Neu von MSI

Erpressungstrojaner: Der Generalschlüssel für Petya

reported by doelf, Sonntag der 09.07.2017, 22:40:54 Uhr

Der Autor des Erpressungstrojaners Petya hat seinen Generalschlüssel veröffentlicht. Mit diesem lassen sich Daten, die mit Petya 1 (roter Totenkopf), Petya 2 und 3 (zweite Verschlüsselungssoftware namens Mischa, grüner Totenkopf) sowie Petya 4 bzw. Goldeneye (gelber Totenkopf) verschlüsselt wurden, wiederherstellen. Anders sieht es bei NotPetya aus.

Für NotPetya wurde der Code des ursprünglichen Erpressungstrojaners Petya gestohlen und umgebaut. Das Ergebnis zerstört Daten, statt diese zu verschlüsseln. Ob dies die Absicht der Autoren war oder nur deren Unvermögen geschuldet ist, ist derzeit noch unklar. Für Daten, die von NotPetya heimgesucht wurden, gibt es derzeit noch keine Rettung und vermutlich wird es auch nie eine geben.

Zurück zu Petya, Mischa und Goldeneye: Janus, so das Pseudonym des verantwortlichen Entwicklers, hat ein verschlüsseltes Archiv beim Filehoster Mega.nz hinterlegt und dazu ein Rätsel gestellt: "They're right in front of you and can open very large doors". Es handelt sich um ein Zitat aus dem Film "Goldeneye" und in der entsprechenden Szene wird das Passwort "Knockers" eingegeben. Mit "Knockers", einem umgangssprachlichen Ausdruck für weibliche Brüste, lässt sich das Archiv entpacken und enthüllt den Generalschlüssel: 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723. Laut Janus wurde dieses Passwort unter Verwendung von ECIES (Elliptic Curve Integrated Encryption Scheme) mit AES-256-ECB in den "Personal Code", der BASE58 codiert ist, eingebettet.

Für Petya 1 und 2 gibt es bereits Entschlüsselungsprogramme, die Schwächen in der Verschlüsselung des Trojaners ausnutzen und die auch ohne den Generalschlüssel funktionieren. Für Petya 3 und Goldeneye gab es bisher keine solchen Programme, hier bietet sich einzig der Generalschlüssel als Rettung an. Doch es gibt einen Wermutstropfen: Bisher ist noch keine passende Entschlüsselungssoftware erhältlich, doch auch das dürfte sich schon bald ändern.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]