Allerdings gibt es ein paar Schwachpunkte. Zunächst einmal hat @Leostone das Decodierungstool in Form einer Webseite bereitgestellt, die für Sie Schlüssel generieren kann, mit deren Hilfe Sie Ihre Daten wieder entschlüsseln können. Und diese Webseite ist momentan nicht immer verfügbar — es scheint ganz so, als würde der betroffene Hostinganbieter nicht mit dem plötzlichen Ansturm verzweifelter Petya-Opfer zurechtkommen.
Darüber hinaus verlangt das Tool, dass Sie Ihre Festplatte entfernen und diese mit einem anderen PC verbinden. Im nächsten Schritt müssen Sie dann bestimmten Bereichen spezielle Daten entnehmen und diese über das Base64-Codierungsverfahren entschlüsseln.
Laden Sie diese auf der Seite hoch und — voilà — schon erhalten Sie einen Schlüssel, den Sie nun nur noch in Petya einspeisen müssen. Und schon wird Ihre Festplatte wieder entschlüsselt.
Wie Sie sehen, ist das Verfahren kompliziert und setzt technische Kenntnisse voraus. Ein anderer Twitter-User, Fabian Wosar, hat Ihnen die Arbeit erleichtert, indem er ein spezielles Dienstprogramm namens Petya Sector Extractor entwickelt hat, die die niedere Arbeit für Sie übernimmt. Es ist nach wie vor notwendig, die Festplatte zu entfernen und diese mit einem anderen PC zu verbinden, aber im Folgenden entnimmt das Dienstprogramm die erforderlichen Daten und verarbeitet diese. Das einzige, was Sie danach noch tun müssen, um den Schlüssel zu erhalten, ist die Daten aus dem Dienstprogramm in das Formular auf der Webseite von @Leostone einzugeben.
Unser Rechercheteam hat darüber hinaus festgestellt, dass sich dieses Tool einen Fehler in der Programmierung von Petya zunutze macht. Ähnlich wie Unternehmen Patches veröffentlichen, werden wir in einer Woche voraussichtlich eine neuere Version von Petya sehen, in der der entsprechende Fehler behoben ist, der ermöglicht, die verlorenen Daten auf diese Weise wieder zu entschlüsseln.
Wenn Sie Petya zum Opfer gefallen sind und das Lösegeld in Höhe von etwa 420 EUR nicht zahlen wollen, sollten Sie dieses Tool ausprobieren — die Webseite finden Sie über die URL https://petya-pay-no-ransom.herokuapp.com/. Der Petya Sector Extractor kann hier heruntergeladen werden. Allerdings brauchen Sie auch mit diesen Links technisches Know-how. Das Team von Bleeping Computer führt Sie Schritt für Schritt durch den gesamten Prozess.
Tipps