Kategorien
Allgemein Windows

Petya knacken oder entschlüsseln

Wer von euch hatte schon mal mit Petya zu tun?

Ich habe vor zwei Wochen einen Rechner von Kollegen bekommen, welcher mit Petya infiziert wurde. Einige Dateien konnte man relativ einfach wiederherstellen.

Zum Glück hatte ich ein Image der Festplatte gezogen (ein hoch auf meine WD 😀 ) welches ich heute auf ein neues Tool losgelassen habe.

Mit dieser Anleitung könnt ihr Petya innerhalb von ein paar Minuten vom Rechner verschwinden lassen ohne auch nur eine Datei zu verlieren 🙂

Am besten startet ihr den Rechner mit einer PE Version von Windows oder klemmt die Platte in einen anderen Rechner.

Ihr benötigt zuerst ein paar Daten von der infizierten Festplatte:

  • 8 Byte aus Sektor 54 (0x36) Offset 33 (0x21) – verification Data
  • 512 Byte aus Sektor 55 (0x37) Offset 0 (0x0) – nonce

Das könnt ihr entweder über einen Hexeditor selbst machen oder mit dem Petya Sector Extractor von Fabian Wosar. Das Tool soll wohl bei einigen Antivirus Programmen einen Virus melden, bei mir jedoch nicht.

Wenn ihr den Petya Sector Extractor genutzt habt, könnt ihr die gewonnen Zeichenketten direkt in das Onlinetool packen. Wenn ihr die Daten selbst per Hexeditor ausgelesen habt, müsst ihr diese zuerst in Base64 konvertieren. Hierfür gibt es einige Onlinetools 😉

Die Zeichenketten könnt ihr nun in den Encryptor jagen: Online / Offline

Hier wird euch nun der Entschlüsselungs Key generiert.

Platte zurück in den Rechner und hochfahren lassen. Den gewonnen Key könnt ihr nun ganz normal beim Petya Prompt eingeben welcher euch die Platte korrekt wiederherstellt 🙂

Ich hoffe ich konnte euch mit dieser kleinen Anleitung weiterhelfen.

Bei mir hat es einwandfrei geklappt 🙂