![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Halbwegs gute Nachrichten von Opfern der Ransomware NotPetya, die ja Ende Juni 2017 Rechner in Firmen unbrauchbar machte und Dateien verschl\u00fcsselte. Einem Sicherheitsforscher ist es gelungen, verschl\u00fcsselte Dateien wiederherzustellen (indem der Code analysiert wurde und verschl\u00fcsselte Daten geknackt wurden). Die schlechte Nachricht: Das Ganze ist sehr aufw\u00e4ndig, ein einfaches Tool zum Entschl\u00fcsseln steht (bisher) nicht zur Verf\u00fcgung. <\/p>\n
<\/p>\n
\u00dcber den Angriff des Verschl\u00fcsselungstrojaners NotPetya, den einige Sicherheitsforscher als Wiper bezeichnen, da er auf Zerst\u00f6rung und maximalen Schaden ausgelegt war, hatte ich im Blog ja umfassend berichtet (siehe Link-Liste am Artikelende). <\/p>\n
Die Malware NotPetya war wohl recht ausgekl\u00fcgelt, weist im Code aber zahlreiche Bugs auf. Sicherheitsforschern der Firma Positive Technologies ist es nun gelungen, Dateien zu entschl\u00fcsseln. Problem: Die brauchten keinen Key, sondern konnte das Ganze per Plain Text-Angriff bewerkstelligen. Die Info \u00fcber den Erfolg findet sich in Blog-Beitrag<\/a> (Englisch) der Firma. Die Forscher schreiben:<\/p>\n It turned out<\/a> that the creators of NotPetya made an error in their implementation of the Salsa20 algorithm. Due to this error, half of the encryption key bytes were not used in any way. This reduction in key length from 256 to 128 bits, unfortunately, still does not leave any hope of decrypting data in a reasonable time.<\/p>\n<\/blockquote>\n Den Autoren der Malware ist ein Fehler in der Implementierung des zur Berechnung der Schl\u00fcssel verwendeten Salsa20-Algorithmus unterlaufen. Die H\u00e4lfte der m\u00f6glichen Schl\u00fcssel wurde nicht verwendet. Damit wurde die Schl\u00fcssell\u00e4nge von 256 auf 128 Bit reduziert. Allerdings ist dort der Aufwand zur Berechnung der Schl\u00fcssel immer noch so hoch, dass sich das Ganze nicht in absehbarer Zeit abwickeln l\u00e4sst.<\/p>\n Allerdings gab es weitere Einschr\u00e4nkungen in der Art, wie der Salsa20-Algorithmus angewendet wurde. Am Ende des Tages war es m\u00f6glich, Dateien ohne Key zu entschl\u00fcsseln. In ihrem Blog-Beitrag gehen die Sicherheitsforscher auf die Funktionsweise des Salsa20-Algorithmus ein \u2013 was aber nicht so interessant ist. Spannender ist, dass dem Entwickler der Malware weitere Fehler unterlaufen sind. So konnten viele Werte mit einem einfache Plain-Text-Angriff ausprobiert werden. <\/p>\n Am Ende des Tages konnten verschl\u00fcsselte Informationen und Dateien an Hand einer bekannten Datei restauriert werden. Das ist der gute Teil der Nachricht. Der schlechtere Teil: Da die Schl\u00fcssel wohl nicht geknackt werden konnten, ist das Restaurieren der verschl\u00fcsselten Dateien wohl recht aufw\u00e4ndig. Es gibt die Hoffnung, dass Spezialfirmen zur Datenrettung eine entsprechende Software entwickeln. Dies wird sich aber nur bei sehr wertvollen Daten finanziell lohnen. Die Sch\u00e4den durch Produktionsausf\u00e4lle sind da wohl h\u00f6her und viele Betroffene haben (hoffentlich) Backups der betreffenden Dateien. (via<\/a>, via<\/a>)<\/p>\n \u00c4hnliche Artikel:<\/strong> Halbwegs gute Nachrichten von Opfern der Ransomware NotPetya, die ja Ende Juni 2017 Rechner in Firmen unbrauchbar machte und Dateien verschl\u00fcsselte. Einem Sicherheitsforscher ist es gelungen, verschl\u00fcsselte Dateien wiederherzustellen (indem der Code analysiert wurde und verschl\u00fcsselte Daten geknackt wurden). Die … Weiterlesen \n
Master-Key der Petya Ransomware freigegeben<\/a>
ESET Analyse zu Not Petya\/Diskcoder.C Verbreitung<\/a>
Neues zu Petya: Zahl der Infektionen, Ziele und mehr \u2026<\/a>
Neues zur Petya Ransomware \u2013 Gegenmittel gefunden?<\/a>
Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"