Erpresser-Schadsoftware Petya : Die Petya-Schadsoftware kann durch ein Online-Tool überlistet werden, das den Entschlüsselungscode berechnet. (Bildquelle: Bleeping Computer) Die Petya-Schadsoftware kann durch ein Online-Tool überlistet werden, das den Entschlüsselungscode berechnet. (Bildquelle: Bleeping Computer)

Seit März 2016 verbreitet sich auch in Deutschland eine Erpresser-Schadsoftware mit der Bezeichnung Petya, die nicht nur Daten auf einem infizierten Rechner verschlüsselt, sondern auch noch den Zugang mit einem Sperrbildschirm verhindert. Der angezeigte Text ist eine Anleitung zur Zahlung des Lösegelds, nach dessen Erhalt ein Entschlüsselungscode an die Opfer verschickt werden soll. Doch nun gibt es ein neues Online-Tool, das in der Lage ist, die von Petya verschlüsselten Daten wiederherzustellen, ohne das Lösegeld zahlen zu müssen.

Ganz einfach ist die Wiederherstellung allerdings nicht, da Petya den Bootblock einer Festplatte überschreibt und der befallene Rechner damit nicht nutzbar ist. Daher muss das betroffene Laufwerk an einen anderen Rechner angeschlossen werden. Die Sicherheitsexperten bei Bleepingcomputer verweisen auf ein kleines Tool namens Petya Sector Extractor, das die notwendigen Daten von der befallenen Festplatte ausliest.

Die Daten müssen dann auf der Webseite Petya-Pay-No-Ransom eines Nutzers namens Leostone in das Online-Tool eingegeben werden. Manche Virenscanner sehen den Petya Sector Extractor als gefährlich an, doch laut Heise handelt es sich dabei wohl nur um einen Fehlalarm. Auf der Webseite wird nach der Eingabe der Daten innerhalb von rund einer Minute das notwendige Passwort für die Entschlüsselung der Daten erzeugt.

Das Passwort muss dann ausgedruckt oder aufgeschrieben werden. Nachdem die betroffene Festplatte wieder in den ursprünglichen Rechner eingebaut und dieser gestartet wurde, kann das Passwort auf dem Petya-Sperrbildschirm eingegeben werden. Danach startet die Entschlüsselung der Daten, nach deren Abschluss der PC neu gebootet werden soll. Anschließend sollte der Rechner wieder so funktionieren wie vor der Infektion mit der Erpresser-Schadsoftware.

Quelle: Bleepingcomputer, Petya-Pay-No-Ransom, Heise