Ein kostenloses Tool soll das zum Entschlüsseln nötige Passwort innerhalb weniger Sekunden generieren können, verspricht der Macher des Werkzeugs. Erste Erfolgsberichte von Petya-Opfern liegen bereits vor.

Die Verschlüsselung des Schädlings Petya ist geknackt. Das behauptet ein Unbekannter mit dem Pesudonym leostone auf Twitter. Mit seinem auf Github veröffentlichten kostenlosen Tool hack-petya soll sich das zum Entschlüsseln nötige Passwort in sekundenschnelle generieren lassen. Alternativ können Opfer den Prozess auch auf einer von leostone aufgesetzten Webseite anstoßen.

Ein Leser von heise Security hat das erfolgreich ausprobiert und eigenen Angaben zufolge wieder Zugriff auf seine Daten. Zudem bestätigen die Ransomware-Experten von Bleepingcomputer die geknackte Verschlüsselung.

Dateien entschlüsseln

Damit Petya-Opfer ihre Daten wieder lesen können, müssen sie die Festplatte mit den verschlüsselten Dateien an ein sauberes System hängen, da der Erpressungs-Trojaner den kompletten Rechner abriegelt. Um das Passwort zu generieren, setzt leostone eigenen Angaben zufolge auf einen genetischen Algorithmus. Als Ausgangspunkt benötige dieser verschiedene Daten von verschlüsselten Dateien. Diese können Nutzer mit einem Hex-Editor auslesen.

Einfacher geht das mit dem vom Sicherheitsforscher Fabian Wosar entwickelten Tool Petya Sector Extractor (Download), das die benötigten Werte auf Knopfdruck ausliest. Beim Download des Tools kann der Viren-Wächter anspringen. Dabei handelt es sich wahrscheinlich um Fehlalarme, wir konnten jedenfalls auf unserem Test-System keine verdächtigen Aktivitäten feststellen.

Die generierten Werte müssen Petya-Opfer in die Eingabemasken der von leostone aufgesetzten Webseite einfügen. Wer das Tool hack-petya nutzt, muss die Werte in Text-Dateien speichern und diese im Ordner des Tools ablegen.

Anschließend beginnt der Algorithmus sein Werk und leostone erhielt das Passwort eigenen Angaben zufolge innerhalb von 10 bis 30 Sekunden. Mit diesem könne man den Petya-Sperrbildschirm umgehen. Danach soll die Entschlüsselung automatisch starten.

Quelle: http://heise.de/-3167064