Beiträge

Entschlüsselungstool für Petya, Goldeneye und Mischa

Vor eini­gen Wochen haben die Entwickler der Kryptotrojaner Petya, Goldeneye und Mischa die Master-Keys für die­se Trojaner ver­öf­fent­licht. Nun hat Malwarebytes ein Entschlüsselungstool her­aus­ge­bracht. Eine Anleitung zur kor­rek­ten Anwendung fin­det sich eben­falls im Malwarebytes-Blog.

Wer sich einen ande­ren aktu­el­len Verschlüsseliungstrojaner gefan­gen hat, dem bleibt nicht viel Spielraum. Sind drin­gend benö­tig­te Daten betrof­fen, bleibt im Zweifel nur die Zahlung des Lösegelds. Ansonsten emp­fiehlt es sich, die betrof­fe­nen Platten aus­zu­bau­en und auf die Seite zu legen. In der Vergangenheit wur­den immer wie­der Master-Schlüssel her­aus­ge­ge­ben oder die genutz­te Verschlüsselung war feh­ler­haft. Dementsprechend gab und gibt es immer wie­der neue Entschlüsselungstools für wei­te­re Varianten der Kryptotrojaner.

Masterschlüssel für TeslaCrypt veröffentlicht

Laut einer Meldung von heise.de haben die Entwickler von Teslacrypt die Weiterentwicklung ein­ge­stellt und den Masterschlüssel für den Kryptotrojaner ver­öf­fent­licht. Betroffene, deren Syteme und Daten noch ver­schlüs­selt sind, kön­nen auf­at­men. Nach ersten Berichten funk­tio­niert der Master-Key und in Verbindung mit dem Tool Tesladecoder sind alle Varianten von Teslacrypt 1 bis 4 wie­der zu ent­schlüs­seln.

Petya Logo (Trendmicro.com)

Petya-Trojaner ist geknackt, Passwort-Generator verfügbar

Betroffene des Krypto-Trojaners Petya kön­nen auf­at­men. Der Algorithmus wur­de geknackt und es steht ein Passwort-Generator bereit. Laut ver­schie­de­nen Online-Meldungen u.a. heise.de funk­tio­niert die Entschlüsselung auch.

Etwas tricky

Um die Entschlüsselung durch­zu­füh­ren, muss die betrof­fe­ne Festplatte in einen nicht infi­zier­ten PC als zusätz­li­che Platte ein­ge­baut wer­den. Mittels des “Petya Sector Extractor” des Sicherheitsforschers Fabian Wosar wer­den die nun benö­tig­ten Angaben aus dem Verschlüsselungscode extra­hiert. Diesen Code trägt man nun auf der Webseite von einem unter dem Namen leos­tone auf­tre­ten­den Unbekannten ein und erhält den eigent­li­chen Entschlüsselungscode. Nun muss die Platte wie­der ins ursprüng­li­che System und dort gestar­tet wer­den. Trägt man den Code dort ein, soll nach aktu­el­len Angaben die Entschlüsselung funk­tio­nie­ren.

Auf Petya beschränkt

Tool und Webseite funk­tio­nie­ren ledig­lich für die aktu­el­le Variante von Petya. Betroffene von Locky, Teslacrypt oder ande­rer Krypto-Trojaner soll­ten dies bit­te nicht aus­pro­bie­ren.