Wie stellt man durch Petya verschlüsselte Dateien wieder her?

von Gabriel E. Hall - -
12

Frage

Problem: Wie stellt man durch Petya verschlüsselte Dateien wieder her?

Bitte helfen Sie mir! Alle meine Dateien wurden von der Petya-Ransomware verschlüsselt. Soweit habe ich noch nichts von Entschlüsselungsprogrammen gehört. Heißt das, dass Dateien überhaupt nicht mehr entschlüsselt werden können? Die Dateien sind mein Ein und Alles…

Akzeptierte Antwort

-Screenshot

Petya ist ein datenverschlüsselnder Virus der Kategorie Erpressungsprogramme. Die Schadsoftware tauchte erstmals im Jahr 2016 auf. Die größte Aufmerksamkeit der Medien zog sie allerdings erst nach dem Angriff in 2017 auf sich, wo sie hauptsächlich die Ukraine anvisierte.

Experten zufolge machten die Cyberkriminellen von der gleichen Windows SMBv1-Sicherheitslücke Gebrauch, die von der berüchtigten WannaCry-Erpressersoftware verwendet wurde. Microsoft hat die Sicherheitslücke mittlerweile gepatcht, aber vielen Computernutzern ist es nicht gelungen das Update rechtzeitig zu installieren. Die Erpressersoftware Petya verschlüsselt alle Dateien auf dem System und verlangt etwa 300 Euro von ihren Opfern. Im Gegenzug verspricht sie den Entschlüsselungsschlüssel auszuhändigen.

Die Erpressersoftware kompromittierte die Computernetzwerke von großen Firmen, wie “Rosneft” (russischer Ölgigant), “Kyivenergo”, “Ukrenergo”, die nationale Bank der Ukraine, Oschadbank und viele weitere.

Der Petya-Virus, der in der Cyberattacke von 2017 verwendet wurde, unterscheidet sich allerdings leicht von seinen Vorgängern und der Ursprungsversion. Nach dem Petya-Ausbruch im Juni haben die Autoren der originalen Petya-Varianten, bekannt als Janus, den Masterschlüssel herausgegeben, womit Dateien entschlüsselt werden konnten, die von Red Petya, Green Petya und Mischa verschlüsselt worden sind. Mithilfe des veröffentlichten Schlüssels hat der unter dem Nicknamen Hasherezade bekannte Sicherheitsforscher ein kostenloses Entschlüsselungsprogramm entwickelt.

Forschern zufolge gibt es bei bestimmten Petya-Versionen einen Unterschied. Der Virus verschlüsselt entweder die MFT-Datei (Master File Table) oder macht wie andere traditionelle erpresserischen Viren die Dateien auf dem Computer nutzlos. Glücklicherweise funktioniert der Petya Decryptor unabhängig von der Methode des Virus.

Bevor Sie nun aber mit der Entschlüsselung der Dateien beginnen, möchten wir Ihnen raten ein Back-up von den verschlüsselten Dateien zu machen und sie sicher zu verstauen. Der Grund hierfür ist, dass die Wiederherstellungsprozedur hängen bleiben kann und hierdurch permanenter Schaden an den verschlüsselten Dateien entsteht.

