Ich bin ein Opfer der Petya-Ransomware. Gibt es eine Lösung, um meine Festplatte zu entschlüsseln?

205

Mein Computer wurde von der Petya Ransomware verschlüsselt. Nach langer Suche konnte ich keine andere Lösung als die Verwendung einer Dateiwiederherstellungssoftware finden.

Dies hilft ein bisschen, aber ich frage mich, ob es eine Möglichkeit gibt, meine Festplatte vollständig wiederherzustellen. Ich werde nicht bezahlen.

leostone
quelle
43
Um diese Frage zu verbessern, möchten Sie möglicherweise einige verräterische Anzeichen dafür hinzufügen, dass eine Ransomware-Infektion von dieser bestimmten Malware stammt. Die meisten Benutzer haben keine Möglichkeit, den Namen der bestimmten Malware, von der sie betroffen sind, zu ermitteln. Dies bedeutet, dass sie diese Frage nicht finden.
Philipp
3
Ich glaube nicht, dass es eine echte Infektion gibt, sie sammeln nur Wiederholungen, was hier auf SU in Ordnung ist, wenn es sich um eine gute Frage handelt, die vorher noch nicht gestellt wurde.
Moab
30
Sieht so aus, als wäre es keine Wiederholung, sondern Werbung für den Exploit, der vom OP selbst stammt. Ich würde es nicht gönnen, es sieht nicht trivial und möglicherweise nützlich aus :-)
alexis
14
Ich weiß, dass es nicht besonders wichtig ist, aber würde es Ihnen etwas ausmachen, mitzuteilen, wie es passiert ist? Vielleicht hilft es anderen Benutzern, dieses Problem zu vermeiden.
Nobilis
4
Kann ich ein Bild von der Nachricht haben
Suici Doga

Antworten:

313

Zum Glück gibt es ja eine Lösung - ich habe eine Anwendung geschrieben, die dabei helfen würde.

Die Petya-Verschlüsselung wurde rückgängig gemacht, analysiert und es gibt eine Lösung, um den Entschlüsselungsschlüssel nur aus den Daten auf der verschlüsselten Festplatte zu erhalten.

Der Programmcode für die Schlüsselwiederherstellung wird auf github gehostet: https://github.com/leo-stone/hack-petya .

Wenn Sie das Programm nicht selbst kompilieren können oder möchten,
steht ein Onlinedienst zur Verfügung:
https://petya-pay-no-ransom.herokuapp.com/
https: // petya-pay-no-ransom -mirror1.herokuapp.com/ (wenn der erste Link für Sie fehlerhaft ist)

Sie benötigen jedoch noch ein wenig Computererfahrung, um die erforderlichen Daten von Ihrer Festplatte zu entfernen.

Update: Service wurde eingestellt, er wurde nicht mehr genutzt.

leostone
quelle
78
Aus diesem Grund sollten Sie niemals Ihre eigene Verschlüsselung schreiben. Wenn sie AES verwendet hätten, gäbe es keine Möglichkeit, den Schlüssel so zu brachialisieren.
BlueRaja - Danny Pflughoeft
9
@vsz Die Autoren dieser Malware verschlüsseln die Festplatte auf Hardwareebene und haben einen eigenen Bootloader (!?!) geschrieben. Ich bin sicher, sie haben von AES gehört. Es ist so, wie Oakad sagt, dass sie dies wahrscheinlich absichtlich für maximale Geschwindigkeit getan haben.
BlueRaja - Danny Pflughoeft
34
Oh, die Offenlegungsregel. Ich empfehle Ihnen dringend , dies zu tun, nur weil ich eine Menge Spam-Flags für ein nützliches Tool erhalte;)
Journeyman Geek
14
Können Sie eine grundlegende Erklärung für die Funktionsweise Ihres Codes hinzufügen? Die Antwort ist vollständig; Ich bin nur neugierig und mein Schul-WLAN lässt mich keine GitHub-Repos laden, die mir nicht gehören.
Nic Hartley
5
@QPayTaxes Der Autor geht das absichtlich um - Sie können die Entschlüsselungsroutine in
nahezu