"For England, James": Malwarebytes rettet Petya-Opfer mit Entschlüsselungstool
Opfer der Verschlüsselungstrojaner Mischa, Red Petya, Green Petya und Goldeneye können mit Hilfe der Software ihre Daten retten und in vielen Fällen sogar den MBR wiederherstellen; vorausgesetzt, dass sie die verschlüsselten Platten noch haben.
Der Macher von Petya nennt sich Janus, nach dem Decknamen von Sean Beans verräterischem Charakter Alec Trevelyan (links) aus dem 1995er Bond-Film GoldenEye.
(Bild: MGM / United Artists)
- Fabian A. Scherschel
Nachdem die Ransomware-Macher von Janus Cybercrime ihren Master-Schlüssel für die Trojaner Mischa, Petya und Goldeneye veröffentlicht hatten, war es nur eine Frage der Zeit, bis Sicherheitsforscher damit ein Entschlüsselungs-Tool für die Erpressungstrojaner bauen. Es sieht so aus, als sei Malwarebytes dabei am schnellsten gewesen. Die Firma hat ein Entschlüsselungs-Tool herausgebracht, das Daten wiederherstellen kann, die von Petya verschlüsselt wurden – dazu zählt auch der Master Boot Record (MBR) von betroffenen Festplatten. Gegen den Trojaner NotPetya ist die Software allerdings nutzlos, da dieser lediglich auf Petya aufbaut und wohl von einer anderen Gruppe entwickelt wurde.
(Bild: Fabian A. Scherschel, heise online)
Die Entwickler der Goldeneye-Trojanerfamilie (Mischa, Petya, Goldeneye) nennen sich Janus nach dem Decknamen von Sean Beans Charakter im Bond-Film GoldenEye – sie sind offensichtlich James-Bond-Fans. Nachdem mit NotPetya ein Abklatsch ihrer Ransomware auftauchte, die wohl zum Ziel hatte, maximales Chaos zu stiften, schworen sie Rache und veröffentlichten ihren Master-Schlüssel. Damit beendeten sie quasi die Schreckensherrschaft ihrer Trojaner, die sie vorher per Referral-System an andere Kriminelle verkauft hatten. Aus Aussagen in dem Twitter-Konto, über das auch der Master-Schlüssel veröffentlicht wurde, lässt sich allerdings schließen, dass Janus vorhat, in Zukunft weitere Erpressungs-Trojaner auf die Welt loszulassen.
Rettung für Opfer von Mischa, Red Petya, Green Petya und Goldeneye
Das kostenlose Tool von Malwarebytes kann Mischa, die roten und grünen Versionen von Petya (Red Petya, Green Petya) und Goldeneye entschlüsseln. Zum Teil kann sogar der Bootsektor der betroffenen Platte wiederhergestellt werden. Da es manchmal bei der Entschlüsselung zu Problemen und Datenverlust kommen kann, empfiehlt die Firma, vorher ein Backup der zu entschlüsselnden Platte zu machen. Eine genaue Beschreibung der verschiedenen Trojaner-Varianten und ihrer Symptome, eine Anleitung zum Entschlüsseln und ein Download-Link zum entsprechenden Tool gibt es im Blog der Sicherheitsfirma.
Die Entwickler von Erpressungstrojanern machen – genau wie andere Software-Entwickler auch – immer wieder Fehler. Und manchmal werden, wie im vorliegenden Fall, die Verschlüsselungs-Keys veröffentlicht oder geleakt. Aus diesen Gründen sollte man von Trojanern verschlüsselte Platten aufheben. Mit etwas Glück ermöglichen Sicherheitsforscher später die Rettung der Daten. Offline-Backups, die gar nicht erst verschlüsselt wurden, sind natürlich ein noch besserer Schutz vor Ransomware. (fab)