Durch Petya verschlüsselte Dateien kostenfrei wiederherstellen

Jetzt wiederherstellen! Jetzt wiederherstellen!
Bitte kaufen Sie die lizenzierte Version von Reimage Reimage, um benötigte Systemkomponenten wiederherzustellen.
  1. Suchen Sie nach dem Erpresserbrief, der auf dem Computer hinterlassen wurde. Dieser sollte als YOUR_FILES_ARE_ENCRYPTED.TXT abgespeichert sein. Kopieren Sie den persönlichen Code (eine lange Kombination aus Zahlen und Buchstaben).
  2. Erstellen Sie nun Ihre eigene Textdatei auf dem Desktop. Führen Sie einfach irgendwo auf einem freien Platz auf dem Bildschirm einen Rechtsklick aus und wählen Sie  Neu > Textdokument.
  3. Geben Sie der Datei den Namen id (der vollständige Dateiname sollte folglich id.txt heißen). Öffnen Sie die Datei und fügen Sie den persönlichen Code ein. Klicken Sie auf Datei > Speichern.
  4. Laden Sie nun den Schlüssel-Decodierer herunter und starten Sie ihn, um die Opfer-ID zu entschlüsseln.
  5. Kopieren Sie den Schlüssel und laden Sie das Mischa-Entschlüsselungsprogramm oder das GoldenEye-Entschlüsselungsprogramm herunter.
  6. Öffnen Sie das Entschlüsselungsprogramm und selektieren Sie eine der verschlüsselten Dateien.
  7. Fügen Sie den neu erhaltenen Entschlüsselungsschlüssel ein. Wiederholen sie zur Bestätigung das Ganze. Wenn gewünscht, selektieren Sie die Option Backup encrypted files, um Sicherheitskopien von den verschlüsselten Dateien anzufertigen. Klicken Sie auf Decrypt.
  8. Überprüfen Sie, ob die Datei erfolgreich entschlüsselt wurde. Wenn ja, dann können Sie den gleichen Entschlüsselungsschlüssel für alle anderen verschlüsselten Dateien verwenden. Der Prozess geht schneller, wenn man dem Entschlüsselungsprogramm die Endung angibt, die die Erpressersoftware an die Dateien angehangen hat. Der Decrypter sucht dann alle verschlüsselten Dateien automatisch.

Optional: Sie können auch eine ISO-Datei nutzen, um die Opfer-ID auszulesen. Die ISO können Sie hier herunterladen. Starten Sie das Programm und folgen Sie den Anweisungen.

Um Reste der Erpressersoftware zu entfernen und korrupte Systemdateien wiederherzustellen, empfehlen wir von der Software Reimage Gebrauch zu machen. Die Schadsoftwarereste werden dann beseitigt und der Computer aufgefrischt, sodass er wieder sorgenfrei verwendet werden kann.

Stellen Sie Dateien und andere Systemkomponenten automatisch wieder her

Um Ihre Dateien und anderen Systemkomponenten wiederherzustellen, können Sie die kostenlosen Anleitungen von den Experten von sichernpc.de benutzen. Wenn Sie das Gefühl haben, dass Sie nicht genug Erfahrung haben, um den kompletten Prozess selbst durchzuführen, empfehlen wir die unten aufgelisteten Wiederherstellungslösungen zu nutzen. Wir haben jedes Programm getestet und deren Wirksamkeit für Sie geprüft, Sie müssen den Tools also lediglich die Arbeit überlassen.

Angebot
Jetzt säubern!
Herunterladen
Wiederherstellungssoftware garantierte
Zufriedenheit
Jetzt säubern!
Herunterladen
Wiederherstellungssoftware garantierte
Zufriedenheit
mit Microsoft Windows kompatibel mit OS X kompatibel
Haben Sie ein Problem?
Wenn Sie Probleme bezüglich Reimage haben, können Sie unsere Tech-Experten um Hilfe bitten. Geben Sie so viele Details wie möglich an, sodass Sie die beste Lösung erhalten.
Reimage - Ein patentiertes spezialisiertes Windows-Reparaturprogramm. Es diagnostiziert den beschädigten PC. Es scannt alle Systemdateien, DLLs und Registrierungsschlüssel, die von Sicherheitsbedrohungen beschädigt worden sind.Reimage - Ein patentiertes spezialisiertes Mac OS X-Reparaturprogramm. Es diagnostiziert den beschädigten Computer. Es scannt alle Systemdateien und Registrierungsschlüssel, die von Sicherheitsbedrohungen beschädigt worden sind.
Dieser patentierte Reparaturprozess nutzt eine Datenbank mit 25 Millionen Komponenten, womit jede beschädigte oder fehlende Datei auf dem Computer ersetzt werden kann.
Um das beschädigte System zu reparieren, müssen Sie die lizenzierte Version des Schadsoftware-Entferners Reimage erwerben.

Über den Autor

Gabriel E. Hall
Gabriel E. Hall - Leidenschaftliche Computerexpertin

Gabriel E. Hall ist eine Expertin in Troubleshooting und arbeitet bereits seit Jahren in der IT-Branche.

Gabriel E. Hall kontaktieren
Über die Firma Esolutions

Weitere Informationen zum Problem: "Wie stellt man durch Petya verschlüsselte Dateien wieder her?"