Malwarebytes hat ein Tool veröffentlicht, mit dem sich ohne größeren technischen Aufwand Systeme wiederherstellen lassen, die durch die Ransomware Petya verschlüsselt wurden. Bislang war ein von Sicherheitsforschern entdecktes Verfahren zur Datenrettung nur von technisch versierten Nutzern umsetzbar.
Die Entschlüsselung ist jetzt bei Rechnern möglich, die von “echten” Versionen von Petya infiziert wurden. Nicht zu helfen ist damit jedoch Opfern von Petya-Versionen, die wie PetrWrap oder das auch als NotPetya bekannte EternalPetya von der ursprünglichen Ransomware abgeleitet wurden. Diese setzen zwar in vieler Hinsicht auf Petya auf, nutzen aber ein anderes Verschlüsselungsverfahren.
Die originalen Petya-Versionen wurden von einem Entwickler oder einer Gruppe geschaffen, die sich als Janus oder Janus Cybercrime Solutions bezeichnet. Nach dem Angriff mit NotPetya in der Ukraine und dessen folgender weltweiter Verbreitung veröffentlichte Janus den Masterschlüssel und stellte vermutlich auch die Petya-Entwicklung ein. Entschlüsselbar sind daher nun die Ransomware-Versionen Red Petya, Green Petya (beide Varianten) sowie Goldeneye. Das gilt nicht nur für verschlüsselte Dateien, sondern auch für eine verschlüsselte Master File Table (MFT). Abhängig von den erlangten Berechtigungen konnten einige Petya-Varianten sowohl Dateien als auch die MFT angreifen.
Um in beiden Fällen helfen zu können, liegt das Decryptor-Tool in zwei Varianten vor: eine Live-CD sowie eine unter Windows ausführbare Datei. Um den Bootlocker zu überwinden, steht eine ISO-Datei zum Download bereit. Sie ist vom infizierten System zu booten, um dann den Anweisungen zu folgen. Die Live-CD liest automatisch die relativ lange Opfer-ID aus, die für die Entschlüsselung erforderlich ist.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
In allen Fällen kommt das Decryptor-Tool über die Opfer-ID an den individuellen Schlüssel. Diese ist im Text der Lösegeldforderung als “personal decryption code” zu finden und ist außerdem am Ende aller verschlüsselten Dateien angehängt. Zur Entschlüsselung von Dateien muss zunächst die ID kopiert und in einer Datei gesichert werden, um den individuellen Key mithilfe des Key-Decoders zu entschlüsseln.
Für die Wiederherstellung von Dateien ist ein zur jeweiligen Petya-Version passendes Decryptor-Tool erforderlich. Die jeweiligen Download-Links listet Malwarebytes in einem Blogeintrag auf. Die Sicherheitsfirma empfiehlt, das Tool zunächst mittels des mit dem Key-Decoder ermittelten Schlüssels bei einer der verschlüsselten Dateien zu erproben. Wenn das Ergebnis einwandfrei ausfällt, kann derselbe Schlüssel zur Rettung aller anderen Dateien verwendet werden.
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bei der Qualitätssicherung generativer KI reichen herkömmliche Methoden nicht mehr aus. Da hilft nur eine…
Analyse von Webhosting-Dienstleister Hostinger: Microsoft, Meta und OpenAI verzeichnen die meisten gemeldeten Cyberattacken.
Mit SAP S/4HANA und Cloud-Technologien legt der Intralogistik-Spezialist Basis für eine zukunftsweisende IT-Architektur.
Automatisiertes Management von iPads sorgt für reibungslosen Betrieb sowie Sicherheit und verlässlichen Datenschutz.
Der aufstrebende Trojaner wird in professionellen Kampagnen eingesetzt, die Plattformen wie TryCloudflare und Dropbox zur…
Investitionsbemühungen der Unternehmen werden nur erfolgreich sein, wenn sie die Datenkomplexität, -sicherheit und -nachhaltigkeit bewältigen…
