wp_petya_geknacktOpfer der Ransomware Petya können jetzt aufatmen – Unbekannte mit Twitternamen leostone haben auf Github ein kostenfreies Tool mit Namen “hack-petya” zum Download bereit gestellt, dass zum einen die Ransomware mit Sperrbildschirm entfernt und vor allem die verschlüsselten Daten auf dem System wieder aufbereitet. Dazu soll das Tool nur wenigen Sekunden benötigten um den nötigen Schlüssel zu generieren und somit die Ransomware auszuhebeln. Darüber hinaus lässt sich das Tool auch als Online-Dienst nutzen.

Bildschirmfoto 2016-04-11 um 14.15.14

Petya Warnung – Sperrbildschirm

Um beide Möglichkeiten nutzen zu können, werden verschiedene Daten der verschlüsselten Dateien vom komromittierten System benötigt. Um letztendlich den Entschlüsselungscode zu generieren, müssen zwei bestimmte Werte mit einem Hex-Editor ausgelesen werden. Genaue Anleitung dazu, lesen Sie bitte bei den Experten von bleepingcomputer.com>>
Data Locations:
The code reads a file “src.txt” which is the 512-bytes from sector 55, pulls the interesting words, xor’s them with 0x37 to give us the target output of the salsa hashing function.

Nonce 8-bytes:
    sector 54 [0x36] offset: 33 [0x21]
Encrypted Verification Sector 512-bytes:
    sector 55 [0x37] offset: 0 [0x0]
Wurden die Werte mit dem Hex-Editor bestimmt, können die Werte entweder in die Eingabe des Onlinemaske kopiert bzw. die in eine Text-Dateien gespeichert und im gleichen Ordner, wie die zuvor gespeicherten Anwendung “hack-petya” abgelegt werden. Nach wenigen Sekunden wird ein Passwort generiert, mit dessen Hilfe der Sperrbildschirm entfernt und die Entschlüsselung der Daten auf dem Rechner gestartet wird!
Onlinedienst – hack-petya
Bildschirmfoto 2016-04-11 um 13.56.28

https://petya-pay-no-ransom-mirror1.herokuapp.com/

Ausführlichen Beitrag finden Sie bei den Experten von bleepingcomputer.com>>