Wie stellt man durch Petya verschlüsselte Dateien wieder her?

Frage

Problem: Wie stellt man durch Petya verschlüsselte Dateien wieder her?

Bitte helfen Sie mir! Alle meine Dateien wurden von der Petya-Ransomware verschlüsselt. Soweit habe ich noch nichts von Entschlüsselungsprogrammen gehört. Heißt das, dass Dateien überhaupt nicht mehr entschlüsselt werden können? Die Dateien sind mein Ein und Alles…

Akzeptierte Antwort

Petya ist ein datenverschlüsselnder Virus der Kategorie Erpressungsprogramme. Die Schadsoftware tauchte erstmals im Jahr 2016 auf. Die größte Aufmerksamkeit der Medien zog sie allerdings erst nach dem Angriff in 2017 auf sich, wo sie hauptsächlich die Ukraine anvisierte.

Experten zufolge machten die Cyberkriminellen von der gleichen Windows SMBv1-Sicherheitslücke Gebrauch, die von der berüchtigten WannaCry-Erpressersoftware verwendet wurde. Microsoft hat die Sicherheitslücke mittlerweile gepatcht, aber vielen Computernutzern ist es nicht gelungen das Update rechtzeitig zu installieren. Die Erpressersoftware Petya verschlüsselt alle Dateien auf dem System und verlangt etwa 300 Euro von ihren Opfern. Im Gegenzug verspricht sie den Entschlüsselungsschlüssel auszuhändigen.

Die Erpressersoftware kompromittierte die Computernetzwerke von großen Firmen, wie “Rosneft” (russischer Ölgigant), “Kyivenergo”, “Ukrenergo”, die nationale Bank der Ukraine, Oschadbank und viele weitere.

Der Petya-Virus, der in der Cyberattacke von 2017 verwendet wurde, unterscheidet sich allerdings leicht von seinen Vorgängern und der Ursprungsversion. Nach dem Petya-Ausbruch im Juni haben die Autoren der originalen Petya-Varianten, bekannt als Janus, den Masterschlüssel herausgegeben, womit Dateien entschlüsselt werden konnten, die von Red Petya, Green Petya und Mischa verschlüsselt worden sind. Mithilfe des veröffentlichten Schlüssels hat der unter dem Nicknamen Hasherezade bekannte Sicherheitsforscher ein kostenloses Entschlüsselungsprogramm entwickelt.

Forschern zufolge gibt es bei bestimmten Petya-Versionen einen Unterschied. Der Virus verschlüsselt entweder die MFT-Datei (Master File Table) oder macht wie andere traditionelle erpresserischen Viren die Dateien auf dem Computer nutzlos. Glücklicherweise funktioniert der Petya Decryptor unabhängig von der Methode des Virus.

Bevor Sie nun aber mit der Entschlüsselung der Dateien beginnen, möchten wir Ihnen raten ein Back-up von den verschlüsselten Dateien zu machen und sie sicher zu verstauen. Der Grund hierfür ist, dass die Wiederherstellungsprozedur hängen bleiben kann und hierdurch permanenter Schaden an den verschlüsselten Dateien entsteht.

Durch Petya verschlüsselte Dateien kostenfrei wiederherstellen

1. Suchen Sie nach dem Erpresserbrief, der auf dem Computer hinterlassen wurde. Dieser sollte als YOUR_FILES_ARE_ENCRYPTED.TXT abgespeichert sein. Kopieren Sie den persönlichen Code (eine lange Kombination aus Zahlen und Buchstaben).
2. Erstellen Sie nun Ihre eigene Textdatei auf dem Desktop. Führen Sie einfach irgendwo auf einem freien Platz auf dem Bildschirm einen Rechtsklick aus und wählen Sie Neu > Textdokument.
3. Geben Sie der Datei den Namen id (der vollständige Dateiname sollte folglich id.txt heißen). Öffnen Sie die Datei und fügen Sie den persönlichen Code ein. Klicken Sie auf Datei > Speichern.
4. Laden Sie nun den Schlüssel-Decodierer herunter und starten Sie ihn, um die Opfer-ID zu entschlüsseln.
5. Kopieren Sie den Schlüssel und laden Sie das Mischa-Entschlüsselungsprogramm oder das GoldenEye-Entschlüsselungsprogramm herunter.
6. Öffnen Sie das Entschlüsselungsprogramm und selektieren Sie eine der verschlüsselten Dateien.
7. Fügen Sie den neu erhaltenen Entschlüsselungsschlüssel ein. Wiederholen sie zur Bestätigung das Ganze. Wenn gewünscht, selektieren Sie die Option Backup encrypted files, um Sicherheitskopien von den verschlüsselten Dateien anzufertigen. Klicken Sie auf Decrypt.
8. Überprüfen Sie, ob die Datei erfolgreich entschlüsselt wurde. Wenn ja, dann können Sie den gleichen Entschlüsselungsschlüssel für alle anderen verschlüsselten Dateien verwenden. Der Prozess geht schneller, wenn man dem Entschlüsselungsprogramm die Endung angibt, die die Erpressersoftware an die Dateien angehangen hat. Der Decrypter sucht dann alle verschlüsselten Dateien automatisch.

Optional: Sie können auch eine ISO-Datei nutzen, um die Opfer-ID auszulesen. Die ISO können Sie hier herunterladen. Starten Sie das Programm und folgen Sie den Anweisungen.

Um Reste der Erpressersoftware zu entfernen und korrupte Systemdateien wiederherzustellen, empfehlen wir von der Software Reimage Gebrauch zu machen. Die Schadsoftwarereste werden dann beseitigt und der Computer aufgefrischt, sodass er wieder sorgenfrei verwendet werden kann.

Stellen Sie Dateien und andere Systemkomponenten automatisch wieder her

Um Ihre Dateien und anderen Systemkomponenten wiederherzustellen, können Sie die kostenlosen Anleitungen von den Experten von sichernpc.de benutzen. Wenn Sie das Gefühl haben, dass Sie nicht genug Erfahrung haben, um den kompletten Prozess selbst durchzuführen, empfehlen wir die unten aufgelisteten Wiederherstellungslösungen zu nutzen. Wir haben jedes Programm getestet und deren Wirksamkeit für Sie geprüft, Sie müssen den Tools also lediglich die Arbeit überlassen.