Kategorien
Allgemein Windows

Petya knacken oder entschlüsseln

Wer von euch hatte schon mal mit Petya zu tun?

Ich habe vor zwei Wochen einen Rechner von Kollegen bekommen, welcher mit Petya infiziert wurde. Einige Dateien konnte man relativ einfach wiederherstellen.

Zum Glück hatte ich ein Image der Festplatte gezogen (ein hoch auf meine WD 😀 ) welches ich heute auf ein neues Tool losgelassen habe.

Mit dieser Anleitung könnt ihr Petya innerhalb von ein paar Minuten vom Rechner verschwinden lassen ohne auch nur eine Datei zu verlieren 🙂

Am besten startet ihr den Rechner mit einer PE Version von Windows oder klemmt die Platte in einen anderen Rechner.

Ihr benötigt zuerst ein paar Daten von der infizierten Festplatte:

  • 8 Byte aus Sektor 54 (0x36) Offset 33 (0x21) – verification Data
  • 512 Byte aus Sektor 55 (0x37) Offset 0 (0x0) – nonce

Das könnt ihr entweder über einen Hexeditor selbst machen oder mit dem Petya Sector Extractor von Fabian Wosar. Das Tool soll wohl bei einigen Antivirus Programmen einen Virus melden, bei mir jedoch nicht.

Wenn ihr den Petya Sector Extractor genutzt habt, könnt ihr die gewonnen Zeichenketten direkt in das Onlinetool packen. Wenn ihr die Daten selbst per Hexeditor ausgelesen habt, müsst ihr diese zuerst in Base64 konvertieren. Hierfür gibt es einige Onlinetools 😉

Die Zeichenketten könnt ihr nun in den Encryptor jagen: Online / Offline

Hier wird euch nun der Entschlüsselungs Key generiert.

Platte zurück in den Rechner und hochfahren lassen. Den gewonnen Key könnt ihr nun ganz normal beim Petya Prompt eingeben welcher euch die Platte korrekt wiederherstellt 🙂

Ich hoffe ich konnte euch mit dieser kleinen Anleitung weiterhelfen.

Bei mir hat es einwandfrei geklappt 🙂

Kategorien
OSX

Windows Tastatur am Mac

Nachdem es mich wirklich nervt das man die Sonderzeichen auf der Mac-Tastatur nicht sehen kann und ich die zum programmieren ständig benötige, will ich euch heute zeigen wie man eine Windows-Tastatur am Mac betreiben kann.

Kategorien
Windows

SVN Ordner rekursiv löschen (Windows)

In einem älterem Beitrag habe ich gezeigt, wie man unter Linux SVN-Ordner rekursiv löschen kann.

Unter Windows geht das ganze sogar noch ein wenig praktischer.

Kategorien
Office Windows

Keine PDF Vorschau in Office 2007 / 2010

Falls es euch auch gerade so geht das Ihr keine PDF Dateien in Office 2007 / 2010 in der Vorschau betrachten könnt, hier ein kleiner Bug-Fix:

1. Sichern Sie Ihre Registrierung
2. Öffnen Sie “Regedit”
3. Finden Sie den Schlüssel HKEY_LOCAL_MACHINE SOFTWARE Wow6432Node Classes CLSID (DC6EFB56-9CFA-464d-8880-44885D7DC193)
4. Hier finden Sie den AppID Wert
5. Ändern Sie den Wert aus (AppID 6d2b5079-2f0b-48dd-ab7f-97cec514d30b), auf die richtige Einstellung (534A1E02-D58F-44F0-B58B-36CBED287C7C)

Nun könnt Ihr in Office endlich eure PDF Dateien direkt anschauen.

Ich hoffe euch geholfen zu haben.