Ransomware Entschlüsselung

Petya-Schöpfer veröffentlicht seinen privaten Schlüssel

, München, Quelle: Malwarebytes | Autor: Herbert Wieler

Petya-Schöpfer veröffentlicht seinen privaten Schlüssel

Aber nicht für NotPetya

Der Autor der ursprünglichen Ransomware Petya, der unter dem Pseudonym Janus auftritt, hat seinen privaten Schlüssel für die Entschlüsselung der Malware veröffentlicht.

Leider funktioniert dieser General-Schlüssel nur bei den alten Varianten von Petya und nicht bei der aktuellen NotPetya oder EternalPetya Version.

Obwohl die erste (RedPetya) und zweite Version (GreenPetya) von Petya, bereits im vergangen Jahr geknackt wurden, bietet der nun von Janus veröffentlichte private Schlüssel, den schnellsten und zuverlässigsten Weg auch die dritte Variante (GoldenEye) zu Entschlüssen.

Anton Ivanov

Mittlerweile hat der Malware Analyst und Forscher bei Kaspersky, Anton Ivanov, die Echtheit des Schlüssels über Twitter bestätigt. Mit diesem Schlüssel können nun zumindest alle drei Varianten von Petya entschlüsselt werden.

Janus schuf die GoldenEye-Ransomware im Jahr 2016 und verkaufte die Versionen als Ransomware-as-a-Service (RaaS) an andere Hacker, die daraus weitere Varianten bauten.

Darunter könnte sich auch die NotPetya Version befinden, die allerdings mehr einem Zerstörungstrojaner (Wiper) als einem Erpressungstrojaner zuzuordnen ist.

Der Grund liegt in der Tatsache, dass neben der Dateiverschlüsselung und der MBR-Manipulation noch eine zufällig gewählte Salsa20-Festplattenverschlüsselung hinzugefügt wurde. Da es aber keine Beziehung zwischen dem "Installationsschlüssel“ der Dateien und dem Salsa20-Schlüssel gibt, kann die Festplatte niemals wieder entschlüsselt werden .

Man geht mittlerweile davon aus, dass der NotPetya Angriff nur als Ransomware-Ausbruch getarnt wurde, um von der Intention eines staatlich geförderten Angriffs abzulenken.