Petya geknackt – Datenrettung leicht gemacht

Allzu lang hat es nicht gedauert, dass ein findiger Programmierer sich den Krypto-Virus Petya mal zur Brust genommen hat. Raus kam, dass der Virus auf eine sehr unsichere Verschlüsselung setzt, die es uns jetzt ermöglicht, auch ohne zu bezahlen den Rechner wieder zu entschlüsseln.

Das Video wird von Youtube eingebettet abespielt.

Es gilt die Datenschutzerklärung von Google

Festplatte umbauen

Der einfachste Weg ist es, wenn ihr eure Festplatte aus dem verschlüsselten Gerät ausbaut und in einen anderen PC einbaut. In diesem Fall könnt ihr euch den Petya Sector Extractor herunterladen. Vor dem Herunterladen des Tools sei angemerkt, dass Virenprogramme wie der Windows-eigene Defender Alarm schlagen. Diese Programme sollten deshalb kurzzeitig deaktiviert werden. Sobald ihr das Programm startet, wählt ihr eure verschlüsselte Festplatte aus. Klickt auf „Copy Sector“ und fügt die Daten auf die Entschlüsselungsseite ein. Gleiches macht ihr mit „Copy Nonce“. Im Anschluss lasst ihr euren Schlüssel berechnen. Wenn ihr euch den Schlüssel notiert habt, könnt ihr die Festplatte wieder zurückbauen. Sobald sich Petya wieder meldet, gibt ihr den zuvor berechneten Schlüssel ein und schaut gemütlich zu, wie euer Rechner entschlüsselt wird.

 

Daten retten, ohne Festplattenausbau (mit Linux)

Könnt ihr aus irgendeinem Grund die Festplatte nicht ausbauen, könnt ihr den zweiten Weg nehmen. Zu diesem Zweck müsst ihr zunächst eine Linux-Live-CD runterladen, auf CD brennen und euren infizierten Rechner damit starten. Geht dazu beispielsweise auf die Download-Seite von Ubuntu und ladet euch das entsprechende Image.

Habt ihr die CD gestartet, stellt am besten das Tastatur-Layout auf deutsch, damit es bei der Befehlseingabe nicht zu Problemen kommt. Jetzt ruft ihr das Terminal auf und findet heraus, welches eure Festplatte ist. Beispielsweise mit dem Befehl:

sudo lsblk

Normalerweise heißt eure Festplatte sda. Überprüfen könnt ihr das anhand der Festplattengröße. Um sicherzugehen, helfen euch weitere Befehle wie:

sudo fdisk -l

Handelt es sich wie bei mir um das Laufwerk sda, gebt ihr folgende beiden Befehle ein:

sudo dd if=/dev/sda skip=55 count=1 > verification
sudo dd if=/dev/sda skip=54 count=1 | dd bs=1 skip=33 count=8 > nonce

Damit haben wir die benötigten Daten gespeichert. Jetzt müssen wir den base64-Code der beiden Dateien berechnen. Das geht mit folgenden Befehlen:

base64 verification
base64 nonce

Die Daten, die euch die Befehle ausgeben, fügt ihr auf die Online-Schlüsselberechnungsseite ein und wartet, bis euer Key errechnet wurde. Danach könnt ihr den Rechner neustarten und Petya euren Schlüssel mitteilen.

Nachdem ihr den Schlüssel eingegeben habt, heißt es zurücklehnen und warten, bis Petya seinen Dienst verrichtet hat.

petya_decrypting

Über Obli 221 Artikel
Leidenschaftlicher Technikfreak mit einem Hang zu allem, was irgendwie multimedial ist.

2 Kommentare

  1. Hallo Obli, der PC eines Kollegen hat den Petya-Virus abbekommen. Nach deiner Anleitung hat alles soweit funktioniert, einschließlich Dekodierung. Nur: Nach dem Reboot kommt wieder der Totenkopf wie gehabt. Muss hier der MBR gefixt werden? Oder hab ich etwas übersehen?
    Danke und Gruß, Josef

    • Wie geht es denn nach dem Totenkopf weiter? Ist da wieder die Eingabeaufforderung für den Schlüssel? In dem Fall würde ich den Prozess wiederholen.

      Bei erfolgreicher Dekodierung sollte der Virus sich normalerweise vollständig selbst löschen und ein normales Starten zulassen. Wenn nur noch der Totenkopfbildschirm kommen und der Rechner danach normal starten, kann man bedenkenlos den MBR samt Bootloader neu schreiben. Gefährlich ist das nur, wenn der Rechner eben nicht vollständig dekodiert wurde. Da würde ich vielleicht vorsichtig experimentieren und zuvor eine Sicherung machen. Auch ein Virus ist ja nicht zwangsweise fehlerfrei.

Kommentare sind geschlossen.