Erpressersoftware Petya ist offenbar entschlüsselt

CyberkriminalitätSicherheit
Malware Petya (Bild: G Data)

Ein auf GitHub verfügbares Werkzeug generiert das zum Dechiffrieren erforderliche Passwort. Allerdings müssen hierzu einige Datenfragmente per Hex-Editor manuell ausgelesen werden. Damit erhalten Opfer auch ohne Lösegeldzahlung wieder ihre Informationen zurück.

Offenbar ist die Verschlüsselung der Erpressersoftware Petya geknackt worden, sodass damit chiffrierte Informationen auch ohne Lösegeldzahlung wiederhergestellt werden können. Nach eigenen Angaben hat ein Twitter-Anwender namens leostone einen validen Schlüssel entdeckt und auf dessen Grundlage einen Algorithmus sowie ein Werkzeug programmiert, mit dem sich das erforderliche Passwort “innerhalb von Sekunden” erstellen lässt. Es ist kostenlos auf GitHub erhältlich.

Malware Petya (Bild: G Data)
Lockscreen der Ransomware Petya (Screenshot: G Data)

Sicherheitsforscher von Bleepingcomputer haben die Wirksamkeit des Passwort-Generators “Hack-Petya” schon bestätigt. Bei ihrem Test habe das Generieren des erforderlichen Kennworts nur sieben Sekunden in Anspruch genommen.

Um das Passwort zu generieren, setzt die von leostone auch auf einer eigenen Website verfügbare Lösung einen genetischen Algorithmus ein. Dieser erfordert als Ausgangspunkt einige Angaben aus von Petya chiffrierten Dateien, die sich mittels eines Hex-Editors auslesen lassen.

Zu diesem Zweck muss dazu zuerst eine mit Petya verschlüsselte Festplatte an einen anderen Rechner angeschlossen werden. Anschließend sind 512 Byte an Daten zur Verifizierung auszulesen, die auf Sektor 55 (0x37) mit Offest 0 (0x0) beginnen, sowie 8 Byte Nonce aus Sektor 54 (0x36) Offset 33 (0x21). Nachdem die Daten in Base64 umgewandelt wurden, lassen sie sich auf der Website von leostone eingeben, um daraus den Schlüssel zu generieren. Bei Nutzung von Hack-Petya müssen die ermittelten Werte zunächst in einer Textdatei gespeichert und diese dann im Installationsordner des Tools abgelegt werden. Das so erstellte Passwort kann abschließend auf dem Petya-Startbildschirm eingetragen werden, um die Entschlüsselung zu initiieren.

Mit dem vom Sicherheitsforscher Fabian Wosar programmierten Tool Petya Sector Extractor (Download als ZIP-Datei) kann das Auslesen der erforderlichen Datenfragmente auch automatisiert vonstatten gehen. Antivirenprogramme schlagen beim Herunterladen zwar eventuell an, doch dabei handelt es sich höchstwahrscheinlich um Fehlalarme.

Petya sperrt den Anwender von allen seinen Dateien aus, indem es den Master Boot Record der Festplatte durch einen eigenen Boot-Loader ersetzt und die Master File Table (MFT) von NTFS-Partitionen verschlüsselt. Trend Micro hat die Erpressersoftware eingehend analysiert.

Demzufolge wird Petya über E-Mail ausgeliefert. Es tarnt sich als deutschsprachiges Bewerbungsschreiben, Hauptzielgruppe sind also Personalabteilungen von Firmen im deutschsprachigen Raum. Ein Link zu Dropbox, der angeblich auf die Bewerbungsmappe verweist, führt zu einem Archiv, das zwei Dateien beinhaltet: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen “Bewerbungsmappe-gepackt.exe”. Das E-Mail-Anschreiben wird an den jeweiligen Adressaten angepasst. Die Ransomware fordert 0,99 Bitcoin Lösegeld (rund 400 Euro), um die verschlüsselten Informationen wieder zugänglich zu machen. Nach einer Woche verdoppelt sich die Summe.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen